论文部分内容阅读
【摘 要】随着技术和经济的发展,网络中的安全漏洞在不断增加,网络攻击越来越受经济利益驱使,朝着规模化、智能化和产业化方向发展。黑客攻击由原来的个人行为,逐渐转化为追求经济和政治利益的行为。网络安全问题已越来越严峻,并已引起了全社会的普遍关注。本文主要针对网络异常流量攻击防御技术进行分析研究。
【关键词】异常流量 IDC
一、概述
互联网数据中心(IDC,Internet Data Centre)是适应信息时代的市场需要而诞生的一种新兴业务,它为网站、企业、政府等用户提供IT管理的专业服务,使他们可以把精力集中在核心业务上,减少对IT方面的精力和时间投入。随着IDC的推广和发展,IDC已成为运营商为集团客户提供互联网平台服务的极为重要的宽带基础业务。
IDC是社会信息化发展的基础,是互联网和互联网增值服务的源头。IDC的出现,为电信运营商带来了新的广阔商机。
但是IDC业务也面临着迅速发展及市场竞争的机遇与挑战。业务的迅速发展为运营商带来可观的效益和口碑,同时业务的发展也带来了更大的挑战,其中对IDC系统服务品质威胁最大的就是异常流量攻击。频繁的攻击不仅占用了IDC系统大量的网络资源,加重了网络设备负担,而且直接造成了用户服务器访问困难,甚至无法访问,给用户带来了巨大的经济损失,从而间接造成客户大量流失,严重影响了运营商的经济和社会效益。
二、业务需求分析
随着各运营商宽带用户和IDC客户规模的不断扩张,异常流量攻击次数也呈逐步上升趋势。异常流量攻击有下列特点:(1)IDC系统受攻击相对IP城域网较多,次数之比接近1.2:1;(2)单次攻击流量较小,但比较频繁,绝大部分攻击流量在5G以下,但是日均次数接近116次;(3)从地区划分来看,省会城市是攻击的重灾区,无论是城域网用户还是IDC用户也都是最多的。
三、系统功能组织
异常流量清洗系统主要功能组织如下:
(1)业务管理平台
时间收集;策略管理;协同联动;报告审计。
(2)异常流量清洗平台
流量牵引;DDoS攻击防御;流量回注。
(3)异常流量监测平台
异常流量检测;报文深度检测;协议异常检测;日志输出;流量统计。
四、系统建设原则
(1)标准化和规范化原则
整个系统应具有完善的软件体系结构和标准的内部模块接口,能提供各种规范的应用和服务,灵活实现系统功能模块的配置和扩充。
(2)实用化原则
应遵循实用性原则,维护人员应能使用网管系统,实现对IP城域网和IDC系统的日常维护。
(3)长远规划、分步实施原则
对于异常流量攻击防御系统的设计要全盘考虑、立足长远。但在进行建设时,则根据目前系统以及其它支撑系统的现状,从实际出发,先易后难、循序渐进。
(4)数据共享原则
本系统本着数据资源共享的原则,合理制定总体方案,使已有资源得以充分利用,既要共享其它系统的数据,又要将本系统数据开放共享。
(5)系统开放和灵活扩展原则
采用先进、成熟、符合国际标准的软硬件技术,使系统具备可灵活配置的工作流程和可扩展的开放体系结构,能够根据技术、业务的发展随时调整、增加功能。
(6)系统持续性原则
异常流量攻击防御系统的建设,基础在于数据的准确性;有效的保证系统数据持续的正确和实时,使系统具有持续的可用性,为用户创造价值。
同时,随着用户规模增长和网络技术的发展,网络应用和业务越来越多,异常流量攻击防御系统应采用可成长模型,支持功能模块动态插入及系统功能动态扩展要求。
五、系统组网结构
系统采用旁路模式,旁路模式部署适合大型网络,在不改变网络结构不增加网络故障点的前提下,采用旁路镜像检测模式,发现异常流量,采用策略路由模式将该IP流量牵引至异常流量清洗设备下,进行异常流量清洗,清洗完毕后将正常流量重新注回到骨干网中。
六、异常流量检测技术
DFI
依据netflow等日志的内容,可以较好的识别4层以下的应用模型。
普遍基于采样的方式进行,可以处理较大流量的统计。
现有路由器对该功能的支持比较普遍,netflow日志分析设备路由可达即可。
DPI
流量行为异常分析
基于报文特征的分析
协议深度感知和特征分析
应用内容异常分析
采用端口镜像或分光器的方式
七、结论
异常流量攻击防御系统符合运营商系统异常流量攻击防御业务的需求,弥补了安全漏洞,提升了IDC系统整体品质和档次,推进网络的应用与发展。有效提高企业经济效益,极大的增强企业竞争力。
作者简介:
刘洋,男,2007年毕业于东北大学,学士学位,现任职于辽宁邮电规划设计院有限公司。
【关键词】异常流量 IDC
一、概述
互联网数据中心(IDC,Internet Data Centre)是适应信息时代的市场需要而诞生的一种新兴业务,它为网站、企业、政府等用户提供IT管理的专业服务,使他们可以把精力集中在核心业务上,减少对IT方面的精力和时间投入。随着IDC的推广和发展,IDC已成为运营商为集团客户提供互联网平台服务的极为重要的宽带基础业务。
IDC是社会信息化发展的基础,是互联网和互联网增值服务的源头。IDC的出现,为电信运营商带来了新的广阔商机。
但是IDC业务也面临着迅速发展及市场竞争的机遇与挑战。业务的迅速发展为运营商带来可观的效益和口碑,同时业务的发展也带来了更大的挑战,其中对IDC系统服务品质威胁最大的就是异常流量攻击。频繁的攻击不仅占用了IDC系统大量的网络资源,加重了网络设备负担,而且直接造成了用户服务器访问困难,甚至无法访问,给用户带来了巨大的经济损失,从而间接造成客户大量流失,严重影响了运营商的经济和社会效益。
二、业务需求分析
随着各运营商宽带用户和IDC客户规模的不断扩张,异常流量攻击次数也呈逐步上升趋势。异常流量攻击有下列特点:(1)IDC系统受攻击相对IP城域网较多,次数之比接近1.2:1;(2)单次攻击流量较小,但比较频繁,绝大部分攻击流量在5G以下,但是日均次数接近116次;(3)从地区划分来看,省会城市是攻击的重灾区,无论是城域网用户还是IDC用户也都是最多的。
三、系统功能组织
异常流量清洗系统主要功能组织如下:
(1)业务管理平台
时间收集;策略管理;协同联动;报告审计。
(2)异常流量清洗平台
流量牵引;DDoS攻击防御;流量回注。
(3)异常流量监测平台
异常流量检测;报文深度检测;协议异常检测;日志输出;流量统计。
四、系统建设原则
(1)标准化和规范化原则
整个系统应具有完善的软件体系结构和标准的内部模块接口,能提供各种规范的应用和服务,灵活实现系统功能模块的配置和扩充。
(2)实用化原则
应遵循实用性原则,维护人员应能使用网管系统,实现对IP城域网和IDC系统的日常维护。
(3)长远规划、分步实施原则
对于异常流量攻击防御系统的设计要全盘考虑、立足长远。但在进行建设时,则根据目前系统以及其它支撑系统的现状,从实际出发,先易后难、循序渐进。
(4)数据共享原则
本系统本着数据资源共享的原则,合理制定总体方案,使已有资源得以充分利用,既要共享其它系统的数据,又要将本系统数据开放共享。
(5)系统开放和灵活扩展原则
采用先进、成熟、符合国际标准的软硬件技术,使系统具备可灵活配置的工作流程和可扩展的开放体系结构,能够根据技术、业务的发展随时调整、增加功能。
(6)系统持续性原则
异常流量攻击防御系统的建设,基础在于数据的准确性;有效的保证系统数据持续的正确和实时,使系统具有持续的可用性,为用户创造价值。
同时,随着用户规模增长和网络技术的发展,网络应用和业务越来越多,异常流量攻击防御系统应采用可成长模型,支持功能模块动态插入及系统功能动态扩展要求。
五、系统组网结构
系统采用旁路模式,旁路模式部署适合大型网络,在不改变网络结构不增加网络故障点的前提下,采用旁路镜像检测模式,发现异常流量,采用策略路由模式将该IP流量牵引至异常流量清洗设备下,进行异常流量清洗,清洗完毕后将正常流量重新注回到骨干网中。
六、异常流量检测技术
DFI
依据netflow等日志的内容,可以较好的识别4层以下的应用模型。
普遍基于采样的方式进行,可以处理较大流量的统计。
现有路由器对该功能的支持比较普遍,netflow日志分析设备路由可达即可。
DPI
流量行为异常分析
基于报文特征的分析
协议深度感知和特征分析
应用内容异常分析
采用端口镜像或分光器的方式
七、结论
异常流量攻击防御系统符合运营商系统异常流量攻击防御业务的需求,弥补了安全漏洞,提升了IDC系统整体品质和档次,推进网络的应用与发展。有效提高企业经济效益,极大的增强企业竞争力。
作者简介:
刘洋,男,2007年毕业于东北大学,学士学位,现任职于辽宁邮电规划设计院有限公司。