摘要:运营商高度关注IP城域网的安全问题,同时迫切需要一套安全管理系统对IP城域网进行有效的管理。本文以IP城域网的流量监控与控制为出发点,对系统的组成和功能进行了探讨和研究。
关键词:安全IP城域网异常流量攻击
1引言
进人21世纪以来,随着中国信息产业的持续快速发展,国内电信运营商数量的不断增加,国内电信业的竞争也越来越激烈。国内的电信运营商在不断对其网络进行建设和扩容以满足网络容量和性能需要的同时,也在不断地对其业务管理平台、业务支撑平台进行建设和完善。
随着IP城域网络规模和业务的发展,网络建设和发展的重点从“面向网络”逐渐向“面向业务、面向用户”的方向发展,原有的管理手段和支撑系统已经不能够适应互联网络发展需要。因此,运营商迫切需要建设功能和性能更加强大的业务管理平台和支撑平台对IP城域网络进行高效全面的管理与监测。
互联网与传统的交换和数据专线网络相比有很大的特殊性,用户数量大,业务情况复杂、对用户的业务虽和使用情况很难统计;并且目前网络设备功能主要为高速的交换和转发,对流量缺乏足够的统计、分析和控制。运营商目前只能掌握每条中继电路的流量总量情况,但是很难了解网络中流量成分情况和流量流向情况。同时,随着互联网业务的发展,网络中的安
全攻击、蠕虫病毒、异常流量和垃圾流量也越来越多,这些流量占用了网络的很大带宽,并且对运营商的网络以及用户造成了很大的影响。
2研究的必要性
目前,没有单独的电信网络安全管理系统,对网络安全的监测主要是通过NetFlow数据采集分析、交换机设备端口镜像数据分析、系统109信息采集等手段来实现的;对网络安全的控制主要是通过运维人员部署访问控制列表、设置路由吸收桶等方法来实现的。以上这些手段或是分布在几个分散的系统里,或是需由运维人员手动配置,难以相互协调配合,形成一个完整有效的安全管理系统。
因此,运营商迫切需要一套网络安全管理系统对互联网的流量进行全面的分析并对网络中的流量(尤其是异常流量)进行监控。通过对互联网流量的监控,运营商可以更好地了解网络的运行情况和用户的使用情况,有针对性地对网络进行建设并指导业务的发展;同时,通过对异常流量的监控,运营商可以更即时、准确地发现和定位网络中的异常流量并对异常流量进行过滤和控制。
3研究的目标
研究IP城域网网络安全管理系统,实现网络和服务可用性的安全目标。
第一,当网络攻击发生时,从IP城域网的层面,对异常流量攻击实施有效监控和定位。
第二,能够及时响应,对异常流量和一些非法应用进行控制,保证IP城域网的正常运行。
4系统组成
此系统分为三部分,即异常流量监测系统、中心分析处理系统、策略执行系统异常流量监测系统可采用多种方式实现:对于出日设备,可采用NetFlow方一式采集数据,对流量流向、应用分布进行统计分析;对于汇聚设备,可采用串接设备或镜像链路采集数据,精确复制每一个数据包网络流量监测系统将采集结果交给中心分析处理系统分析处理
中心分析处理系统负责分析网络流量监测系统采集的数据,结合病毒、攻击特征库,判断流量是否异常;若异常,给;出告警,生成并下发策略策略执行系统接收中心分析处理系统的指令,对异常流量执行封堵、限速、导流、串扰等智能过滤操作,对异常流量的源设备给出警告或提示。
4.1流量采集对象
网络安全管理系统的管理对象为IP城域网的路由器设备:
目前,城域网主要采用Cisco和华为的路由器设备路由器设备的主要端「l类型包括10GPOS/2.SGPOS/GE/155MPOS等。
4.2流量采集点的设置
流量采集点主要设置在lP城域网与骨干网及其它运营商网络互联点,以及城域网汇聚到一般核心连接的点。对从其它AS进入到IP城域网的流量以及城域网内部的交换流量进行数据分析,从而实现对所有出人IP城域网骨干网的流量以及城域网内部的交换流量进行分析。
4.3系统部署规模
网络安全管理系统的性能应能够满足对IP城域网内的全部流量进行分析其中,采集器负责对进入该节点的流量进行采集和本地分析,分析服务器负责对各采集器的结果进行汇总和关联分析,过滤设备负责将发现的异常流量进行智能过滤。设想IP城域网结构主要分为超级核心层、一般核心层、汇聚层以及接人层,整个网络分为n个片区,共分为a个超级核心节点,b个一般核心节点,c个汇聚节点。
4.4系统部署方案
(l)异常流量监测系统的部署
异常流量监测系统分片区对整个lP城域网流量
进行全面监控,共分为n个主要片区(见图1)
在IP城域网的核心层共部署n台异常流量监测设备,每个片区部署一台采集器分别采集本片区的数据信息,对数据信息进行本地化处理;其中一台采集器同时作为分析服务器,对其它n一1台采集器所处理的数据进行汇总,并进行关联性分析
在IP城域网的汇聚层共部署c台能够分析1一7层协议的流量监测设备,对原始数据进行拆包分析
(2)策略执行系统的部署
在IP城域网部署n台过滤设备,每个片区部署一台,异常流量监测系统可与本片区的智能过滤设备产生联动,从而有效地对网络内部的各类异常流量和非法应用进行控制和过滤。
5安全管理系统功能要求
5.1基本功能
具有检测IP骨干网上病毒和攻击的功能。收集互联网络所有的病毒、漏洞、攻击特征,生成数据库,为其他模块提供甄别依据及处理手段。为保持数据的时效性,此数据库应能定期更新,需与其他的防病毒、防攻击系统有接口此外,还应为运维人员提供经验处理定制界面,可将运维人员积累的防病毒、防攻击经验补充至数据库中。
(l)对网络中常见的的DoS/DDoS攻击和滥用(TCPSYN/ICMpPing/TCPrese灯Ipfragment等),即使在流量相对不大的情况下,系统应当具备发现、记录和报警功能,对于DOS/DDOS攻击的报警,具备报警门限设置功能。
(2)对于网络中的其它异常流量,系统本身具备基于IP地址、端口、应用或者其它流量特征的定义。
(3)系统能够分析当前网络异常流量,进行原因分析、判断异常行为的类别,实现异常流量来源追溯并确定其影响目标(主机或网段),并进一步判断网络异常流量的风险程度。
(4)系统基于常见的异常流量提供完善特征库,支持特征库升级,以应付不断变化的网络情况。
(5)能够精确分析每个数据包,监控一些非法应用,可以自定义需要监控的应用。
(6)系统能够对发现的异常流量和非法应用进行智能过滤。
5.2流量采集功能
(l)系统能够采集数据,精确复制每一个数据包和支持接收NetFlowVI,VS,V7,VS,Vg格式的流量数据,并进行异常流量检测。系统支持接收Cflow山sFlow格式的流量数据,并进行异常流量检测。
(2)流量分析系统支持转发采集的数据包和接收到的NetFlow/sFlow/cflowd数据,以供其他系统进行统计分析。
(3)在不同路由器上可能设置不同的采样率,因此系统应该能够根据每台路由设备不同的采样率对从该设备采集的数据进行还原,以得到正确的统计结果。
5.3异常流量分析功能
(l)网络整体异常流量分析系统能够对进出lP城域网的全部流量进行网络整体异常流量分析。
(2)支持对异常流量进行动态分析.
实现网络异常流量监控。系统实时对网络中正常流量形成流量模型,根据网络正常的网络流量模型动态分析网络中流量的异常,并能找出网络中异常流量。.
系统提供。基线分析功能、应用(协议)异常流量分析、网络设备异常流量分析功能、异常流量特征库分析功能。系统能够根据预先定义的阑值,自动触发异常流量报警。
(3)支持基于主机的异常流量分析
.针对个体主机,对于常见的DoS心005攻击和滥用(TCpSYN/ICMPPing/TCPrese灯Ipfragment等)具有阀值设定及告警功能。
能够对主机带宽异常进行分析,异常分析中具体给出源地址,目的地址,源端口,目的端口,四层协议,TcPFLAG,Interfaee的描述,并显示告警。
(4)支持基于网络设备的异常流量分析
.测量出网络设备受异常流量影响而性能降低的严重程度。
.通过SNMP来取得网络设备上的相关性能指标(CPU使用率、内存使用率及掉包数)。
.网络流量超出使用者所定义的正常流量基准线的阂值时,系统能够触发异常告警。
.对于一个特定的设备,当数据传输模式的包/每秒的流量超出了可被接受的限度,系统产生异常报警。
.能够对设备异常带宽进行分析,异常分析中具体给出源地址,目的地址,源端口,目的端口,四层以上协议TCPFLAG,Interfaee的描述,并显示告警。
(5)支持对私有IP/D盯kIP(网络非法地址)的异常流量分析
.针对网络非法地址的流量进行实时检测,及时发现非法地址对网络的攻击。
.能够区分DarkIp和privateIp。
(6)支持基于特征检测的异常流量分析
.支持针对网络蠕虫(及病毒)与DoS/DDoS攻击特性所设计的特征来侦测已知的网络攻击。
.支持使用者定义的特征,可通过手工添加攻击/病毒的特征信息。
.系统能够比对不同流量的特性,有效地侦测出已知和未知的网络攻击。
(7)病毒特征码分析
根据病毒的特征码定义,实现全网的病毒扫描,找到病毒源(如SQLWorm源),避免病毒占用宝贵的互联链路资源。当网络可能出现病毒的时候就马上通过病毒爆发事前的扫描等异常流量和特征行为扫描定位病毒并找到源头进行控制,对已经爆发的病毒实现精确和全网关联的控制。
5.4异常流量的应对策略
(l)系统能自动标识出所受影响的设备,并给出针对攻击缓解,提供详细措施。
.系统必须提供源地址,目地地址,源端口,目的端口,协议,包传输率,包的大小,以及与网络异常相关的TcPnag信息
.系统能自动给出符合Cisco,华为或Juniper语法的流量限制的访问控制列表(ACL),通过自动或手动的方式缓解网络攻击造成的影响。
(2)当网络出现异常流量时,可以通过实时性的流量分析检测出来。能够迅速地检测异常、追踪攻击的路径和受影响网络设备,并自动实施措施阻挡异常流量的蔓延,避免异常流量继续影响网络的运行当异常流量模块监测到网络受到攻击时,异常流量模块能够提供相应的建议,用以缓解网络攻击造成的影响,以供维护人员参考。
(3)系统能够根据异常流量的类型,与第三方过滤设备进行联动,实现对异常流量的智能过滤。
6 结束语
网络安全管理系统能够为IP城域网提供网络维护和业务增值上的帮助,主要表现在:
(l)网络维护支持
在网络发生DDOS或蠕虫攻击时给安全管理人员提供迅速排除故障的手段。当网络中发现大规模的安全攻击时,安全管理人员可以通过网络安全管理系统对异常流量的实时监控发现异常流量和攻击的类型和来源,并且能够追查到攻击的路径;系统还提供给安全管理人员非常具体和明确的对应手段,让安全管理人员在短时间内阻挡和清理攻击,避免网络资源和网络设备受到更深远影响。
发现恶意发出攻击的用户或设备被病毒/蠕虫感染的用户。在异常流量分析中,经常能够发现一些用户恶意发出攻击或用户设备被感染而发出攻击。安全管理人员可以及时提醒用户或采取适当和必要的措施,以保护IP城域网资源和其他用户的安全。预先警觉未知的DDoS或病毒/蠕虫攻击。以往在使用依赖已知的特征数据库来识别网络攻击的安全设备时,安全管理人员往往无法检测和识别新型或变种的攻击。由于异常流量监测系统是采用寻找与正常网络行为比较有偏差地方的模式,因此任何类型的攻击,无论是已知的还是新生的,都因为它对网络正常行为的影响而被检测到。
对一些非法应用进行限制,比如BT这样大量耗费网络资源的应用,对网络的性能造成很大的影响。
(2)业务增值
当互联网接人变得对业务越来越关键时,把他们自己和竞争者区别开的运营商将能收取更高的价格并且赢得一个更广泛的用户基础。
搜论文知识网致力于为需要刊登论文的人士提供相关服务,提供迅速快捷的论文发表、写作指导等服务。具体发表流程为:客户咨询→确定合作,客户支付定金→文章发送并发表→客户接收录用通知,支付余款→杂志出版并寄送客户→客户确认收到。鸣网系学术网站,对所投稿件无稿酬支付,谢绝非学术类稿件的投递!