流量監(jiān)控安全技術(shù)研究

中國(guó)移動(dòng)集團(tuán)重點(diǎn) /聯(lián)合研發(fā)項(xiàng)目結(jié)題匯報(bào)報(bào)告 項(xiàng)目名稱： 流量監(jiān)控安全技術(shù)研究 項(xiàng)目編號(hào)： 第 2頁(yè) 一 . 開題計(jì)劃完成情況 目 錄 二、主要研究成果 第 3頁(yè) 1.1 研究背景及目標(biāo) 1.明確策略，完善標(biāo)準(zhǔn) 2. 制定適合 CMNET的安全控制方案 3.推動(dòng)廠商形成具備基本功能的首批安全產(chǎn)品 2009 策略標(biāo)準(zhǔn) 方案制定 技術(shù)產(chǎn)品 項(xiàng)目目標(biāo) 研究背景 1. 面向我公司實(shí)際網(wǎng)絡(luò)需求，研究了基于標(biāo)記的流量調(diào)度方案，研究驗(yàn)證，申請(qǐng)專利，并推動(dòng)現(xiàn)網(wǎng)應(yīng)用。 2. 面向?qū)嶋H部署需求，并結(jié)合基于標(biāo)記的流量調(diào)度方案，推動(dòng)產(chǎn)品基于單包檢測(cè)，并制定標(biāo)準(zhǔn)的通信管理接口。 3. 面向?qū)嶋H業(yè)務(wù)和組網(wǎng)需求，制定了集中出入口和各省網(wǎng)之間的協(xié)同工作模式和業(yè)務(wù)分類安全管控模型。 2010 應(yīng)用擴(kuò)展 一、 CMNET互聯(lián)出入口帶寬擁塞，流量管控迫在眉睫 二、攻擊技術(shù)迅速發(fā)展 CMNET互聯(lián)出入口帶寬擁塞，公司進(jìn)行了流量控制設(shè)備的直路部署，初步緩解了基于 P2P等帶寬濫用所造成的流量擁塞。 隨著 TD-SCDMA和 TD-LTE的廣泛使用，分組域數(shù)據(jù)流量明顯上漲，終端智能化和 IP化的進(jìn)展，造成了 DDoS攻擊和僵木蠕病毒等異常流量呈現(xiàn)上升和難以抑制的趨勢(shì)。 攻擊流量匯聚所造成的服務(wù)中斷已經(jīng)不能通過(guò)防火墻、 IPS等安全設(shè)備控制。 2009至 2010年 DDoS所造成帶寬占用增長(zhǎng) 1倍以上，“暴風(fēng)影音”等重大事件凸顯。 隨著移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展和新業(yè)務(wù)的產(chǎn)生，攻擊和病毒技術(shù)有了新的提高，黑色產(chǎn)業(yè)鏈成熟，攻擊類別和能力都有了新的提高。 第 4頁(yè) 1.2 主要研究?jī)?nèi)容及分工 流控系統(tǒng) 異常流量清洗 僵木蠕檢測(cè) 單層流量調(diào)度 項(xiàng)目總體協(xié)調(diào)工作由研究院負(fù)責(zé)： 1. 協(xié)調(diào)項(xiàng)目， 優(yōu)化資源 2. 把握整體技術(shù)發(fā)展方向 分流路由配置 DNS 多層流量協(xié)同 集中管控 多應(yīng)用擴(kuò)展 分場(chǎng)景路由配置 單層方案組網(wǎng)驗(yàn)證 -研究院與北京公司 DNS安全監(jiān)控方法研究 -四川公司 基于標(biāo)記的流量調(diào)度方案 多標(biāo)記方案 -研究院負(fù)責(zé) 單包檢測(cè)方法 -研究院負(fù)責(zé) 標(biāo)記與牽引共組網(wǎng) -研究院與北京公司 方案設(shè)計(jì) -研究院負(fù)責(zé) 需求提供 -四川公司 方案驗(yàn)證 -北京公司 基于業(yè)務(wù)類別流量調(diào)度由研究院牽頭負(fù)責(zé)： 省公司根據(jù)實(shí)際運(yùn)營(yíng)需求，進(jìn)一步促進(jìn)研究院技術(shù)研發(fā)，使得技術(shù)創(chuàng)新工作更有針對(duì)性 場(chǎng)景分類和需求由省公司負(fù)責(zé)： 研究院從技術(shù)角度提出方案建議，從總體上把握項(xiàng)目的研發(fā)方向 由研究院牽頭負(fù)責(zé) 由研究院牽頭負(fù)責(zé) 旁路 DNS監(jiān)控 方法 -四川公司 多層方案驗(yàn)證 -北京公司 流控與異常流量互操作接口 -研究院負(fù)責(zé) 異常流量清洗統(tǒng)一管理接口 僵木蠕檢測(cè)統(tǒng)一管理接口 -研究院負(fù)責(zé) 第 5頁(yè) 1.3 開題計(jì)劃完成情況總結(jié) (1/2) 開題要求 研究報(bào)告 方案規(guī)范 專利及其他 完成單位 11份報(bào)告 （ 15/11） 中國(guó)移動(dòng)異常流量測(cè)試報(bào)告 中國(guó)移動(dòng)惡意代碼檢測(cè)測(cè)試報(bào)告 互聯(lián)互通接口染色方案驗(yàn)證報(bào)告 CMNET互聯(lián)互通出口異常流量防護(hù)方案 流控與異常流量清洗設(shè)備互操作方案 CMNET全網(wǎng)異常流量部署總體方案 中國(guó)移動(dòng)異常流量清洗設(shè)備技術(shù)規(guī)范 中國(guó)移動(dòng)惡意代碼檢測(cè)設(shè)備技術(shù)規(guī)范 中國(guó)移動(dòng)異常流量清洗設(shè)備測(cè)試規(guī)范 中國(guó)移動(dòng)惡意代碼檢測(cè)設(shè)備測(cè)試規(guī)范 中國(guó)移動(dòng)異常流量與流控接口規(guī)范 中國(guó)移動(dòng)異常流量清洗系統(tǒng)統(tǒng)一管理平臺(tái)技術(shù)規(guī)范 中國(guó)移動(dòng)惡意代碼檢測(cè)系統(tǒng)統(tǒng)一管理平臺(tái)技術(shù)規(guī)范 中國(guó)移動(dòng)異常流量清洗系統(tǒng)統(tǒng)一管理平臺(tái)接口規(guī)范 中國(guó)移動(dòng)惡意代碼檢測(cè)系統(tǒng)統(tǒng)一管理平臺(tái)接口規(guī)范 YF0912035一種流量控制系統(tǒng)和方法 研究院 2份報(bào)告 （ 2/2） 省公司異常流量現(xiàn)網(wǎng)測(cè)試報(bào)告 省網(wǎng)異常流量防護(hù)指導(dǎo)方案 北京公司 共計(jì)研究報(bào)告 4份，方案規(guī)范 13份，專利 1項(xiàng)，并推動(dòng)相關(guān)產(chǎn)品以及現(xiàn)網(wǎng)部署 2份報(bào)告 （ 3/3） DNS防護(hù)系統(tǒng)技術(shù)規(guī)范 DNS防護(hù)系統(tǒng)測(cè)試規(guī)范 DNS防護(hù)系統(tǒng)部署方案研究 四川公司 第 6頁(yè) 一 . 開題計(jì)劃完成情況 目 錄 二、主要研究成果 第 7頁(yè) 項(xiàng)目主要內(nèi)容 基于標(biāo)記的流量調(diào)度方案 基于多層協(xié)同流量清洗方案 流量標(biāo)記的方法和規(guī)則 流量調(diào)度的策略和操作 雙向檢測(cè)的路由策略 下游加流控 四層交換機(jī) 路由器端口鏡像 快速以太網(wǎng)通道 標(biāo)記分配的原則和方法 多層異構(gòu)流量調(diào)度分析 全標(biāo)記 標(biāo)記 +牽引 標(biāo)記 +牽引 +靜態(tài) 流量回注策略 異常流量清洗和流控的接口 集中管控方案 多應(yīng)用擴(kuò)展 異常流量清洗系統(tǒng)多廠家協(xié)同管理接口 異常流量清洗系統(tǒng)多廠家協(xié)同管理接口 安全 DPI體系架構(gòu) 基于不同應(yīng)用類別的流量調(diào)度 用于數(shù)據(jù)中心的流量調(diào)度 基于用戶特征 基于業(yè)務(wù)特征 用于實(shí)驗(yàn)室建設(shè)的流控方法 11 11 10 11 10 01 11 11 10 11 10 01 10 10 01 00000000 流 控 設(shè) 備依 據(jù) 分 類打 標(biāo) 簽A類 應(yīng) 用 清 洗PS域企 業(yè) 用 戶IDCDDoS流量 清 洗InternetDPI監(jiān) 測(cè)B類 應(yīng) 用 清 洗C類 應(yīng) 用 清 洗D類 應(yīng) 用 清 洗第 8頁(yè) 2.1基于標(biāo)記的流量調(diào)度方案 需求分析（ 1） 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 I n t e r n e t1 8 U 清 洗 中 心3 U N e t F l o w 檢 測(cè) 中 心管 理 中 心存 儲(chǔ) 組攻 擊 包 數(shù) 據(jù)清 洗 前 流 量正 常 數(shù) 據(jù) 包清 洗 后 流 量P S 域8 U D P I 檢 測(cè) 中 心8 U 清 洗 中 心企 業(yè) 用 戶管 理 中 心I D C引 流 - 回 注分 光 / 鏡像C o r eI n t e r n e t2 0 U 2 0 U防 火 墻 + N A TP S 域清 洗 前 流 量清 洗 后 流 量旁路 DFI+流量牽引 旁路 DPI+流量牽引 直路全流量清清洗 適于解決小流量攻擊 較細(xì)粒度檢測(cè) 全流量串入骨干網(wǎng)絡(luò)風(fēng)險(xiǎn)較高 與既有的寬廣設(shè)備有一定的功能交叉 放在現(xiàn)有出入口方案中處在多次解數(shù)據(jù)包的重復(fù)工作 適于解決大流量攻擊 粗粒度檢測(cè) 節(jié)省成本 Netflow-based檢測(cè)中心可復(fù)用 適于解決小流量攻擊 較細(xì)粒度檢測(cè) 有一定光衰影響 與既有的寬廣設(shè)備有一定的功能交叉 放在現(xiàn)有出入口方案中處在多次解數(shù)據(jù)包的重復(fù)工作 第 9頁(yè) 2.1基于標(biāo)記的流量調(diào)度方案 需求分析（ 2） 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 綜上，可以看出，骨干網(wǎng)出入口不適合簡(jiǎn)單使用直路部署方案，通過(guò)基于動(dòng)態(tài)路由的牽引回注方式難以滿足需求，需要一種新方案簡(jiǎn)化維護(hù)難度，提高效率。 NAT、虛擬化等業(yè)務(wù)方式受限制 逐鏈路部署，投資大 產(chǎn)生多次清洗，感受差 全流量分析，效率低 配置繁復(fù)多變，維護(hù)難 引入了新故障點(diǎn) 導(dǎo)致后果 技術(shù)難題 牽引回注缺陷 直路部署缺陷 第 10頁(yè) 2.1基于標(biāo)記的流量調(diào)度方案 技術(shù)方案 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 時(shí)間 固定基線（紅） 流量值（黑） 超越臨界值 超越臨界值 超越臨界值 動(dòng)態(tài)基線（藍(lán)） 流量 流 控 設(shè) 備依 據(jù) 分 類打 標(biāo) 簽A 類 應(yīng) 用 清 洗P S 域企 業(yè) 用 戶I D CD D o S 流量 清 洗I n t e r n e tD P I 監(jiān) 測(cè)B 類 應(yīng) 用 清 洗C 類 應(yīng) 用 清 洗D 類 應(yīng) 用 清 洗流控設(shè)備依照流量基線與實(shí)際流量進(jìn)行對(duì)比，當(dāng)流量不符合基線形態(tài)，就判定流量異常。 路由器根據(jù)標(biāo)記，進(jìn)行策略路由，將流量進(jìn)行分發(fā)。 安全設(shè)備 安全設(shè)備 標(biāo)記流量 分發(fā)流量 無(wú)標(biāo)記流量返回 已決策 0跳采用流控專有接口輸出 1跳之內(nèi)可使用 VLAN標(biāo)識(shí) 2跳以上須使用 TOS/DSCP 標(biāo)記規(guī)劃 第 11頁(yè) 2.1基于標(biāo)記的流量調(diào)度方案 雙向檢測(cè) 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 1）下游增加流控設(shè)備 2）路由器換為四層交機(jī) 依據(jù)端口號(hào) 區(qū)分業(yè)務(wù)并分流 3）啟動(dòng)路由器端口鏡像 在路由器的 上下游端口， 對(duì)源 /目的 IP， 以及 port進(jìn)行 hash，根據(jù) hash值確定 回來(lái)的流量 發(fā)往哪個(gè)端 口。 3） EtherChannel 1）判斷準(zhǔn)確但增加 網(wǎng)元，增加投資 2）判斷較準(zhǔn)，無(wú)需增 加網(wǎng)元但需增加投資 3）回流準(zhǔn)確但需增加 路由器端口，增加安全 設(shè)備處理能力 4）無(wú)需增加網(wǎng)元，無(wú) 需增加安全設(shè)備處理能 力，判斷較準(zhǔn) 全流量鏡像 安全設(shè)備 第 12頁(yè) 2.2 基于多層協(xié)同流量清洗方案 總體方案 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 如果使用兩位預(yù)留位就可以達(dá)到多層拒絕服務(wù)攻擊過(guò)濾的目的 使用多層拒絕服務(wù)攻擊防護(hù)方案可以避免單點(diǎn)防護(hù)投資過(guò)大的問(wèn)題 安全運(yùn)維模式可能會(huì)有調(diào)整，安全策略的維護(hù)將專業(yè)性更強(qiáng)，數(shù)據(jù)專業(yè)的安全運(yùn)維能力將加大。 需要指出的是用戶側(cè)可能存在基于染色的攻擊或繞開安全控制，只需將凡是來(lái)自用戶側(cè)的攜帶染色標(biāo)記的流量過(guò)濾即可解決 其他運(yùn)營(yíng)商 互聯(lián)出口標(biāo)記 骨干網(wǎng)層防護(hù) 城域網(wǎng)層防護(hù) 接入網(wǎng)層防護(hù) 11 11 10 11 10 01 11 11 10 11 10 01 10 10 01 00000000 第 13頁(yè) 2.2 基于多層協(xié)同流量清洗方案 分場(chǎng)景策略 一級(jí)應(yīng)用場(chǎng)景 二級(jí)應(yīng)用場(chǎng)景 骨干層，互聯(lián)出口，安全級(jí)別最高級(jí)，流量檢測(cè)及清洗設(shè)備要求大顆粒、高精度，高性能； 大區(qū)級(jí)省網(wǎng)出口、城域網(wǎng)出口，安全級(jí)別較高，流量檢測(cè)及清洗設(shè)備要求大顆粒、高精度，高性能； 直轄市及普通省網(wǎng)出口，安全級(jí)別一般，流控及清洗設(shè)備精度及處理能力要求低于前兩種場(chǎng)景； 分大區(qū) 分地市 安全級(jí)別 防 DDos攻擊四種典型應(yīng)用場(chǎng)景 三級(jí)應(yīng)用場(chǎng)景 四級(jí)應(yīng)用場(chǎng)景 互聯(lián)點(diǎn) 直轄市 地市級(jí)出口，安全級(jí)別一般，可以按需考慮部署流控及清洗設(shè)備； 防 DDOS攻擊 五種關(guān)鍵元素 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 第 14頁(yè) 2.2 基于多層協(xié)同流量清洗方案 標(biāo)記規(guī)劃 使用預(yù)留位解決清洗問(wèn)題 復(fù)用 QoS進(jìn)行協(xié)議分類，并利用其它位創(chuàng)建小類 共同規(guī)劃 CMNet省網(wǎng) 核心路由器 業(yè)務(wù)接入控制點(diǎn) 業(yè)務(wù)接入控制點(diǎn) BRAS SR BRAS SR 業(yè)務(wù)接入控制點(diǎn)用戶側(cè) QoS配置 流分類 標(biāo)記（安全） 限速 核心路由器上行接口 QoS配置 隊(duì)列調(diào)度 &擁塞控制 流量清洗 核心路由器和業(yè)務(wù)接入控制點(diǎn)網(wǎng)絡(luò)側(cè) QoS配置 隊(duì)列調(diào)度 &擁塞避免 專有協(xié)議安全控制 二層接入網(wǎng)絡(luò) 根據(jù) 802.1p優(yōu)先級(jí)進(jìn)行隊(duì)列調(diào)度 將 DSCP優(yōu)先級(jí)映射到 802.1p優(yōu)先級(jí) 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 待決策 第 15頁(yè) 2.2 基于多層協(xié)同流量清洗方案 標(biāo)記分配 類別 DSCP VLAN PRI EXP PRI 隊(duì)列調(diào)度 擁塞避免 業(yè)務(wù)類型（參考） CS7 56 7 7 PQ Tail drop 業(yè)務(wù)信令（如 IMS信令） CS6 48 6 6 PQ Tail drop 網(wǎng)絡(luò)控制信息 EF 46 5 5 PQ Tail drop 集團(tuán)客戶實(shí)時(shí)語(yǔ)音類（如 IMS語(yǔ)音） AF41 34 4 4 WRR/WFQ WRED 集團(tuán)客戶視頻和流媒體類（如IMS視頻和多媒體業(yè)務(wù)） AF31 26 3 3 WRR/WFQ WRED 集團(tuán)客戶虛擬專網(wǎng)業(yè)務(wù) AF21 18 2 2 WRR/WFQ WRED 預(yù)留 AF11 10 1 1 WRR/WFQ WRED 預(yù)留 BE 0 0 0 WRR/WFQ WRED 個(gè)人互聯(lián)網(wǎng)業(yè)務(wù)、集團(tuán)客戶互聯(lián)網(wǎng)業(yè)務(wù) 1st CC 1 0 0 n/a WRED 第一級(jí)異常流量清洗 2nd cc 7 0 0 WRR/WFQ WRED 第二級(jí)異常流量清洗 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 第 16頁(yè) 2.2 基于多層協(xié)同流量清洗方案 現(xiàn)網(wǎng)驗(yàn)證 基于標(biāo)記分流 B r e a k i n g P o in t E l i t e終 端服 務(wù) 器A D S 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 多層協(xié)同流量清洗方案驗(yàn)證 單層協(xié)同流量清洗方案驗(yàn)證 基于標(biāo)記分流 BGP牽引 基于標(biāo)記分流 BGP牽引 靜態(tài)路由 根據(jù)北京公司現(xiàn)網(wǎng)驗(yàn)證， ADS使用完全與現(xiàn)網(wǎng)一致的配置，采取多級(jí) DSCP標(biāo)記，模擬了出入口、省骨干網(wǎng)和接入網(wǎng)多級(jí)多策略的流量牽引調(diào)度。策略包括基于標(biāo)記的分流、 BGP路由牽引和靜態(tài)路由等三種不同規(guī)則。驗(yàn)證結(jié)果符合預(yù)期，未出現(xiàn)多次清洗和流量調(diào)度不準(zhǔn)確情況。 回注流量DSCP標(biāo)記還原為“ 0” 回注方式 第 17頁(yè) 2.2 基于多層協(xié)同流量清洗方案 與流控接口 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 日志類型字串 含義 Severity SeverityValue 備注 divert_start 清洗指令 Notice 5 流控系統(tǒng) -流量清洗系統(tǒng) threshold_update 目標(biāo)值更新 Notice 5 流控系統(tǒng) -流量清洗系統(tǒng) divert_status 清洗狀態(tài) Notice 5 流量清洗系統(tǒng) -流控系統(tǒng) divert_running 清洗進(jìn)行中 Notice 5 流量清洗系統(tǒng) -流控系統(tǒng) confirm 確認(rèn)消息 Notice 5 雙方 divert_start（ DST， TSD） confirm 清洗指令 目標(biāo)更新 threshold_update（ DST， TSD） confirm 清洗開始 divert_status （ STA， AFg） confirm 清洗遇忙 divert_running （ CAP， DOID） confirm 停止新任務(wù) 響應(yīng)中斷 confirm confirm 停止標(biāo)記 待決策 接口消息 消息處理流程 第 18頁(yè) 2.3 集中管控方案 總體方案（ 1） 多 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 安全態(tài)勢(shì)特征數(shù)據(jù)庫(kù) 統(tǒng)一安全策略控制平臺(tái) IP信譽(yù) 數(shù)據(jù)包特征 用戶行為特征 網(wǎng)絡(luò)行為特征 待檢測(cè)數(shù)據(jù)特征 統(tǒng)一安全態(tài)勢(shì)分析平臺(tái) 安全態(tài)勢(shì)評(píng)價(jià)模型 事件趨勢(shì)預(yù)測(cè)模型 Internet WLAN 3G/LTE LAN PON 個(gè)人 客戶 家庭 客戶 集團(tuán) 客戶 BRAS GGSN DPI設(shè)備 接入層 承載層 終端 流控 Web Cache CDN 流量清洗 不良信息 僵尸 /木馬 流控 彩信計(jì)費(fèi) 應(yīng)用層 P2P Cache 流控 云安全平臺(tái) 蜜網(wǎng)系統(tǒng) 客戶安全組 AD攻防平臺(tái) FW IPS IDS Security Client 網(wǎng)絡(luò)用戶行為分析平臺(tái) 全網(wǎng)控制策略部署平臺(tái) 接受控制策略 上報(bào)安全態(tài)勢(shì) 接受用戶模板 待決策 第 19頁(yè) 2.3 集中管控方案 總體方案（ 2） 多 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 多 點(diǎn)感知，多層感知是面對(duì)未來(lái)復(fù)雜安全環(huán)境的重要技術(shù)特征。 通過(guò)對(duì)終端、接入、承載和應(yīng)用部署分布式感知點(diǎn)，感知網(wǎng)絡(luò)行為、應(yīng)用內(nèi)容和用戶行為等多層信息，達(dá)到網(wǎng)絡(luò)和信息安全的全面監(jiān)控。 多 點(diǎn)控制，多級(jí)控制是未來(lái)多網(wǎng)融合電信運(yùn)營(yíng)商復(fù)雜網(wǎng)絡(luò)控制技術(shù)的發(fā)展方向。 通過(guò)在網(wǎng)絡(luò)側(cè)出入口等集中位置和終端側(cè)可控軟件模塊部署分布式控制點(diǎn)，可以達(dá)到安全控制策略精細(xì)化和防御縱深一體化，完成全網(wǎng)監(jiān)控。 一 點(diǎn)決策，一處維護(hù)是降低網(wǎng)絡(luò) OPEX和加強(qiáng)網(wǎng)絡(luò)集中管控的重要舉措。 通過(guò)在網(wǎng)絡(luò)側(cè)統(tǒng)一部署安全態(tài)勢(shì)分析和策略控制平臺(tái)，可以達(dá)到全網(wǎng)安全狀態(tài)和趨勢(shì)準(zhǔn)確呈現(xiàn)和預(yù)測(cè)，安全策略及時(shí)下發(fā)，完成全網(wǎng)態(tài)勢(shì)監(jiān)控。 用戶行為 應(yīng)用內(nèi)容 網(wǎng)絡(luò)行為 流量清洗 不良信息 僵尸 /木馬 流控 云安全平臺(tái) 蜜網(wǎng)系統(tǒng) AD攻防平臺(tái) 感知 控制 客戶安全組 各模塊現(xiàn)狀 各模塊演進(jìn) 流控 調(diào)度 &染色 先驗(yàn)感知 云安全平臺(tái) AD攻防平臺(tái) 蜜網(wǎng)系統(tǒng) 態(tài)勢(shì)感知 流量控制 流量清洗 不良信息 僵尸 /木馬 客戶安全組 對(duì)流量染色，各模塊按照染色選取流量 第 20頁(yè) 2.3 集中管控方案 僵木蠕現(xiàn)網(wǎng)部署方案 多 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 Internet WLAN 3G/LTE LAN PON 個(gè)人 客戶 家庭 客戶 集團(tuán) 客戶 BRAS GGSN DPI設(shè)備 接入層 承載層 終端 流控 Web Cache CDN 流量清洗 不良信息 僵尸 /木馬 流控 彩信計(jì)費(fèi) 應(yīng)用層 P2P Cache 流控 互聯(lián)出入口 1 僵木蠕只進(jìn)行獨(dú)立檢測(cè)，可通過(guò)全流量分光、部分流量鏡像等方式進(jìn)行數(shù)據(jù)采集，并進(jìn)行全部或部分流量的監(jiān)控 2 僵木蠕檢測(cè)后通過(guò)發(fā)干擾包或與流量清洗設(shè)備配合過(guò)濾惡意流量 3 形成統(tǒng)一的安全態(tài)勢(shì)分析系統(tǒng)，協(xié)同Cache、不良信息檢測(cè)工作 已決策 第 21頁(yè) 2.3 集中管控方案 僵木蠕檢測(cè)原理 多 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 監(jiān)控服務(wù)器 檢測(cè)服務(wù)器 僵木蠕特征庫(kù) Internet CMnet 日志數(shù)據(jù) 云安全平臺(tái) IPS 特征檢測(cè) 防病毒網(wǎng)關(guān) 目前共測(cè)試五個(gè)廠家產(chǎn)品，主要分為三類技術(shù)，現(xiàn)網(wǎng)流量情況較適合前兩種。 IP信譽(yù) + + + 第 22頁(yè) 2.4 集中管控方案 統(tǒng)一管理平臺(tái)部署和接口 A 省 干A 廠 商 流 量 清 洗 系 統(tǒng)C M N E TB 省 干B 廠 商 流 量 清 洗 系 統(tǒng)C 廠 商 流 量 清 洗 系 統(tǒng)C 省 干集 團(tuán) 統(tǒng) 一 管 理 中 心流 量 策 略 管 理 、 流 量 查 詢 統(tǒng) 計(jì)清 洗設(shè) 備清 洗設(shè) 備清 洗設(shè) 備統(tǒng)一管理平臺(tái) （ FTP Client） 下級(jí)管理系統(tǒng) （ FTP Server） 統(tǒng)一管理平臺(tái) （ Syslog Server） 下級(jí)管理系統(tǒng) （ Syslog Client） 分布式管理模型和接口 統(tǒng)一管理平臺(tái)部署示意圖 已決策 為適應(yīng)不同廠家分別建設(shè)北、上、廣三個(gè)不同出入口的需求，集團(tuán)統(tǒng)一建設(shè)管理中心集中管理異常流量清洗和僵木蠕檢測(cè)系統(tǒng)，使用 FTP模式完成報(bào)表的收集， Syslog模式完成告警的實(shí)時(shí)采集，并統(tǒng)一呈現(xiàn)。 多 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 第 23頁(yè) 2.4 多應(yīng)用擴(kuò)展方案 應(yīng)用分類安全管控 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 發(fā)熱門診 掛號(hào)室 分診臺(tái) A科 B科 C科 流 控 設(shè) 備依 據(jù) 分 類打 標(biāo) 簽A 類 應(yīng) 用 清 洗P S 域企 業(yè) 用 戶I D CD D o S 流量 清 洗I n t e r n e tD P I 監(jiān) 測(cè)B 類 應(yīng) 用 清 洗C 類 應(yīng) 用 清 洗D 類 應(yīng) 用 清 洗出院 DDoS流量清洗 流控設(shè)備標(biāo)記（染色） 路由器分流 精細(xì)化檢測(cè) 安全流量 基于標(biāo)記的異常流量管控可面向復(fù)雜的應(yīng)用，按照業(yè)務(wù)應(yīng)用分類提供專業(yè)化的安全管控手段。 待決策 第 24頁(yè) 2.4 多應(yīng)用擴(kuò)展方案 DDoS結(jié)合應(yīng)用分類管控 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 運(yùn)營(yíng)商網(wǎng)絡(luò) Internet 安全管控體系 異常流量清洗 管理中心 正常數(shù)據(jù)流 流量超限 DNS應(yīng)用安全設(shè)備 DPI DPI DSCP： 111100 DNS應(yīng)用數(shù)據(jù) DSCP： 000100 DSCP： 000100 DSCP： 000000 DSCP： 000100 待決策 數(shù)據(jù)標(biāo)記變化 DDoS位 業(yè)務(wù)位 通過(guò)改變標(biāo)記策略，可以同時(shí)實(shí)現(xiàn) DDoS防護(hù)和特定業(yè)務(wù)應(yīng)用防護(hù)，并使得二者無(wú)沖突。 第 25頁(yè) 2.4 多應(yīng)用擴(kuò)展方案 方案優(yōu)勢(shì) 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 IP TCP/UPD APPLICATION IP TCP/UPD APPLICATION IP TCP/UPD APPLICATION IP TCP/UPD APPLICATION IP TCP/UPD APPLICATION IP TCP/UPD APPLICATION IP TCP/UPD APPLICATION IP TCP/UPD APPLICATION DDoS 流控 安全設(shè)備 安全設(shè)備 傳統(tǒng)組網(wǎng)： DDoS設(shè)備需要檢查 IP+TCP/UDP層，以發(fā)現(xiàn) Flood 攻擊，檢測(cè)應(yīng)用層以判斷是否有應(yīng)用層 DDoS攻擊； 流控設(shè)備需要檢測(cè)所有層次，以精確判斷流量類 型 ； IPS設(shè)備需檢測(cè)所有層次，判斷業(yè)務(wù)類型，以檢 測(cè)蠕蟲等流量； 本研究方案 DDoS設(shè)備只檢測(cè) IP+TCP/UDP層以發(fā)現(xiàn)流量型攻擊。 流控設(shè)備需要檢測(cè)所有層次，以精確判斷流量類型 ； 安全設(shè)備僅負(fù)責(zé)檢測(cè) Application層次，精細(xì)化檢測(cè)安全威脅 在 DDoS層減少了對(duì)應(yīng)用層的判斷；在安全設(shè)備層面去了對(duì) IP, TCP/UDP層，以及應(yīng)用類型的判斷，同時(shí)進(jìn)行精細(xì)化的安全 防護(hù)。 DDoS 流控 第 26頁(yè) 2.4 多應(yīng)用擴(kuò)展方案 數(shù)據(jù)中心的安全管控（ 1） 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 數(shù)據(jù)中心 B 數(shù)據(jù)中心 A 防火墻隔離 集中數(shù)據(jù)中心 李躍總裁 2010年總經(jīng)理培訓(xùn)班講稿第 20頁(yè) 傳統(tǒng)的防火墻基于 IP的安全控制策略已經(jīng)成為阻礙數(shù)據(jù)中心集中化的技術(shù)瓶頸。推動(dòng)云計(jì)算和虛擬化的發(fā)展，集中化數(shù)據(jù)中心的迫切需求，要求新的安全控制技術(shù)的出現(xiàn)。 第 27頁(yè) 2.4 多應(yīng)用擴(kuò)展方案 數(shù)據(jù)中心的安全管控（ 2） 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 27 基于用戶的安全控制 基于業(yè)務(wù)特征的安全控制 針對(duì)數(shù)據(jù)中心融合需求，探索研究基于用戶和業(yè)務(wù)特征等方式的安全控制技術(shù)，以簡(jiǎn)化防火墻部署體系，提高數(shù)據(jù)資源訪問(wèn)效率。 待決策 第 28頁(yè) 2.4 多應(yīng)用擴(kuò)展方案 面向?qū)嶒?yàn)室建設(shè)方案 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 WLAN AP 無(wú)線 PS域 無(wú)線 CS域 有線網(wǎng)絡(luò)接入 流控設(shè)備 路由器 互聯(lián)網(wǎng) AIX windows Linux 主機(jī) 互聯(lián)網(wǎng)應(yīng)用 電信網(wǎng)應(yīng)用 CS域核心網(wǎng) SMS MMS FW IDS IPS 防病毒 服務(wù)器 安全設(shè)備 逃逸目標(biāo) FW IPS AV WAF +-+-+-+-+-+-+-+-+ | DS5 | DS4 | DS3 | DS2 | DS1 | DS0 | / | / | +-+-+-+-+-+-+-+-+ 1 1 1 0 0 0 實(shí)驗(yàn)室建設(shè)示意圖 流控標(biāo)記策略 表示數(shù)據(jù)流穿過(guò) FW， IPS和防病毒網(wǎng)關(guān) 路由器流控入方向策略： DSCP31FW； DSCP15IPS; DSCP7AV;DSCP3WAF; DSCP1DSCP0 根據(jù)不同入端口置位如 FW： DSCP1 基于標(biāo)記的流量控制方案的應(yīng)用前景廣泛，該建設(shè)方案可以使得實(shí)驗(yàn)室環(huán)境中，對(duì)環(huán)境的改變轉(zhuǎn)變?yōu)閷?duì)流控設(shè)備標(biāo)記的改變，使得自動(dòng)化的攻防研究成為可能。 第 29頁(yè) 2.4多應(yīng)用擴(kuò)展 DNS安全防護(hù)（ 1） 四川公司 CMNet域名解析系統(tǒng)采用緩存和授權(quán)分開組網(wǎng)模式，前端采用兩臺(tái) Cisco 5550防火墻作為 DNS系統(tǒng)安全防護(hù)及訪問(wèn)控制。 DNS安全實(shí)時(shí)監(jiān)測(cè)平臺(tái)為旁路的方式部署，通過(guò)鏡像數(shù)據(jù)方式抓取前端 8508上所有數(shù)據(jù)包進(jìn)行分析，監(jiān)測(cè)平臺(tái)根據(jù)預(yù)設(shè)規(guī)則加以處理，對(duì)監(jiān)控的異常 IP通過(guò)通信口不防火墻和 DNS服務(wù)器進(jìn)行聯(lián)勱處理。 這種部署結(jié)構(gòu)適用于丌同網(wǎng)絡(luò)的 DNS系統(tǒng)，丌影響 DNS系統(tǒng)的運(yùn)行。 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 系統(tǒng)組網(wǎng)圖 已決策 第 30頁(yè) 2.4 多應(yīng)用擴(kuò)展 - DNS安全防護(hù)（ 2） 預(yù)警環(huán)節(jié)： 分析海量 DNS請(qǐng)求攻擊，建立一套對(duì)異常請(qǐng)求攻擊的預(yù)警模型，包括 DNS解析總量及失敗量模型 、 單個(gè)域名解析請(qǐng)求增量模型 。 啟動(dòng)環(huán)節(jié)： 系統(tǒng)實(shí)時(shí)關(guān)注 DNS服務(wù)器運(yùn)行狀態(tài)，系統(tǒng)設(shè)定適當(dāng)?shù)膯陾l件，當(dāng) DNS服務(wù)器符合達(dá)到一定壓力時(shí)，啟勱 DNS保護(hù)處理流程，對(duì)發(fā)起攻擊的 IP進(jìn)行封堵。 封堵環(huán)節(jié)： 系統(tǒng)建立單一 IP單位時(shí)間域名請(qǐng)求話務(wù)模型，通過(guò)模型可判斷提取發(fā)起異常解析請(qǐng)求的 IP地址。當(dāng)某 IP在單位時(shí)間的請(qǐng)求量驟增并達(dá)到設(shè)定條件，列入僵尸庫(kù)，根據(jù)請(qǐng)求總量大小，按序封堵。 保護(hù)環(huán)節(jié)： 在封堵過(guò)程中，系統(tǒng)同時(shí)實(shí)時(shí)關(guān)注防火墻負(fù)載情況，當(dāng)防火墻符合達(dá)到一定壓力時(shí)，停止添加阻斷策略，防止防火墻因過(guò)載導(dǎo)致退服風(fēng)險(xiǎn)，對(duì)防火墻及整個(gè)網(wǎng)絡(luò)起到智能保護(hù)作用。 還原環(huán)節(jié)： 當(dāng)攻擊結(jié)束， DNS服務(wù)器負(fù)載逐步恢復(fù)到正常狀態(tài)后，系統(tǒng)根據(jù)智能化策略老化機(jī)制，撤除防火墻上的阻斷策略，使得整個(gè)網(wǎng)絡(luò)運(yùn)行狀態(tài)恢復(fù)到攻擊發(fā)生前的原始正常狀態(tài)。 預(yù)警 啟動(dòng) 封堵 保護(hù) 還原 標(biāo)記調(diào)度 集中管控 多層協(xié)同 應(yīng)用擴(kuò)展 海量 DNS請(qǐng)求的安全防護(hù)機(jī)制 第 31頁(yè) 2.4 多應(yīng)用擴(kuò)展 - DNS安全防護(hù)（ 3） 緩存投毒保護(hù)模型： 在 DNS遞歸請(qǐng)求時(shí)，對(duì)于發(fā)往同一個(gè)遞歸 DNS服務(wù)器的一個(gè)請(qǐng)求，正常的情況只產(chǎn)生 1個(gè)回應(yīng)包。當(dāng)在 10秒內(nèi)收到來(lái)自該 IP地址的多個(gè)相同事務(wù) ID的回應(yīng)包時(shí)，說(shuō)明這個(gè)請(qǐng)求鏈路之間被緩存投毒，系統(tǒng)將實(shí)時(shí)告警，并自勱登陸緩存服務(wù)器進(jìn)行數(shù)據(jù)清除。由于緩存數(shù)據(jù)清理后， DNS服務(wù)器通過(guò)遞歸重新獲取該域名的 IP列表，達(dá)到域名保護(hù)作用。 解析 DNS請(qǐng)求包 與回應(yīng)包 否 DNS域名 緩存