網(wǎng)絡異常流量監(jiān)測技術在電信IP網(wǎng)的應用

　　由于IP網(wǎng)絡環(huán)境的開放性以及IPv4在設計時缺乏對安全問題的周詳考慮，目前IP網(wǎng)絡安全形勢嚴峻，從2001年的紅色代碼、藍色代碼，到2004年的沖擊波、震蕩波等蠕蟲病毒，無不造成大規(guī)模的網(wǎng)絡中斷，帶來了大量的資源浪費和數(shù)以億計的經(jīng)濟損失。

　　蠕蟲病毒攻擊和分布式拒絕服務攻擊，利用網(wǎng)絡服務、系統(tǒng)服務的漏洞或利用網(wǎng)絡資源、系統(tǒng)資源的有限性，再有就是利用網(wǎng)絡協(xié)議和認證機制自身的不完善性，通過在短時間內發(fā)動大規(guī)模網(wǎng)絡攻擊，消耗特定資源，實現(xiàn)拒絕服務攻擊的攻擊目標。因此，在眾多的網(wǎng)絡安全威脅中，蠕蟲病毒攻擊和分布式拒絕服務攻擊是最難以實現(xiàn)有針對性的主動防御的一類網(wǎng)絡攻擊。

　　電信IP網(wǎng)絡面臨十分嚴峻的網(wǎng)絡安全形勢，迫切需要實現(xiàn)針對惡性蠕蟲和大規(guī)模拒絕服務攻擊的安全控制，增強網(wǎng)絡的自防御能力。在目前眾多的網(wǎng)絡安全技術中，網(wǎng)絡流量異常監(jiān)測技術是解決異常流量問題的首要技術手段。

　　一、網(wǎng)絡異常流量監(jiān)測技術現(xiàn)狀與發(fā)展趨勢

　�。ㄒ唬┚W(wǎng)絡異常流量監(jiān)測技術現(xiàn)狀

　　根據(jù)對網(wǎng)絡異常流量的采集方式可將網(wǎng)絡異常流量監(jiān)測技術分為：基于網(wǎng)絡流量全鏡像的監(jiān)測技術、基于SNMP的監(jiān)測技術和基于Netflow的監(jiān)測技術三種常用技術。

　　1．基于網(wǎng)絡流量全鏡像的監(jiān)測技術。網(wǎng)絡流量全鏡像采集是目前IDS主要采用的網(wǎng)絡流量采集模式。其原理是通過交換機等網(wǎng)絡設備的端口鏡像或者通過分光器、網(wǎng)絡探針等附加設備，實現(xiàn)網(wǎng)絡流量的無損復制和鏡像采集。和其它兩種流量采集方式相比，流量鏡像采集的最大特點是能夠提供豐富的應用層信息。

　　2．基于SNMP的流量監(jiān)測技術�；�于SNMP的流量信息采集，實質上是通過提取網(wǎng)絡設備Agent提供的MIB（管理對象信息庫）中收集一些具體設備及流量信息有關的變量�；�于SNMP收集的網(wǎng)絡流量信息包括：輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)、輸入包錯誤數(shù)、輸入未知協(xié)議包數(shù)、輸出字節(jié)數(shù)、輸出非廣播包數(shù)、輸出廣播包數(shù)、輸出包丟棄數(shù)、輸出包錯誤數(shù)、輸出隊長等。

　　3．基于Netflow的流量監(jiān)測技術。Netflow流量信息采集是基于網(wǎng)絡設備提供的Netflow機制實現(xiàn)的網(wǎng)絡流量信息采集，在此基礎上實現(xiàn)的流量信息采集效率和效果均能夠滿足網(wǎng)絡流量異常監(jiān)測的需求。

　　表1對以上三種流量監(jiān)測技術進行了比較。在綜合比較三種技術之后，不難得出以下結論：基于Netflow的流量監(jiān)測技術能夠滿足網(wǎng)絡流量異常分析的需要，且信息采集效率高，適合在電信級IP網(wǎng)絡中應用。



　　（二）網(wǎng)絡異常流量監(jiān)測技術發(fā)展趨勢

　　目前網(wǎng)絡異常流量監(jiān)測技術呈現(xiàn)迅猛發(fā)展的態(tài)勢，技術和產品不斷推陳出新，涌現(xiàn)了許多有代表性的產品，例如Arbor、NTG、NetScout等廠商都推出了相應的產品。目前電信級IP網(wǎng)網(wǎng)絡異常流量監(jiān)測技術，主要以基于Netflow的監(jiān)測技術為主，如中國電信等電信IP網(wǎng)絡運營商均部署了基于Netflow監(jiān)測技術的網(wǎng)絡異常流量監(jiān)測產品和系統(tǒng)。從這些產品的發(fā)展歷程看，不難得出以下結論：網(wǎng)絡異常流量監(jiān)測技術和產品正朝著越來越智能化的方向發(fā)展。

　　異常流量監(jiān)測系統(tǒng)的智能化主要體現(xiàn)在以下三個方面。

　　1．流量自學習能力。通過對網(wǎng)絡流量的監(jiān)測掌握網(wǎng)絡正常流量模型。此類產品和系統(tǒng)通過監(jiān)測一段時間的網(wǎng)絡流量，建立起一個基于時間的正常流量模型。該模型會在系統(tǒng)內數(shù)據(jù)庫中，對監(jiān)測網(wǎng)絡的各個時間段內的各種協(xié)議流量建立一個動態(tài)流量基線。當某個時段，某個協(xié)議流量與當前基線不符時，會給出一個異常告警，并隨著時間積累，會將告警逐步升級。因此，這種智能化的流量學習能力可以更加精確地掌握網(wǎng)絡中實際的正常流量的情況，為判斷異常流量提供有力的依據(jù)。

　　2．蠕蟲攻擊特征檢測。網(wǎng)絡蠕蟲攻擊一般在流量、協(xié)議、攻擊端口以及攻擊行為方面會具有一定的特征。因此，在對這類網(wǎng)絡蠕蟲攻擊進行監(jiān)測時可以根據(jù)其特征進行判斷。此類產品一方面可以根據(jù)流量自學習功能掌握正常流量的基礎，分析判斷出一些異常流量，并提取這些流量特征，還為今后的分析判斷提供參考和借鑒；另一方面，此類產品和系統(tǒng)，建立有一套蠕蟲攻擊特征的分發(fā)和收集系統(tǒng)，不斷從其他監(jiān)測點收集新的異常特征，又不斷將這些特征分發(fā)到域內的監(jiān)測系統(tǒng)中。因此，這種智能化的蠕蟲攻擊特征檢測可以提高已知蠕蟲特征的攻擊監(jiān)測準確性，也可以提高監(jiān)測未知蠕蟲攻擊的能力。

　　3．攻擊源的自動追溯。攻擊源的自動追溯在發(fā)現(xiàn)攻擊時，對攻擊流量的源頭進行反向信息跟蹤，并將相關的流量信息進行關聯(lián)分析，以判斷攻擊源的位置。此類產品在發(fā)現(xiàn)攻擊時，根據(jù)接口信息、AS、BGP路由等信息，最終將定位出最靠近攻擊源的接口信息。因此，這種智能化的攻擊源的自動追溯能力可以提高攻擊源的定位效率，從而大大提高應急響應的速度。

　　隨著網(wǎng)絡異常流量監(jiān)測技術的日益成熟，異常流量的判斷準確性日益提高，它也逐步與異常流量控制的技術緊密的結合在一起了。目前，Arbor等異常流量監(jiān)測系統(tǒng)已經(jīng)可以與異常流量過濾系統(tǒng)（如CiscoGuard）進行聯(lián)動，也可以通過宣告黑洞路由、提供ACL過濾策略等方式與路由設備進行交互來有效的處理異常流量。

　　二、異常流量監(jiān)測技術在電信IP網(wǎng)絡的應用

　　在互聯(lián)網(wǎng)日益成為國家關鍵信息基礎設施的今天，互聯(lián)網(wǎng)上日益頻繁的網(wǎng)絡安全事件對互聯(lián)網(wǎng)安全構成了嚴峻挑戰(zhàn)。電信IP網(wǎng)是國家骨干互聯(lián)網(wǎng)和國家關鍵信息基礎設施的核心組成部分，其網(wǎng)絡安全應急響應體系建設顯得尤為迫切和重要。而網(wǎng)絡應急響應體系的重要環(huán)節(jié)之一就是監(jiān)測，尤其是對網(wǎng)絡異常流量的監(jiān)測工作。沒有及時的發(fā)現(xiàn)安全問題，就談不上高效的做出應急響應。因此，異常流量監(jiān)測技術在整個網(wǎng)絡安全應急響應體系中占有十分重要的地位。

　　從目前電信IP網(wǎng)絡應用異常流量監(jiān)測技術的現(xiàn)狀看，該類產品和系統(tǒng)主要應用于電信IP網(wǎng)絡的骨干網(wǎng)監(jiān)測、城域網(wǎng)監(jiān)測以及IDC網(wǎng)絡監(jiān)測之中。

　　（一）骨干網(wǎng)監(jiān)測

　　考慮到骨干網(wǎng)流量大、范圍廣，因此骨干網(wǎng)監(jiān)測主要采用分布式監(jiān)測方式。監(jiān)測的主要目的是通過異常流量監(jiān)測系統(tǒng)和產品的流量自學習功能掌握正常流量模型，在此基礎上，能夠對分析和判斷帶寬型“垃圾”流量攻擊，例如SQLSlammer蠕蟲攻擊等垃圾流量在大量占用骨干鏈路資源的情況。

　　（二）城域網(wǎng)監(jiān)測

　　城域網(wǎng)監(jiān)測主要監(jiān)測城域網(wǎng)核心層和匯聚層的設備流量情況。監(jiān)測的主要目的是及時發(fā)現(xiàn)和定位來自城域網(wǎng)內部的蠕蟲攻擊、DDOS攻擊、網(wǎng)絡濫用行為（如網(wǎng)絡掃描）、垃圾郵件等安全問題。

　　（三）IDC網(wǎng)絡監(jiān)測

　　IDC是電信IP網(wǎng)絡的重要網(wǎng)絡系統(tǒng)，它主要承載了電信大客戶的資源。因此，對IDC網(wǎng)絡進行監(jiān)測是十分必要的。IDC網(wǎng)絡監(jiān)測主要是監(jiān)測IDC出口的流量，并將大客戶資源的網(wǎng)絡訪問作為監(jiān)測的重點，以便及時發(fā)現(xiàn)針對大客戶網(wǎng)絡資源的攻擊行為，并及時采取響應措施。在IDC網(wǎng)絡環(huán)境中，部署異常流量監(jiān)測系統(tǒng)的同時，還可以將異常流量過濾系統(tǒng)納入其中，提高響應速度。

　　在部署異常流量監(jiān)測系統(tǒng)的基礎上，為了提高應急響應的效率和自動化程度，電信IP網(wǎng)中往往還部署流量過濾系統(tǒng)，與異常流量監(jiān)測系統(tǒng)進行聯(lián)動。一旦發(fā)現(xiàn)有異常流量，立即將異常流量引入流量過濾系統(tǒng)進行“清洗”，以保護重要系統(tǒng)或重要客戶網(wǎng)絡資源，降低異常流量對這些系統(tǒng)的沖擊。異常流量監(jiān)測系統(tǒng)部署如圖1所示。



圖1異常流量監(jiān)測系統(tǒng)部署示意圖

　　圖1給出了在城域網(wǎng)內部署異常流量監(jiān)測系統(tǒng)的示意圖。首先將核心層和匯聚層的路由設備的Netflow信息引入異常流量監(jiān)測系統(tǒng)中。當監(jiān)測到異常流量時，則與異常流量過濾系統(tǒng)進行聯(lián)動，處理鏈路中的異常流量，保護重要系統(tǒng)或重要客戶網(wǎng)絡資源，降低異常流量對這些系統(tǒng)的沖擊。

　　目前，異常流量監(jiān)測技術正日益成熟，智能化水平不斷提高，在電信IP網(wǎng)絡中部署此類系統(tǒng)和產品，可以在發(fā)生惡性蠕蟲病毒和大規(guī)模拒絕服務攻擊時以最快的速度發(fā)現(xiàn)異常存在并報警，同時盡可能地輔助實現(xiàn)攻擊來源追溯和目標定位，并通過運維人員的安全設置和漏洞修補，實現(xiàn)保障IP網(wǎng)絡可用性的安全目標。因此，網(wǎng)絡異常流量監(jiān)測技術必將在電信IP網(wǎng)絡占有十分重要的地位，并發(fā)揮顯著作用。

----《通信世界》