網(wǎng)絡(luò)異常流量監(jiān)測技術(shù)在電信IP網(wǎng)的應(yīng)用

　　由于IP網(wǎng)絡(luò)環(huán)境的開放性以及IPv4在設(shè)計(jì)時缺乏對安全問題的周詳考慮，目前IP網(wǎng)絡(luò)安全形勢嚴(yán)峻，從2001年的紅色代碼、藍(lán)色代碼，到2004年的沖擊波、震蕩波等蠕蟲病毒，無不造成大規(guī)模的網(wǎng)絡(luò)中斷，帶來了大量的資源浪費(fèi)和數(shù)以億計(jì)的經(jīng)濟(jì)損失。

　　蠕蟲病毒攻擊和分布式拒絕服務(wù)攻擊，利用網(wǎng)絡(luò)服務(wù)、系統(tǒng)服務(wù)的漏洞或利用網(wǎng)絡(luò)資源、系統(tǒng)資源的有限性，再有就是利用網(wǎng)絡(luò)協(xié)議和認(rèn)證機(jī)制自身的不完善性，通過在短時間內(nèi)發(fā)動大規(guī)模網(wǎng)絡(luò)攻擊，消耗特定資源，實(shí)現(xiàn)拒絕服務(wù)攻擊的攻擊目標(biāo)。因此，在眾多的網(wǎng)絡(luò)安全威脅中，蠕蟲病毒攻擊和分布式拒絕服務(wù)攻擊是最難以實(shí)現(xiàn)有針對性的主動防御的一類網(wǎng)絡(luò)攻擊。

　　電信IP網(wǎng)絡(luò)面臨十分嚴(yán)峻的網(wǎng)絡(luò)安全形勢，迫切需要實(shí)現(xiàn)針對惡性蠕蟲和大規(guī)模拒絕服務(wù)攻擊的安全控制，增強(qiáng)網(wǎng)絡(luò)的自防御能力。在目前眾多的網(wǎng)絡(luò)安全技術(shù)中，網(wǎng)絡(luò)流量異常監(jiān)測技術(shù)是解決異常流量問題的首要技術(shù)手段。

　　一、網(wǎng)絡(luò)異常流量監(jiān)測技術(shù)現(xiàn)狀與發(fā)展趨勢

　　（一）網(wǎng)絡(luò)異常流量監(jiān)測技術(shù)現(xiàn)狀

　　根據(jù)對網(wǎng)絡(luò)異常流量的采集方式可將網(wǎng)絡(luò)異常流量監(jiān)測技術(shù)分為：基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)、基于SNMP的監(jiān)測技術(shù)和基于Netflow的監(jiān)測技術(shù)三種常用技術(shù)。

　　1．基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)。網(wǎng)絡(luò)流量全鏡像采集是目前IDS主要采用的網(wǎng)絡(luò)流量采集模式。其原理是通過交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口鏡像或者通過分光器、網(wǎng)絡(luò)探針等附加設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)流量的無損復(fù)制和鏡像采集。和其它兩種流量采集方式相比，流量鏡像采集的最大特點(diǎn)是能夠提供豐富的應(yīng)用層信息。

　　2．基于SNMP的流量監(jiān)測技術(shù)�；�于SNMP的流量信息采集，實(shí)質(zhì)上是通過提取網(wǎng)絡(luò)設(shè)備Agent提供的MIB（管理對象信息庫）中收集一些具體設(shè)備及流量信息有關(guān)的變量�；�于SNMP收集的網(wǎng)絡(luò)流量信息包括：輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)、輸入包錯誤數(shù)、輸入未知協(xié)議包數(shù)、輸出字節(jié)數(shù)、輸出非廣播包數(shù)、輸出廣播包數(shù)、輸出包丟棄數(shù)、輸出包錯誤數(shù)、輸出隊(duì)長等。

　　3．基于Netflow的流量監(jiān)測技術(shù)。Netflow流量信息采集是基于網(wǎng)絡(luò)設(shè)備提供的Netflow機(jī)制實(shí)現(xiàn)的網(wǎng)絡(luò)流量信息采集，在此基礎(chǔ)上實(shí)現(xiàn)的流量信息采集效率和效果均能夠滿足網(wǎng)絡(luò)流量異常監(jiān)測的需求。

　　表1對以上三種流量監(jiān)測技術(shù)進(jìn)行了比較。在綜合比較三種技術(shù)之后，不難得出以下結(jié)論：基于Netflow的流量監(jiān)測技術(shù)能夠滿足網(wǎng)絡(luò)流量異常分析的需要，且信息采集效率高，適合在電信級IP網(wǎng)絡(luò)中應(yīng)用。



　�。ǘ�）網(wǎng)絡(luò)異常流量監(jiān)測技術(shù)發(fā)展趨勢

　　目前網(wǎng)絡(luò)異常流量監(jiān)測技術(shù)呈現(xiàn)迅猛發(fā)展的態(tài)勢，技術(shù)和產(chǎn)品不斷推陳出新，涌現(xiàn)了許多有代表性的產(chǎn)品，例如Arbor、NTG、NetScout等廠商都推出了相應(yīng)的產(chǎn)品。目前電信級IP網(wǎng)網(wǎng)絡(luò)異常流量監(jiān)測技術(shù)，主要以基于Netflow的監(jiān)測技術(shù)為主，如中國電信等電信IP網(wǎng)絡(luò)運(yùn)營商均部署了基于Netflow監(jiān)測技術(shù)的網(wǎng)絡(luò)異常流量監(jiān)測產(chǎn)品和系統(tǒng)。從這些產(chǎn)品的發(fā)展歷程看，不難得出以下結(jié)論：網(wǎng)絡(luò)異常流量監(jiān)測技術(shù)和產(chǎn)品正朝著越來越智能化的方向發(fā)展。

　　異常流量監(jiān)測系統(tǒng)的智能化主要體現(xiàn)在以下三個方面。

　　1．流量自學(xué)習(xí)能力。通過對網(wǎng)絡(luò)流量的監(jiān)測掌握網(wǎng)絡(luò)正常流量模型。此類產(chǎn)品和系統(tǒng)通過監(jiān)測一段時間的網(wǎng)絡(luò)流量，建立起一個基于時間的正常流量模型。該模型會在系統(tǒng)內(nèi)數(shù)據(jù)庫中，對監(jiān)測網(wǎng)絡(luò)的各個時間段內(nèi)的各種協(xié)議流量建立一個動態(tài)流量基線。當(dāng)某個時段，某個協(xié)議流量與當(dāng)前基線不符時，會給出一個異常告警，并隨著時間積累，會將告警逐步升級。因此，這種智能化的流量學(xué)習(xí)能力可以更加精確地掌握網(wǎng)絡(luò)中實(shí)際的正常流量的情況，為判斷異常流量提供有力的依據(jù)。

　　2．蠕蟲攻擊特征檢測。網(wǎng)絡(luò)蠕蟲攻擊一般在流量、協(xié)議、攻擊端口以及攻擊行為方面會具有一定的特征。因此，在對這類網(wǎng)絡(luò)蠕蟲攻擊進(jìn)行監(jiān)測時可以根據(jù)其特征進(jìn)行判斷。此類產(chǎn)品一方面可以根據(jù)流量自學(xué)習(xí)功能掌握正常流量的基礎(chǔ)，分析判斷出一些異常流量，并提取這些流量特征，還為今后的分析判斷提供參考和借鑒；另一方面，此類產(chǎn)品和系統(tǒng)，建立有一套蠕蟲攻擊特征的分發(fā)和收集系統(tǒng)，不斷從其他監(jiān)測點(diǎn)收集新的異常特征，又不斷將這些特征分發(fā)到域內(nèi)的監(jiān)測系統(tǒng)中。因此，這種智能化的蠕蟲攻擊特征檢測可以提高已知蠕蟲特征的攻擊監(jiān)測準(zhǔn)確性，也可以提高監(jiān)測未知蠕蟲攻擊的能力。

　　3．攻擊源的自動追溯。攻擊源的自動追溯在發(fā)現(xiàn)攻擊時，對攻擊流量的源頭進(jìn)行反向信息跟蹤，并將相關(guān)的流量信息進(jìn)行關(guān)聯(lián)分析，以判斷攻擊源的位置。此類產(chǎn)品在發(fā)現(xiàn)攻擊時，根據(jù)接口信息、AS、BGP路由等信息，最終將定位出最靠近攻擊源的接口信息。因此，這種智能化的攻擊源的自動追溯能力可以提高攻擊源的定位效率，從而大大提高應(yīng)急響應(yīng)的速度。

　　隨著網(wǎng)絡(luò)異常流量監(jiān)測技術(shù)的日益成熟，異常流量的判斷準(zhǔn)確性日益提高，它也逐步與異常流量控制的技術(shù)緊密的結(jié)合在一起了。目前，Arbor等異常流量監(jiān)測系統(tǒng)已經(jīng)可以與異常流量過濾系統(tǒng)（如CiscoGuard）進(jìn)行聯(lián)動，也可以通過宣告黑洞路由、提供ACL過濾策略等方式與路由設(shè)備進(jìn)行交互來有效的處理異常流量。

　　二、異常流量監(jiān)測技術(shù)在電信IP網(wǎng)絡(luò)的應(yīng)用

　　在互聯(lián)網(wǎng)日益成為國家關(guān)鍵信息基礎(chǔ)設(shè)施的今天，互聯(lián)網(wǎng)上日益頻繁的網(wǎng)絡(luò)安全事件對互聯(lián)網(wǎng)安全構(gòu)成了嚴(yán)峻挑戰(zhàn)。電信IP網(wǎng)是國家骨干互聯(lián)網(wǎng)和國家關(guān)鍵信息基礎(chǔ)設(shè)施的核心組成部分，其網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系建設(shè)顯得尤為迫切和重要。而網(wǎng)絡(luò)應(yīng)急響應(yīng)體系的重要環(huán)節(jié)之一就是監(jiān)測，尤其是對網(wǎng)絡(luò)異常流量的監(jiān)測工作。沒有及時的發(fā)現(xiàn)安全問題，就談不上高效的做出應(yīng)急響應(yīng)。因此，異常流量監(jiān)測技術(shù)在整個網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系中占有十分重要的地位。

　　從目前電信IP網(wǎng)絡(luò)應(yīng)用異常流量監(jiān)測技術(shù)的現(xiàn)狀看，該類產(chǎn)品和系統(tǒng)主要應(yīng)用于電信IP網(wǎng)絡(luò)的骨干網(wǎng)監(jiān)測、城域網(wǎng)監(jiān)測以及IDC網(wǎng)絡(luò)監(jiān)測之中。

　�。ㄒ唬┕歉删W(wǎng)監(jiān)測

　　考慮到骨干網(wǎng)流量大、范圍廣，因此骨干網(wǎng)監(jiān)測主要采用分布式監(jiān)測方式。監(jiān)測的主要目的是通過異常流量監(jiān)測系統(tǒng)和產(chǎn)品的流量自學(xué)習(xí)功能掌握正常流量模型，在此基礎(chǔ)上，能夠?qū)Ψ治龊团袛鄮�寬型“垃圾”流量攻擊，例如SQLSlammer蠕蟲攻擊等垃圾流量在大量占用骨干鏈路資源的情況。

　　（二）城域網(wǎng)監(jiān)測

　　城域網(wǎng)監(jiān)測主要監(jiān)測城域網(wǎng)核心層和匯聚層的設(shè)備流量情況。監(jiān)測的主要目的是及時發(fā)現(xiàn)和定位來自城域網(wǎng)內(nèi)部的蠕蟲攻擊、DDOS攻擊、網(wǎng)絡(luò)濫用行為（如網(wǎng)絡(luò)掃描）、垃圾郵件等安全問題。

　　（三）IDC網(wǎng)絡(luò)監(jiān)測

　　IDC是電信IP網(wǎng)絡(luò)的重要網(wǎng)絡(luò)系統(tǒng)，它主要承載了電信大客戶的資源。因此，對IDC網(wǎng)絡(luò)進(jìn)行監(jiān)測是十分必要的。IDC網(wǎng)絡(luò)監(jiān)測主要是監(jiān)測IDC出口的流量，并將大客戶資源的網(wǎng)絡(luò)訪問作為監(jiān)測的重點(diǎn)，以便及時發(fā)現(xiàn)針對大客戶網(wǎng)絡(luò)資源的攻擊行為，并及時采取響應(yīng)措施。在IDC網(wǎng)絡(luò)環(huán)境中，部署異常流量監(jiān)測系統(tǒng)的同時，還可以將異常流量過濾系統(tǒng)納入其中，提高響應(yīng)速度。

　　在部署異常流量監(jiān)測系統(tǒng)的基礎(chǔ)上，為了提高應(yīng)急響應(yīng)的效率和自動化程度，電信IP網(wǎng)中往往還部署流量過濾系統(tǒng)，與異常流量監(jiān)測系統(tǒng)進(jìn)行聯(lián)動。一旦發(fā)現(xiàn)有異常流量，立即將異常流量引入流量過濾系統(tǒng)進(jìn)行“清洗”，以保護(hù)重要系統(tǒng)或重要客戶網(wǎng)絡(luò)資源，降低異常流量對這些系統(tǒng)的沖擊。異常流量監(jiān)測系統(tǒng)部署如圖1所示。



圖1異常流量監(jiān)測系統(tǒng)部署示意圖

　　圖1給出了在城域網(wǎng)內(nèi)部署異常流量監(jiān)測系統(tǒng)的示意圖。首先將核心層和匯聚層的路由設(shè)備的Netflow信息引入異常流量監(jiān)測系統(tǒng)中。當(dāng)監(jiān)測到異常流量時，則與異常流量過濾系統(tǒng)進(jìn)行聯(lián)動，處理鏈路中的異常流量，保護(hù)重要系統(tǒng)或重要客戶網(wǎng)絡(luò)資源，降低異常流量對這些系統(tǒng)的沖擊。

　　目前，異常流量監(jiān)測技術(shù)正日益成熟，智能化水平不斷提高，在電信IP網(wǎng)絡(luò)中部署此類系統(tǒng)和產(chǎn)品，可以在發(fā)生惡性蠕蟲病毒和大規(guī)模拒絕服務(wù)攻擊時以最快的速度發(fā)現(xiàn)異常存在并報(bào)警，同時盡可能地輔助實(shí)現(xiàn)攻擊來源追溯和目標(biāo)定位，并通過運(yùn)維人員的安全設(shè)置和漏洞修補(bǔ)，實(shí)現(xiàn)保障IP網(wǎng)絡(luò)可用性的安全目標(biāo)。因此，網(wǎng)絡(luò)異常流量監(jiān)測技術(shù)必將在電信IP網(wǎng)絡(luò)占有十分重要的地位，并發(fā)揮顯著作用。

----《通信世界》