现在的位置: 首页 > 综合 > 正文

异常流量监测技术的电信IP网应用

2017年01月11日 ⁄ 综合 ⁄ 共 3283字 ⁄ 字号 评论关闭
 
[推荐]异常流量监测技术的电信IP网应用

作者:

作者:金华敏 庄一嵘    出处:《通信世界》

由于IP网络环境的开放性以及IPv4在设计时缺乏对安全问题的周详考虑,目前IP网络安全形势严峻,从2001年的红色代码、蓝色代码,到2004年的冲击波、震荡波等蠕虫病毒,无不造成大规模的网络中断,带来了大量的资源浪费和数以亿计的经济损失。

蠕虫病毒攻击和分布式拒绝服务攻击,利用网络服务、系统服务的漏洞或利用网络资源、系统资源的有限性,再有就是利用网络协议和认证机制自身的不完善性,通过在短时间内发动大规模网络攻击,消耗特定资源,实现拒绝服务攻击的攻击目标。因此,在众多的网络安全威胁中,蠕虫病毒攻击和分布式拒绝服务攻击是最难以实现有针对性的主动防御的一类网络攻击。

电信IP网络面临十分严峻的网络安全形势,迫切需要实现针对恶性蠕虫和大规模拒绝服务攻击的安全控制,增强网络的自防御能力。在目前众多的网络安全技术中,网络流量异常监测技术是解决异常流量问题的首要技术手段。

一、网络异常流量监测技术现状与发展趋势

(一)网络异常流量监测技术现状

根据对网络异常流量的采集方式可将网络异常流量监测技术分为:基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于Netflow的监测技术三种常用技术。

1.基于网络流量全镜像的监测技术。网络流量全镜像采集是目前IDS主要采用的网络流量采集模式。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备,实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比,流量镜像采集的最大特点是能够提供丰富的应用层信息。

2.基于SNMP的流量监测技术。基于SNMP的流量信息采集,实质上是通过提取网络设备Agent提供的MIB(管理对象信息库)中收集一些具体设备及流量信息有关的变量。基于SNMP收集的网络流量信息包括:输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。

3.基于Netflow的流量监测技术。Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集,在此基础上实现的流量信息采集效率和效果均能够满足网络流量异常监测的需求。

表1对以上三种流量监测技术进行了比较。在综合比较三种技术之后,不难得出以下结论:基于Netflow的流量监测技术能够满足网络流量异常分析的需要,且信息采集效率高,适合在电信级IP网络中应用。

(二)网络异常流量监测技术发展趋势

目前网络异常流量监测技术呈现迅猛发展的态势,技术和产品不断推陈出新,涌现了许多有代表性的产品,例如Arbor、NTG、NetScout等厂商都推出了相应的产品。目前电信级IP网网络异常流量监测技术,主要以基于Netflow的监测技术为主,如中国电信等电信IP网络运营商均部署了基于Netflow监测技术的网络异常流量监测产品和系统。从这些产品的发展历程看,不难得出以下结论:网络异常流量监测技术产品正朝着越来越智能化的方向发展。

异常流量监测系统的智能化主要体现在以下三个方面。

1.流量自学习能力。通过对网络流量的监测掌握网络正常流量模型。此类产品和系统通过监测一段时间的网络流量,建立起一个基于时间的正常流量模型。该模型会在系统内数据库中,对监测网络的各个时间段内的各种协议流量建立一个动态流量基线。当某个时段,某个协议流量与当前基线不符时,会给出一个异常告警,并随着时间积累,会将告警逐步升级。因此,这种智能化的流量学习能力可以更加精确地掌握网络中实际的正常流量的情况,为判断异常流量提供有力的依据。

2.蠕虫攻击特征检测。网络蠕虫攻击一般在流量、协议、攻击端口以及攻击行为方面会具有一定的特征。因此,在对这类网络蠕虫攻击进行监测时可以根据其特征进行判断。此类产品一方面可以根据流量自学习功能掌握正常流量的基础,分析判断出一些异常流量,并提取这些流量特征,还为今后的分析判断提供参考和借鉴;另一方面,此类产品和系统,建立有一套蠕虫攻击特征的分发和收集系统,不断从其他监测点收集新的异常特征,又不断将这些特征分发到域内的监测系统中。因此,这种智能化的蠕虫攻击特征检测可以提高已知蠕虫特征的攻击监测准确性,也可以提高监测未知蠕虫攻击的能力。

3.攻击源的自动追溯。攻击源的自动追溯在发现攻击时,对攻击流量的源头进行反向信息跟踪,并将相关的流量信息进行关联分析,以判断攻击源的位置。此类产品在发现攻击时,根据接口信息、AS、BGP路由等信息,最终将定位出最靠近攻击源的接口信息。因此,这种智能化的攻击源的自动追溯能力可以提高攻击源的定位效率,从而大大提高应急响应的速度。

随着网络异常流量监测技术的日益成熟,异常流量的判断准确性日益提高,它也逐步与异常流量控制的技术紧密的结合在一起了。目前,Arbor等异常流量监测系统已经可以与异常流量过滤系统(如CiscoGuard)进行联动,也可以通过宣告黑洞路由、提供ACL过滤策略等方式与路由设备进行交互来有效的处理异常流量。

二、异常流量监测技术在电信IP网络的应用

在互联网日益成为国家关键信息基础设施的今天,互联网上日益频繁的网络安全事件对互联网安全构成了严峻挑战。电信IP网是国家骨干互联网和国家关键信息基础设施的核心组成部分,其网络安全应急响应体系建设显得尤为迫切和重要。而网络应急响应体系的重要环节之一就是监测,尤其是对网络异常流量的监测工作。没有及时的发现安全问题,就谈不上高效的做出应急响应。因此,异常流量监测技术在整个网络安全应急响应体系中占有十分重要的地位。

从目前电信IP网络应用异常流量监测技术的现状看,该类产品和系统主要应用于电信IP网络的骨干网监测、城域网监测以及IDC网络监测之中。

(一)骨干网监测

考虑到骨干网流量大、范围广,因此骨干网监测主要采用分布式监测方式。监测的主要目的是通过异常流量监测系统和产品的流量自学习功能掌握正常流量模型,在此基础上,能够对分析和判断带宽型“垃圾”流量攻击,例如SQLSlammer蠕虫攻击等垃圾流量在大量占用骨干链路资源的情况。

(二)城域网监测

城域网监测主要监测城域网核心层和汇聚层的设备流量情况。监测的主要目的是及时发现和定位来自城域网内部的蠕虫攻击、DDOS攻击、网络滥用行为(如网络扫描)、垃圾邮件等安全问题。

(三)IDC网络监测

IDC是电信IP网络的重要网络系统,它主要承载了电信大客户的资源。因此,对IDC网络进行监测是十分必要的。IDC网络监测主要是监测IDC出口的流量,并将大客户资源的网络访问作为监测的重点,以便及时发现针对大客户网络资源的攻击行为,并及时采取响应措施。在IDC网络环境中,部署异常流量监测系统的同时,还可以将异常流量过滤系统纳入其中,提高响应速度。

在部署异常流量监测系统的基础上,为了提高应急响应的效率和自动化程度,电信IP网中往往还部署流量过滤系统,与异常流量监测系统进行联动。一旦发现有异常流量,立即将异常流量引入流量过滤系统进行“清洗”,以保护重要系统或重要客户网络资源,降低异常流量对这些系统的冲击。异常流量监测系统部署如图1所示。


图1:异常流量监测系统部署示意图

图1给出了在城域网内部署异常流量监测系统的示意图。首先将核心层和汇聚层的路由设备的Netflow信息引入异常流量监测系统中。当监测到异常流量时,则与异常流量过滤系统进行联动,处理链路中的异常流量,保护重要系统或重要客户网络资源,降低异常流量对这些系统的冲击。

目前,异常流量监测技术正日益成熟,智能化水平不断提高,在电信IP网络中部署此类系统和产品,可以在发生恶性蠕虫病毒和大规模拒绝服务攻击时以最快的速度发现异常存在并报警,同时尽可能地辅助实现攻击来源追溯和目标定位,并通过运维人员的安全设置和漏洞修补,实现保障IP网络可用性的安全目标。因此,网络异常流量监测技术必将在电信IP网络占有十分重要的地位,并发挥显著作用。

抱歉!评论已关闭.