下载文档原格式
面向云计算的网络流量清洗与分析系统设计随着云计算的快速发展,越来越多的企业将自己的应用程序和数据存储在云端。
而随着数据量的增长,网络流量的清洗和分析成为了保证云计算系统稳定性和安全性的重要任务。
本文将介绍一种面向云计算的网络流量清洗与分析系统设计。
首先,我们需要理解什么是网络流量清洗与分析。
网络流量清洗是指对通过网络传输的数据进行检测、过滤和纠正的过程。
而网络流量分析则是指对网络流量中的数据进行监控和分析,以发现可能的威胁或异常情况。
在设计面向云计算的网络流量清洗与分析系统时,我们需要考虑以下几个重要的方面:1. 数据收集和存储网络流量数据的收集是整个系统的基础。
我们需要部署适当的网络流量监控设备,如IDS(入侵检测系统)和IPS(入侵防御系统),以捕获流经云计算系统的网络流量。
收集到的数据应该经过合理的预处理和清洗,以去除无用的信息并减少存储和分析的成本。
清洗后的数据可以存储在可扩展的分布式存储系统中,以便后续的分析和查询。
2. 数据分析和挖掘清洗后的网络流量数据需要进行进一步的分析和挖掘,以发现潜在的威胁或异常情况。
这可以通过使用各种数据分析和挖掘技术来实现,包括机器学习、数据挖掘和统计分析等。
例如,我们可以使用机器学习模型来建立网络流量行为模式,并根据实时流量与模型的差异来检测异常情况。
此外,还可以利用统计分析的方法来发现异常流量模式或突发事件。
3. 实时监控和告警面向云计算的网络流量清洗与分析系统需要能够及时监控网络流量和检测异常情况,并及时发送告警信息给相关人员。
为了实现实时监控和告警,我们可以利用流式处理技术和实时数据分析引擎。
这些技术可以处理来自不同来源的实时数据流,并即时生成警报和通知。
4. 可扩展性和弹性云计算系统的规模通常很大,因此网络流量清洗与分析系统需要具备良好的可扩展性和弹性。
这意味着系统能够处理大规模的网络流量数据,并根据需要进行水平扩展。
此外,系统还应该能够应对硬件故障或网络中断等意外情况,以确保系统的高可用性和可靠性。
流量清洗解决方案拒绝服务攻击(DoS, Denial of Service)是指利用各种服务请求耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。
而随着僵尸网络的兴起,同时由于攻击方法简单、影响较大、难以追查等特点,又使得分布式拒绝服务攻击(DDoS,Distributed Denial of service)得到快速壮大和日益泛滥。
成千上万主机组成的僵尸网络为DDoS 攻击提供了所需的带宽和主机,形成了规模巨大的攻击规模和网络流量,对被攻击网络造成了极大的危害。
随着DDoS攻击技术的不断提高和发展,ISP、ICP、IDC等运营商面临的安全和运营挑战也不断增多,运营商必须在DDoS威胁影响关键业务和应用之前,对流量进行检测到并加以清洗,确保网络正常稳定的运行以及业务的正常开展。
同时,对DDoS攻击流量的检测和清洗也可以成为运营商为用户提供的一种增值服务,以获得更好的用户满意度。
DDoS攻击分类DDoS (Distributed Denial of service)攻击通过僵尸网络利用各种服务请求耗尽被攻击网络的系统资源,造成被攻击网络无法处理合法用户的请求。
而针对DNS的DDoS攻击又可按攻击发起者和攻击特征进行分类。
主要表现特征如下:按攻击发起者分类僵尸网络:控制僵尸网络利用真实DNS协议栈发起大量域名查询请求模拟工具:利用工具软件伪造源IP发送海量DNS查询按攻击特征分类Flood攻击:发送海量DNS查询报文导致网络带宽耗尽而无法传送正常DNS 查询请求资源消耗攻击:发送大量非法域名查询报文引起DNS服务器持续进行迭代查询,从而达到较少的攻击流量消耗大量服务器资源的目的DDoS攻击防御技术DoS/DDoS攻击种类繁多,针对每一种攻击往往都需要特定的技术加以防御。
但尽管如此,DoS/DDoS攻击防御技术还是可以简单分为以下几种大的类别:代理技术:以Syn Proxy技术为典型代表,由设备代替服务器响应客户请求(如TCP 连接请求),只有判定为非DoS攻击的数据包才代理其与服务器进行通信。
以我给的标题写文档,最低1503字,要求以Markdown 文本格式输出,不要带图片,标题为:流量清洗方案# 流量清洗方案## 1. 引言随着互联网的发展,网络流量的增长和数据的爆炸式增加给网络安全带来了巨大的挑战。
为了保证网络的安全和正常运行,流量清洗方案应运而生。
本文将介绍流量清洗方案的概念、流程、工具以及如何选择适合自己的方案。
## 2. 流量清洗方案的概念流量清洗方案是指对网络流量进行检测、分析和处理的过程。
通过分析流量,可以识别和过滤出恶意流量,同时保留合法流量,确保网络服务的运行正常。
流量清洗方案通常包括流量采集、流量分析和流量处理三个步骤。
## 3. 流量清洗方案的流程流量清洗方案的流程一般包括以下步骤:### 3.1 流量采集流量采集是指从网络中获取流量数据的过程。
常用的流量采集方式包括镜像端口、流量重定向和混杂模式。
流量采集可以通过网络交换机、路由器或专门的流量采集设备实现。
### 3.2 流量分析流量分析是指对采集到的流量数据进行解析和分析的过程。
流量分析可以包括对流量的协议分析、流量行为分析和流量异常检测等。
通过流量分析可以识别出恶意流量,如DDoS攻击、恶意扫描等,并进行相应的处理。
### 3.3 流量处理流量处理是指对恶意流量进行过滤、阻断或重定向的过程,同时保留合法流量,确保网络服务的正常运行。
流量处理可以通过防火墙、入侵检测系统(IDS)和流量清洗设备等实现。
## 4. 流量清洗方案的工具流量清洗方案的工具包括以下几类:### 4.1 流量采集工具常用的流量采集工具包括Wireshark、tcpdump和tshark等。
这些工具可以用来捕获、记录和分析网络流量。
### 4.2 流量分析工具常用的流量分析工具包括Snort、Suricata和Bro等。
这些工具可以对流量进行深度分析,识别出恶意流量和安全威胁。
### 4.3 流量处理工具常用的流量处理工具包括防火墙、入侵检测系统(IDS)和流量清洗设备等。
基于机器学习的网络流量异常检测与安全防护系统设计与实现摘要:随着互联网的快速发展,网络安全问题日益突出。
网络流量异常检测与安全防护系统成为保护网络安全的重要措施之一。
本文基于机器学习的方法,探讨网络流量异常检测与安全防护系统的设计与实现,并介绍了其主要技术和要点。
一、引言随着互联网技术的迅猛发展,网络攻击和黑客行为也日益猖獗。
为了保护网络安全,网络流量异常检测与安全防护系统应运而生。
该系统能够通过对网络流量进行分析和监测,及时发现和阻止网络攻击,确保网络的正常运行。
本文着重讨论基于机器学习的方法在网络流量异常检测与安全防护系统中的应用。
二、网络流量异常检测的需求与挑战网络流量异常检测是指通过对网络中的通信数据进行监测和分析,识别出具有异常行为的流量。
这对网络安全非常重要,因为网络攻击者常常利用异常的网络流量来发动攻击。
然而,网络流量异常检测面临着一些挑战,如高维数据分析、实时性要求以及恶意流量的伪装等等。
三、基于机器学习的网络流量异常检测方法基于机器学习的方法已经被广泛应用于网络流量异常检测中。
这种方法通过对已有的网络流量数据进行训练,构建机器学习模型,然后利用该模型对新的流量数据进行分类和判断。
常见的基于机器学习的网络流量异常检测方法有决策树、支持向量机、逻辑回归等。
这些方法通过分析网络流量的统计特征、流量模式和流量规律,可以有效地识别出异常的网络流量。
四、网络流量异常检测与安全防护系统的设计与实现网络流量异常检测与安全防护系统的设计需要考虑以下几个关键点:1. 数据采集:收集网络流量数据,并进行预处理,如数据清洗和特征提取。
2. 模型训练:利用已标记的正常和异常流量数据进行机器学习模型的训练,选取合适的算法和特征。
3. 模型评估:通过交叉验证等方法评估模型的准确性和性能,调优模型的参数。
4. 流量监测与识别:实时监测网络流量,利用已经训练好的机器学习模型识别异常流量并采取相应的防护措施。
5. 防护措施:根据异常流量的特点,及时采取合适的防护措施,如阻断异常流量、加强网络安全配置等。
电信用户流量清洗解决方案中国电信用户流量清洗建议方案2011年3月目录电信用户流量清洗解决方案第一章技术建议方案 ·························································································- 3 -1. DOS用户级流量清洗建议方案 ···········································································- 3 -2. 流量清洗解决方案产品技术原理与实现 ·······························································- 4 -2.1流量清洗解决方案组成及工作模型 (5)2.2流量清洗解决方案部署方式 (6)2.3流量回注方式的选择 (7)2.4解决方案组件介绍 (10)2.4.1 异常流量清洗设备········································································································· - 10 -2.4.2 流量清洗业务管理平台································································································· - 12 -3. 流量清洗解决方案技术特点 ············································································ - 13 -4. 用户流量清洗方案产品明细 ··············································································- 1 -4.1用户流量清洗方案一产品明细 (1)4.2用户流量清洗方案二产品明细 (2)5. 陕西电信流量清洗业务运营维护方案 ··································································- 1 -第二章中国电信优势 ·························································································- 3 -一、中国电信股份有限公司简介 ············································································- 3 -1中国电信股份有限公司简介·································································································· - 3 -2中国电信组织结构·················································································································· - 5 -3 中国电信业务范围················································································································· - 5 -4 中国电信服务水平················································································································· - 6 -5 独立第三方对中国电信的评价····························································································· - 7 -5.1 国际著名排行榜排名·························································································- 7 -5.2中国电信其它获奖简介·······················································································- 8 -6 中国电信为大型项目活动提供服务··················································································· - 10 -6.1中国电信成功申办2010年上海世博会通信合作伙伴 ··············································· - 10 -6.2 中国电信成功申办2011年西安世界园艺博览会 ···················································· - 11 -7中国电信股份有限公司陕西分公司简介············································································ - 11 -- 2 -电信用户流量清洗解决方案第一章技术建议方案1. DOS用户级流量清洗建议方案DoS攻击是一种基于网络的、阻止用户正常访问网络服务的攻击。
以我给的标题写文档,最低1503字,要求以Markdown文本格式输出,不要带图片,标题为:流量清洗解决方案# 流量清洗解决方案## 引言随着互联网的快速发展,数据成为了当今社会最宝贵的资源之一。
而流量数据作为其中的重要组成部分,对于企业和组织来说是无比重要的。
然而,随着互联网的普及,垃圾流量和虚假流量也随之增多,给企业的数据分析和营销活动带来了很大的困扰。
因此,针对流量数据的清洗工作显得尤为重要。
本文将介绍一种流量清洗解决方案,帮助企业和组织准确高效地清洗流量数据。
## 问题背景随着互联网广告的发展,越来越多的企业和组织将广告投放放在了互联网上。
然而,这也给垃圾流量和虚假流量提供了滋生的土壤。
垃圾流量指的是没有任何价值的流量,例如恶意点击、机器人点击等;虚假流量是指被篡改或伪造的流量数据,例如刷量、作弊等。
如何准确地识别和清洗垃圾流量和虚假流量,成为了互联网广告行业面临的一个迫切问题。
## 解决方案为了解决清洗流量数据的问题,我们提出了以下解决方案:### 1. 数据源验证第一步是验证数据源的真实性和合法性。
可以通过以下几种方式进行验证:- IP地址验证:通过验证访问流量的IP地址是否真实存在来判断流量数据的真实性。
- Referer验证:通过验证引用链接是否合法来判断流量数据的真实性。
- 域名验证:通过验证访问流量的域名是否合法来判断流量数据的真实性。
### 2. 用户行为分析第二步是对用户行为进行分析,识别垃圾流量和虚假流量。
可以通过以下几种方式进行分析:- 用户停留时间:通过统计用户在网站上停留的时间来判断流量数据的真实性,垃圾流量通常停留时间很短。
- 用户点击行为:通过统计用户在网站上的点击行为来判断流量数据的真实性,垃圾流量通常点击行为异常。
- 用户转化率:通过统计用户在网站上的转化率来判断流量数据的真实性,虚假流量通常转化率较低。
### 3. 模型训练第三步是通过机器学习模型对流量数据进行训练和预测,进一步识别和清洗垃圾流量和虚假流量。
浅谈运营商异常流量清洗手段的部署和运用
杨波;裴唯
【期刊名称】《计算机安全》
【年(卷),期】2014(000)007
【摘要】随着互联网的高速发展,其已经渗入到人们生活的方方面面,对经济和社会有着重大的影响.但近年来出现了大量的DDoS攻击事件,给互联网带来了很大冲击,严重影响了业务的可用性、用户的感知,以及给营运商造成了重大经济损失.在大流量的DDoS攻击面前,传统的安全防护设备显得那么无能为力,如何有效抵御DDoS 攻击是每个运营商无法回避的难题.在深入分析DDoS攻击特征的前提下,探索性地将异常流量清洗设备引入到运营商的网络中,并成功防御了多次DDoS攻击事件,为解决难题指出了一条可行道路.
【总页数】6页(P40-45)
【作者】杨波;裴唯
【作者单位】中国电信湖南分公司,湖南长沙410016;中国电信湖南分公司,湖南长沙410016
【正文语种】中文
【相关文献】
1.基于BGP MPLS LSP的集中式异常流量清洗系统部署 [J], 张建忠;刘立刚;王大深;宋强
2.运营商城域网流量清洗解决方案 [J], 杭州迪普科技有限公司
3.基于跨域MPLS的异常流量清洗系统部署 [J], 叶晓斌;杨世标;杨培峰;薛强
4.LTE加速部署凸显运营商流量经营紧迫性 [J], 舒文琼
5.异常流量清洗系统部署探讨 [J], 张钲林
因版权原因,仅展示原文概要,查看原文内容请购买。
5th International Conference on Machinery, Materials and Computing Technology (ICMMCT 2017)An Abnormal Traffic Cleaning SystemYang Li1,a,*, Yanlian Zhang2,b1DIGITAL CHINA(CHINA)LIMITED, Beijing, China2 China Flight test establishment , Xi’an 710089,China,a,*********************Keywords: Abnormal Traffic, Cleaning, Detection, Traffic Re-injectionAbstract.Abnormal traffic cleaning system is proposed, which includes a cleaning platform, a detection platform and a management platform. The cleaning platform is mainly deployed through the bypass to guide the flow of the attacked object to the cleaning equipment. According to the protection strategy, the attack traffic is cleaned and normal traffic, the detection platform complete the detection of traffic for the attack, the management platform to provide cleaning equipment, testing equipment, state monitoring. The system can effectively clean the abnormal traffic and improve the security of the network.1.IntroductionWith the development of network technology and network economy, the importance of network to enterprises and individuals is increasing. At the same time, the network security vulnerabilities are also being increased, the importance of network security issues is also growing. In the metropolitan area network side for enterprise customers to carry out traffic cleaning services to achieve the defences of DDoS attacks, can meet the dual needs of customers. The traffic cleaning service is a kind of network security service for the government and enterprise customers who rent the IDC service and monitor, alarm and protect against the DOS /DDOS attack.2. Architecture of Traffic Cleaning SystemAbnormal traffic cleaning system includes cleaning platform, detecting platform and management platform. These parts of the function may be implemented by a device, or each part of the function realize by a single device.The cleaning platform is mainly deployed through the bypass. It uses the routing protocol to route the attacked objects from the routing device to the cleaning device. According to the protection strategy, the abnormal traffic can be distinguished from the normal traffic to realize the cleaning of the attack traffic and the return of the normal traffic. And feedback the cleaning results to the management platform for unified management and presentation.The detection platform can use splitting, mirroring, or traffic information collection, and can detect the attack traffic based on the traffic baseline policy. After the test platform runs for a period of time in the network, it can form a set of traffic distribution similar to the actual network according to the traffic situation in the actual network. The automatic learning generation or manual configuration forms the traffic baseline. When an attack is detected, an alarm is generated to the management platform.Management platform provide cleaning equipment, testing equipment, state monitoring, and unified policy management, user management, device management and other functions, to provide users with cleaning statements query portal, can send and receive instructions to achieve linkage with other platforms.Traffic cleaning system can interact with external detection alarm system, unified scheduling platform; form a multi-level traffic cleaning system.Figure 1 architecture of traffic cleaning system3.Traffic Cleaning Function3.1 Traffic CleaningSupport clean typical traffic-based attacks, the cleaning of the attack types should include: Syn flood, ICMP flood, UDP flood, Ack flood, TCP connections flooded, DNS flood, HTTP post flood, Https flood. Support clean typical reflection attacks, including at least DNS reply flood, NTP flood and so on.Support cleaning of application-level non-traffic-based attacks, at least should include HTTP slow request attacks, CC attacks. Supports common DOS attack packet cleaning, include Smurf, Land, deformity package, and TearDrop.3.2 Cleaning limitAccording to the user policy, it is defined that when the total traffic rate of the protection object exceeds a certain threshold value, random discarding is carried out, and the flow rate after cleaning is limited below the threshold value.3.3 Black hole cleaningIt is recommended to use the route traction command to implement the black hole policy when the total traffic rate exceeds a certain threshold. This tells the neighbour router to directly flood all the traffic. Black hole routing instructions should support the use of BGP protocol.3.4 Cleaning featureAccording to the characteristics of the attack (such as IP header, TCP header, TCP payload, UDP header and UDP payload, source port, destination port, etc.) to define the precise filtering policy, support the analysis of typical protocol fields, and apply the attack feature to the protection object .3.5 Protection strategyProtection policy for the protection object should be configured. The protection objects should be distinguished by IP addresses. A default protection object policy should be supported to support the creation of a unified protection policy (the default protection policy) for protected objects that do not have explicit IP protection.The protection strategy should include the following:●Support the defence flow threshold and rate of a specific protocol●Support the use of specific cleaning algorithm (including whether the source calibration, etc.)●Support the cleaning strategy when exceeding the protection threshold (traffic rate limit, sub-protocol speed limit, black hole routing, etc.)●Configure the cleaning features of specific attack packets●Supports IP address blacklist function based on attack source geographic information (optional), and blacklist IP address traffic directly intercepts.3.6 Traffic tractionThe traffic cleaning device has a neighbour relationship with the router, and dynamically sends a route advertisement to the upstream (neighbour) router to dynamically draw the traffic of the protected object to the cleaning device. The traffic clean-up platform support dynamic routing traction using the BGP-4 protocol. Traffic cleaning and draining can support OSPF, IS-IS, MPLS LSP, MPLS VPN and other forms of traffic traction requirements.Traffic tracing supports specifying a traffic traction policy for each protection object. It supports setting the mask length for different bits in traffic advertisement for protection objects. The BGP peering policy support the configuration of BGP community, AS path, and other basic attributes. And can configure route-map, prefix-list, and other route filtering modes.The cleaning platform support BGP route advertisements with different attribute parameters for different neighbouring routers. The router can advertise only a route advertisement to a specific neighbour router (not all neighbour routers) to cooperate with the router in the network.3.7 Traffic injectedThe traffic injected through policy routing, MPLS VPN, MPLS LSP, GRE, and Layer 2 injection will be injected into the network.3.8 Traffic balanceDiversion and re-injection of two-way links should be supported through link aggregation, equivalent routing and other forms of drainage, re-injection flow load sharing.3.9 Cleaning source authenticationThe source IP address of the specified attack type should be authenticated according to the user protection policy. The IP address of the source IP address to be authenticated should be used as the source authentication whitelist. No longer need to perform source authentication. The whitelist should have a certain aging time.The number of IP addresses of the whitelist entries must be selected according to the deployment requirements. The total number of whitelist entries should be at least 100,000.4.Detection functionThe detection device support traffic detection by means of one or more means based on traffic information or per packet detection.●Data flow based detection: Supports the analysis of the data flow in the traffic, the acquisitionformat should support a variety of protocol formats, including Netflow V5/V9, Netstream and other protocols, while supporting IPv4 and IPv6 traffic detection.●DPI based traffic detection: Supports packet-by-packet traffic analysis to detect abnormaltraffic events in the network. Supports detection of traffic packets based on detection thresholds, detection features, and so on.●Dynamic baseline learning: The detection equipment supports the dynamic baseline learningtask. It should support dynamic baseline learning at a specified time, support dynamic baseline automatic generation, and support manual adjustment and confirmation of thresholds for dynamic learning.●Attack event Alarm :Alarm event list Including the alarm ID, alarm type, alarm cause,severity, IP address and port to be attacked, the source IP address of the attack, and the source IP address of the attack source, Start time and so on.5.Management functionLogin Management: B/S mode should support the user login management, multi-user landing at the same time, to support more than one login account or only single sign-on. Support mandatory toenable https, support the management of IP address restrictions, the command line should support SSH. RADIUS-based authentication should be supported.User management: It should support a unified operation and maintenance management portal and user service portal capabilities, the system should support the creation of sub-domain for the user to achieve management of the sub-domain management.Protection object management: The protection object is configured by IP address. It should be configured through IP address. It can be configured by IP address segment plus mask. Supports the object protection strategy of the bulk application, protection object (group) number of not less than 1000.Device management: support the management of the device group, and to add, delete and modify the devices in the group. The defence group can be built and the protection strategy of the protection object can be unified. The import and export of device configuration information should be supported.6.Performance requirementsSingle Device Throughput: The throughput of a device should meet the throughput requirements according to the actual requirements in different deployment environments. Packet flooding, DNS flood, ICMP flood, UDP flood, mixed flood, HTTP Get Flood, and so on.Equipment cleaning accuracy: cleaning specifications 90% load, normal traffic and mixed attack traffic according to 1: 9 ratio, the normal business packet loss rate should not be higher than one thousandth, attack traffic leakage blocking rate should not be high One percent.Cleaning delay requirements: cleaning specifications 90% load conditions, the forwarding delay of not more than 80us.Reliability Requirement: The overall reliability of the system should reach 99.999% (software and hardware), that is, the system may not interrupt more than 5.26 minutes during the continuous operation for 1 year.7.External interfaceCleaning system external interface support the establishment of a trusted channel interface to meet the security requirements of transmission, support for domestic encryption algorithm.Interface between the cleaning system and the third-party detection equipment: The attacking alarm reported by the third-party detection platform Syslog should be supported. The protocol and format of the Syslog interface meet the requirements of RFC3164.Management system interface with the external dispatch platform include: data reporting interface: to support the cleaning task start / end of the report, reporting the status of cleaning tasks changes. support the cleaning log, traffic log regularly reported, reported cleaning data, traffic data to the scheduling platform. Can support the cleaning capacity is insufficient cleaning business alarm report. Command issuance interface: It can support the protection strategy and drainage policy of cleaning protection object issued by external management platform. Can support the external platform issued the task of cleaning tasks, scheduling cleaning equipment for cleaning, stop cleaning and other operations.8.ConclusionsAn abnormal traffic cleaning system is proposed in this paper, the architecture of the system is provided, which includes a cleaning platform, a detection platform and a management platform. And this system can improve the security of traffic.References[1] Francesco Gargiulo; Carlo Sansone, (2010) Improving Performance of Network TrafficClassification Systems by Cleaning Training Data, 2010 20th International Conference on Pattern Recognition, 2768 - 2771[2] Byoung-Koo Kim; Dong-Ho Kang, (2016)Abnormal traffic filtering mechanism for protecting ICS networks 2016 18th International Conference on Advanced Communication Technology, 436 – 440[3] Sergey Ageev; Yan Kopchak,(2015) Abnormal traffic detection in networks of the Internet of things based on fuzzy logical inference, 2015 XVIII International Conference on Soft Computing and Measurements (SCM), 5 - 8[4] Tianshu Wu; Kunqing Xie ,(2012) A online boosting approach for traffic flow forecasting under abnormal conditions2012 9th International Conference on Fuzzy Systems and Knowledge Discovery, 2555 – 2559[5] Ayman Mohammad Bahaa-Eldin ,(2011)Time series analysis based models for network abnormal traffic detection The 2011 International Conference on Computer Engineering & Systems, 64 - 70。
流量清洗方案第1篇流量清洗方案一、概述随着互联网的迅速发展,网络安全问题日益突出,针对网站及服务器的攻击手段不断演变,其中DDoS攻击、Web攻击等成为网络安全的主要威胁。
本方案旨在通过合法合规的手段,为用户提供一套全面、有效的流量清洗解决方案,确保网络服务的稳定、安全运行。
二、方案目标1. 防御各类网络攻击,保障业务系统正常运行;2. 降低网络延迟,提高用户体验;3. 实现对网络流量的实时监控与智能分析;4. 符合国家相关法律法规,确保合法合规。
三、方案设计(一)总体架构本方案采用分布式架构,分为流量清洗中心、安全防护系统和运营管理系统三个部分。
1. 流量清洗中心:负责实时监测网络流量,识别并清洗恶意流量;2. 安全防护系统:针对不同类型的攻击,采用相应的防护策略;3. 运营管理系统:实现对流量清洗设备的统一管理、监控与运维。
(二)技术措施1. 流量监测与清洗:- 采用深度包检测(DPI)技术,实时分析网络流量;- 基于行为分析,识别并清洗恶意流量;- 支持多种协议,如HTTP/HTTPS、DNS、SMTP等。
2. 防护策略:- 针对DDoS攻击,采用流量牵引、黑洞路由等防护手段;- 针对Web攻击,采用WAF(Web应用防火墙)技术进行防护;- 根据实时攻击情况,动态调整防护策略。
3. 运营管理:- 提供可视化界面,实时展示网络流量、攻击事件及防护效果;- 支持远程运维,方便用户对流量清洗设备进行管理;- 记录详细日志,便于审计与排查问题。
(三)合规性保障1. 严格遵守国家相关法律法规,如《中华人民共和国网络安全法》等;2. 遵循行业标准,如ISO/IEC 27001等信息安全管理体系;3. 定期进行安全评估和风险评估,确保方案持续合规。
四、实施方案1. 调研与评估:深入了解用户业务需求,评估网络环境,确定实施方案;2. 设备部署:在用户网络出口部署流量清洗设备;3. 配置与优化:根据用户业务特点,配置合适的防护策略,并进行优化;4. 运营与维护:定期检查设备运行状态,更新防护策略,确保网络稳定安全;5. 培训与支持:为用户提供技术培训,确保用户能够熟练使用流量清洗设备。
流量清洗方案引言随着互联网的快速发展,大量的数据在网络中传输。
然而,也有一些恶意的流量不断涌入网络,给网络安全带来了很大的威胁。
为了保护网络安全,流量清洗方案应运而生。
本文将介绍一种流量清洗方案,旨在帮助网络管理员筛选出恶意的流量,保障网络的正常运行。
背景在互联网中,流量清洗是指对网络数据包进行筛选的过程。
恶意的流量包括但不限于:网络攻击、病毒传播、垃圾邮件等。
这些流量会给网络带来很大的负担,影响网络的性能和安全。
流量清洗方案第一步:流量监测流量监测是流量清洗的基础,主要通过网络流量分析工具来实现。
该工具可以监测网络中的数据流动情况,包括源IP地址、目的IP地址、端口号等信息。
通过对流量的监测,可以及时发现异常流量,为下一步的清洗做好准备。
第二步:流量识别流量识别是流量清洗的核心步骤。
通过分析流量的特征和行为,可以将恶意的流量与正常的流量区分开来。
流量识别方法有很多,可以采用基于规则的识别方法、机器学习方法、行为分析等。
网络管理员可以根据实际情况选择合适的方法来进行流量识别。
基于规则的识别方法基于规则的识别方法是最简单的一种方法,主要通过事先设定的规则来判断流量的合法性。
例如,可以根据端口号、IP地址、报文内容等规则来判断流量的类型。
这种方法的优点是简单直观,容易实现。
但是缺点是对新型的攻击无法提供有效的防御,需要不断更新规则库。
机器学习方法机器学习方法是一种自动化的流量识别方法。
利用机器学习算法,可以从大量的样本中学习流量的特征和行为模式,构建分类模型来判断流量的类型。
这种方法的优点是可以适应新型的攻击,并能实现自动化的流量清洗。
但是需要大量的数据样本来训练模型,且需要不断更新模型,以适应不断变化的网络环境。
行为分析行为分析是一种通过分析流量的行为模式来识别恶意流量的方法。
通过研究网络中的正常流量行为,可以建立行为模型,进而识别异常的流量行为。
例如,可以通过分析流量的频率、包大小、连接数等指标来判断流量的恶意性。
天清异常流量清洗系统A D M-G u a r d W e b管理用户手册北京启明星辰信息安全技术有限公司Beijing Venustech Cybervision Co., Ltd二零一二年五月版权声明北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。
未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。
免责条款本文档依据现有信息制作,其内容如有更改,恕不另行通知。
北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
信息反馈如有任何宝贵意见,请反馈:信箱:北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮编:100193 电话:************传真:************您可以访问启明星辰网站:获得最新技术和产品信息。
目录第1章前言 (9)1.1 导言 (9)1.2 本书适用对象 (9)1.3 本书适合的产品 (9)1.4 手册章节组织 (9)1.5 相关参考手册 (10)第2章如何开始 (11)2.1 概述 (11)2.1.1 产品特点 (11)2.1.2 主要功能 (11)2.1.3 硬件描述 (13)2.1.4 软件描述 (15)2.1.5 附带软件描述 (16)2.2 拆箱检查 (16)2.3 安装 (16)2.3.1 检查安装场所 (16)2.3.2 安装 (17)2.3.3 网络连接 (17)2.4 配置管理方法 (17)2.4.1 网络接口WEB配置 (17)2.4.2 网络接口CLI配置 (17)2.4.3 本地串口CLI配置 (18)2.5 登录管理界面 (18)2.5.1 登录方法 (18)2.5.2 证书认证 (19)2.5.3 登录过程 (19)2.5.4 一般配置过程 (20)2.5.5 退出登录 (20)第3章系统管理 (22)3.1 系统信息 (22)3.1.1 版本信息 (22)3.1.2 License信息 (22)3.1.3 设备名称 (23)3.1.4 日期时间 (23)3.2 系统服务 (25)3.2.1 本地服务 (25)3.2.2 SSH服务 (26)3.2.3 Telnet服务 (28)3.2.4 SNMP配置 (29)3.2.5 WebUI超时 (31)3.3 配置管理 (31)3.3.2 存储设备管理 (32)3.3.3 当前配置查看 (33)3.4 维护升级 (33)3.4.1 系统升级 (33)3.4.2 License升级 (35)3.4.3 特征库升级 (35)3.5 证书管理 (36)3.5.1 导入证书 (36)3.5.2 本地证书 (37)3.5.3 CA中心 (42)3.6 集中管理 (45)3.7 批处理工具 (45)第4章网络管理 (46)4.1 网络接口 (46)4.1.1 接口IP地址 (46)4.1.2 接口配置 (51)4.2 ARP (56)4.2.1 静态ARP (56)4.2.2 ARP查看 (58)4.2.3 免费ARP (58)4.3 路由 (59)4.3.1 静态路由 (59)4.3.2 OSPF (62)4.3.3 智能路由 (65)4.3.4 路由表信息 (71)4.3.5 ISIS (71)4.4 DNS设置 (73)4.5 DHCP (74)4.5.1 服务器配置 (74)4.5.2 地址池配置 (75)4.5.3 DHCP中继 (78)第5章IPv6 (80)5.1 网络管理 (80)5.1.1 地址配置 (80)5.1.2 邻居配置 (81)5.1.3 服务段前缀 (81)5.1.4 自动配置 (82)5.1.5 静态路由 (82)5.2 资源定义 (83)5.2.1 地址 (83)5.2.2 服务 (85)5.2.3时间 (90)5.3 防火墙 (97)5.3.1 包过滤 (97)5.3.2 默认过滤策略 (97)5.4 流量牵引 (98)5.4.1 BGP牵引 (98)5.4.2 OSPF (109)5.5 流量分析 (110)5.5.1 自学习配置 (110)5.5.2 自学习管理 (112)5.6 流量清洗 (113)5.6.1 攻击处理方式 (113)5.6.2 日志采样 (114)5.6.3 DNS防护 (114)5.6.4 高级型攻击 (120)5.6.5 自定义特征 (124)5.7 流量统计 (126)5.7.1 事件统计 (126)5.7.2 攻击类型TOP5 (126)5.7.3 攻击来源TOP5 (127)5.7.4 攻击目的TOP5 (127)5.7.5 攻击流量统计 (128)5.7.6 保护域流量统计 (128)第6章虚拟网关 (130)6.1 网关管理 (130)6.1.1 虚拟网关划分 (130)6.1.2 接口归属查看 (132)6.2 全局资源 (132)6.2.1 地址 (132)6.2.2 服务 (137)6.2.3 时间 (142)6.2.4 应用协议 (145)6.2.5 包分类 (146)6.3 全局策略 (150)6.3.1 包过滤 (150)6.3.2 DNAT策略 (151)6.3.3 SNAT策略 (152)6.3.4 长连接 (154)第7章资源定义 (156)7.1 地址 (156)7.1.1 地址列表 (156)7.1.2 地址池 (157)7.1.3 地址组 (158)7.2 服务 (161)7.2.1 服务对象定义 (161)7.2.2 ICMP服务 (162)7.2.3 基本服务 (162)7.2.4 服务组 (164)7.2.5 ALG定义 (165)7.3 时间 (166)7.3.1 时间列表 (167)7.3.2 时间组 (168)7.4 应用协议 (169)7.4.1 应用协议 (169)7.4.2 应用协议组 (170)7.5 包分类 (170)第8章流量牵引 (174)8.1 BGP牵引 (174)8.1.1 BGP本地配置 (174)8.1.2 BGP邻居配置 (175)8.1.3 访问控制链表 (177)8.1.4 路由映射 (179)8.1.5 路由牵引配置 (181)8.2 OSPF (183)8.2.1 配置路由重分发 (183)8.2.2 启动、停止OSPF功能 (184)8.2.3 修改路由器ID (184)8.2.4 设置区域 (184)8.2.5 设置网络 (184)8.2.6 设置网络接口认证 (185)第9章流量分析 (186)9.1 自学习配置 (186)9.1.1 学习配置 (186)9.1.2 学习过程 (188)9.2 自学习管理 (188)9.2.1 学习结果 (188)9.2.2 学习曲线 (189)9.2.3 应用查看 (190)第10章流量清洗 (191)10.1 攻击处理方式 (191)10.2 日志采样 (191)10.3 攻击证据提取 (191)10.3.1 攻击证据提取 (191)10.3.2 捉包分析取证 (192)10.4 DNS防护 (193)10.4.2 域名访问限制 (195)10.4.3 DNS攻击保护 (197)10.4.4 域名长度参数 (199)10.5 基本型攻击 (199)10.6 高级型攻击 (200)10.7 自定义特征 (206)10.7.1 TCP (206)10.7.2 UDP (207)10.7.3 ICMP (207)10.7.4 自定义特征开启配置 (208)第11章流量回注 (209)11.1 接口转发 (209)11.2 启动GRE (211)11.3 隧道配置 (211)第12章流量统计 (213)12.1 事件统计 (213)12.1.1 开启统计 (213)12.1.2 事件统计 (213)12.2 攻击类型TOP5 (213)12.3 攻击来源TOP5 (214)12.4 攻击目的TOP5 (214)12.5 攻击流量统计 (215)12.5.1 即时流量统计 (215)12.5.2 异常流量统计 (215)12.6 保护域流量统计 (215)12.6.1 牵引流量统计 (215)12.6.2 清洗流量统计 (216)第13章防火墙 (217)13.1 包过滤 (217)13.1.1 默认过滤策略 (218)13.2 DNAT策略 (218)13.3 SNAT策略 (220)13.4 二层协议 (221)13.5 地址绑定 (222)13.6 服务器探测 (229)第14章会话管理 (232)14.1 会话配置 (232)14.2 长连接 (232)14.3 会话日志 (233)14.4 会话状态 (233)14.5 同步选项配置 (234)第15章带宽管理 (235)15.1 基于管道的带宽管理 (235)15.1.1 配置中心 (235)15.1.2 管道管理 (235)15.1.3 IP型策略管理 (236)15.1.4 动作管理 (237)15.2 基于接口的带宽管理 (238)15.2.1 物理限速 (238)15.2.2 QoS标签 (240)15.2.3 IPQoS (241)15.2.4 流量监管 (243)15.2.5 流量整形 (246)15.2.6 拥塞管理 (249)15.3 流量优化 (268)15.3.1 带宽借用 (268)15.3.2 流量建模 (271)第16章高可用性 (273)16.1 节点配置 (274)16.2 工作模式 (275)16.3 查看状态 (277)第17章应用安全 (278)17.1 DNS应用防火墙 (278)17.1.1 基本配置 (278)17.1.2 自定义域名监测 (279)17.1.3 静态域名表 (279)17.1.4 域名黑名单 (280)17.1.5 QPS信息 (282)17.1.6 重定向统计 (282)17.2 缓存感染监测 (283)17.2.1 缓存感染监测配置 (283)17.2.2 缓存感染实时监测统计 (283)17.2.3 缓存感染历史监测统计 (284)第18章应用识别 (285)18.1 特征策略 (285)18.2 策略应用 (288)18.3 统计图表 (290)18.4 日志采样 (290)第19章用户认证 (291)19.1 本地用户 (291)19.2 AAA认证 (292)19.2.1 认证服务器 (293)19.2.2 登录用户 (294)19.2.3 在线Portal用户 (294)19.2.4 Portal用户组 (294)19.2.5 Portal服务器 (296)第20章日志信息 (298)20.1 日志配置 (298)20.1.1 日志服务器 (298)20.1.2 终端信息控制 (298)20.1.3 信息终端 (299)20.1.4 U盘日志输出 (301)20.2 日志查看 (301)20.2.1 日志查看 (301)20.2.2 管理日志 (302)20.2.3 会话日志 (302)20.2.4 抗攻击日志 (302)20.2.5 流量牵引日志 (303)20.2.6 云安全日志 (303)20.3 邮件报警 (303)20.3.1 邮件报警 (304)20.3.2 邮件测试 (306)第21章流量可视 (308)21.1 统计配置 (308)21.2 网络概览 (309)21.3 接口统计 (309)21.4 应用统计 (310)21.5 会话统计 (312)21.6 IP统计 (313)21.7 自定义统计 (313)第22章系统监控 (316)22.1 CPU监控 (316)22.2 内存监控 (316)22.3 接口流量统计 (317)第23章在线支持 (318)23.1 技术支持 (318)23.2 关于 (318)第1章前言1.1 导言《天清异常流清洗系统ADM-Guard Web管理用户手册》是启明星辰天清异常流量管理与抗拒绝服务系统(天清ADM)管理员手册中的一本。
流量清洗方案随着大数据时代的到来,互联网上的流量越来越多,各种信息在网络上流传。
然而,随着流量的增加,也出现了一些问题,其中之一就是流量的清洗。
流量清洗是指对互联网流量进行过滤和筛查,排除无效流量,提高真实用户的访问质量。
本文将从技术、策略和效果三个方面,探讨流量清洗的方案。
一、技术方案1. IP封堵技术IP封堵是一种常见的流量清洗技术,它通过识别并封堵异常的IP地址,阻止非法流量的访问。
可以基于白名单和黑名单的方式进行IP封堵,将正常的IP放入白名单,封堵异常访问的IP。
这种技术可以有效识别恶意刷流量、爬虫访问等行为。
2. 用户行为分析用户行为分析是通过分析用户的访问行为、行为模式等来判断其真实性。
可以使用机器学习算法对用户的访问数据进行分析,并通过建立用户画像识别潜在的异常访问行为。
通过对用户行为的深度分析,可以准确判断是否为真实用户。
3. 人机识别技术人机识别技术通过对用户的访问行为进行判断,区分真实用户和机器人。
随着技术的发展,人机识别技术也日益完善,如验证码、滑动验证等。
这些技术可以有效地防止恶意刷流量和机器人攻击,保证流量的真实性和有效性。
二、策略方案1. 多维度数据对比流量清洗时,可以通过多维度的数据对比来判断流量的真实性。
比如,将同一时间段内的IP、访问路径、访问频次等进行对比分析,找出异常的数据,并进行进一步筛查和封堵。
这种策略可以有效防止刷量行为。
2. 建立用户行为模型针对不同的网站或平台,可以建立用户行为模型,对正常用户的访问行为进行建模和分析。
通过对正常用户行为的建模,可以准确判断异常行为,排除无效流量。
3. 实施实时监控流量清洗方案中,实施实时监控是必不可少的。
通过实时监控用户访问行为和流量数据,可以及时发现并处理异常情况,保证流量质量和网站的安全性。
三、效果评估流量清洗方案的效果评估是非常重要的一环。
可以通过以下几个指标对清洗效果进行评估:1. 清洗成功率清洗成功率是指流量清洗方案根据预设策略对流量进行筛选排除的比例。
基于机器学习的异常网络流量检测与分析系统设计概述随着互联网的快速发展,网络安全问题日益严峻。
传统的网络安全防护手段难以应对复杂多变的攻击手段,因此,设计一套基于机器学习的异常网络流量检测与分析系统成为当前网络安全领域的重要研究方向。
本文将从系统架构、流程设计、算法选择、数据集准备和性能评估等方面,详细介绍基于机器学习的异常网络流量检测与分析系统的设计。
系统架构基于机器学习的异常网络流量检测与分析系统的架构一般包括数据采集模块、特征提取模块、机器学习模型训练模块、异常流量检测模块和可视化展示模块。
数据采集模块负责从网络设备中获取各种网络流量信息,并进行预处理和清洗。
特征提取模块采用各种特征提取方法,将原始流量数据转换成可供机器学习模型训练的特征向量。
机器学习模型训练模块使用已标记的流量数据进行训练,构建出检测模型。
异常流量检测模块通过与训练好的模型进行比对,判断网络流量是否异常。
最后,可视化展示模块以图表形式呈现异常流量的统计信息和趋势。
流程设计基于机器学习的异常网络流量检测与分析系统的流程一般包括以下几个步骤:数据采集、特征提取、模型训练和流量检测。
首先,系统通过数据采集模块从网络设备中获取流量信息,这些信息可以包括源IP地址、目的IP地址、端口号、协议类型等。
然后,通过特征提取模块,将原始流量数据转换成可供机器学习模型训练的特征向量,可以使用的特征包括流量大小、传输速率、协议分布等。
接着,利用机器学习模型训练模块,使用已标记的流量数据对模型进行训练。
常用的机器学习算法包括决策树、支持向量机、随机森林等。
模型训练完成后,异常流量检测模块通过与训练好的模型进行比对,判断流量是否异常。
最后,通过可视化展示模块将异常流量的统计信息和趋势以图表形式呈现,方便管理人员监测和分析网络安全状况。
算法选择在设计基于机器学习的异常网络流量检测与分析系统时,合适的机器学习算法的选择至关重要。
不同的算法在异常检测性能、计算效率和泛化能力等方面存在差异。
网络流量分析与异常检测系统设计在当今数字化时代,网络已经成为人们生活和工作中不可或缺的一部分。
随着互联网的普及和应用场景的扩大,网络安全也成为一个日益重要的问题。
为了保障网络的安全和稳定,网络流量分析与异常检测系统的设计和开发变得尤为重要。
一、概述网络流量分析与异常检测系统是一种基于网络流量量和数据包分析的系统,旨在检测和识别网络中的异常行为和恶意攻击。
通过监控网络中的数据流量、协议和通信模式,该系统能够及时发现非法入侵、网络攻击及其他恶意行为,以保护网络的安全性和稳定性。
二、功能与特点1. 流量监控和分析能力:系统能够对网络流量进行实时监控并从中提取关键信息进行分析,包括数据包大小、传输协议、源地址、目的地址等,以便对网络行为进行精确识别和分类。
2. 异常行为检测:系统能够根据预设的规则和模型,对网络流量中的异常行为进行检测和识别,如DDoS攻击、端口扫描、恶意软件传播等,及时报警并采取相应的应对措施。
3. 实时报警与告警系统:系统能够及时发出报警通知,包括短信、邮件或者直接推送给网络管理员,以便及时阻止恶意行为的发生或者采取其他必要的防护措施。
4. 数据可视化与分析:系统能够将分析结果以直观的图表、报表等形式展现给用户,便于用户对网络安全状态进行全面了解和分析,以做出相应的决策。
5. 兼容性和灵活性:系统应具备兼容各种网络设备、平台和协议的能力,可灵活应对不同网络环境和需求,确保系统能够准确分析和检测不同类型的网络异常行为。
三、系统设计要素1. 数据采集与预处理:系统通过网络设备的镜像端口或者行为感知模块,实时采集和存储网络流量数据,并进行预处理,过滤掉无关的数据,提高后续分析的效率。
2. 模型建立与训练:系统基于历史的网络流量数据,建立相应的模型和规则库,通过机器学习、深度学习等技术对网络正常行为和异常行为进行学习和分类,提高系统的检测准确率。
3. 异常检测与识别:系统运用前述的模型和规则库对实时采集到的网络流量进行检测和识别,比对网络行为与预设的规则和模型,及时发现异常行为并报警。
异常流量清洗系统部署探讨
作者:张钲林
来源:《中国新通信》2016年第01期
【摘要】本文通过对互联网中异常流量特点及危害进行分析,提出部署互联网异常流量清洗系统的必要性,并针对系统部署的网络架构、核心技术、原理等进行深入分析,提出了互联网异常流量清洗系统设计与实现的可行性方式。
【关键词】异常流量 DDOS 清洗
一、前言
随着互联网络高速发展,电子政务、网上购物、证券交易、网络银行等重要应用普及,网络安全愈发重要。
但近年来,DDoS攻击、木马和僵尸、蠕虫等异常流量由于攻击简单、容易达到目的、难于防止和追查,逐渐成为常见的攻击方式,给服务提供商、网络运营商、政府部门等造成了相当严重的危害。
例如,暴风影音引发的DDoS攻击导致多省电信DNS被攻击引起大面积业务瘫痪;十八大开幕当天,某运营商某基地门户网站遭遇DDoS攻击,持续约4小时,导致业务受损并引起投诉。
由于攻击的频繁出现和危害性,工信部网络与信息安全考核标准中已明确要求运营商需在省公司互联网骨干层部署异常流量监测系统。
因此在运营商互联网络出口等关键位置部署异常流量清洗系统非常有必要。
二、异常流量主要构成
2.1分布式拒绝服务攻击(DDos)
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
DDoS攻击多种多样,从最初的针对系统漏洞型的DoS攻击(如Ping of Death),发展到现在的流量型DDoS攻击(如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等),以及越来越频繁出现的针对应用层的DoS攻击(如Http Get Flood、连接耗尽等)。
根据2015年上半年绿盟科技所发布的DDoS威胁报告,目前DDoS攻击存在两极分化的态势,大流量攻击不断增长(>100G的攻击有33起)并开始走向云端,小流量攻击(1分钟以下42.74%)变身脉冲及慢速攻击,主要针对行业业务特性。
在此背景下,攻击流量呈现混合化,并以UDP混合流量为主(72%)。
2.2木马和僵尸网络
木马和僵尸网络能使远程用户获得本地计算机的最高操作权限,使用户的电脑完全暴露在网络环境之中,成为别人操纵的对象,从而利用被操纵的主机发起DDOS攻击和盗取用户隐私。
根据国家互联网应急中心(CNCERT)监测发现,2015年10月最后一周,境内感染网络病毒的主机数量约为 72.48 万个,其中包括境内被木马或被僵尸程序控制的主机约47.23万以及境内感染飞客(conficker)蠕虫的主机约 25.25万,根据其统计中国大陆已超过美国,成为最大的僵尸网络受害国(地区)。
2.3蠕虫病毒传播
“蠕虫”这个生物学名词最早于1982年引入计算机领域,计算机蠕虫病毒的两个最基本特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。
由于蠕虫病毒的这些特性,使其具有快速的感染能力,破坏性巨大。
例如,近几年危害很大的“尼姆亚”病毒,2007年1月流行的“熊猫烧香”以及其变种均是蠕虫病毒。
这一病毒利用了电脑操作系统的漏洞,计算机感染这一病毒后,会利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
三、异常流量清洗系统部署方案
系统主要实现异常流量检测和清洗两大功能,其部署和工作原理如下:
3.1系统总体架构
骨干网和城域网间互联电路是电信运营商最重要的数据流量通道,超过80%以上流量需通过此电路疏导,因此在运营商各城域网出口处部署异常流量清洗系统,可以有效监控本省、本网用户访问其它网络,以及外网用户访问本网的数据。
目前系统主要有串联式和旁路式2种,如图1所示。
旁路式:是指探测系统通过流量分离设备获取被监控链路的流量复本,实现网络业务的识别,并通过与控制系统联动实现流量清洗的一种方式;
串联式:是指探测系统串联在被监控的链路中,实现网络业务识别和异常流量清洗。
串联式由于直接串入网络中,更有利于流量管控,但由于目前互联网流量呈现爆发式增长,运营商主要宽带网络出口带宽每年成倍增长,如采用串联模式,前端探测系统需要同步进行大量投资;同时系统一般部署在网络出口位置,非常重要,一旦出现故障,将严重影响网络正常运行,因此本文建议采用旁路式部署,通过系统与出口路由器联动实现异常流量有效管控。
3.2异常流量检测原理
通过DPI(Deep Packet Inspection,深度包检测)、DFI(Deep/Dynamic Flow Inspection,深度/动态流检测)等检测技术对流量深度分析,系统将分析出数据进行有效组合,实现基于任意“五元组”组合流量的分布和趋势查询,以及各项网络和应用协议(主要针对DDOS攻击、
木马和僵尸、蠕虫病毒等)使用情况统计与查询。
具体流程如下:
针对每个数据包,系统首先需要查询其对应的流表,查看此流是否已经识别(即DFI检测),此时有2种情况:
流程1:该流量已经被识别。
则DPI可成功完成对协议的识别。
流程2:流量未被识别,则下一步进行关联表查询,通过其“五元组”信息进行匹配;
流程3:流量可关联,DPI可成功完成对协议的识别;
流程4:流量不能关联,则下一步进行基于包的DPI检测;
流程5:DPI成功检测,得出匹配规则的可靠性权值,更新流表中的协议识别权重。
不论包DPI检测是否有结果,都需要进行下一步的行为检测;
流程6:行为检测成功后,得出匹配规则的可靠性权值;
流程7:没有达到阈值,则为未识别的业务,对未识别业务超过一定百分比时,协议分析团队需对现网流量进行分析,增加协议识别的种类;
流程8:根据系统配置的策略库,对数据包进行相应处理,并生成有效查询数据。
3.3异常流量清洗
系统通过对流量的有效识别,并与出口路由器联动,可实现对异常流量(DDoS攻击、木马和僵尸、蠕虫等)进行清洗,而正常流量则正常放行。
本文以异常流量(DDoS攻击)清洗为例,对系统工作原理进行分析。
分布式拒绝服务攻击(DDoS),主要是同一时段多个攻击平台针对某个目的IP地址的攻击,也就是到某个IP地址的流量突然增大。
因此检测中心可根据此特性,识别出针对某个IP 的DDOS攻击,攻击检测出来后,通过系统检测中心、后端控制系统、前端清洗中心以及出口路由器的配合,以实现对异常流量(DDoS攻击)清洗,如图3所示:
检测中心:分析流量,发现攻击,启动防御,属于前端子系统中的一部分。
清洗中心:解决异常流量的清洗工作,属于前端子系统中控制子系统一部分。
系统工作流程为:
(1)检测中心根据流量特性识别出DDoS攻击报文,并将相应信息告知后端子系统;
(2)后端系统把识别为受到攻击的目标IP,及其相应的清洗策略和当前受到的攻击类型下发到清洗中心设备上执行;
(3)正常情况下,任何流量是不经过清洗中心;
(4)当清洗中心收到后端系统的通知后,启动自动牵引策略(利用BGP路由牵引的方式),将指定目的IP的流量全部牵引过来;
(5)异常流量改变流向,先从出口骨干路由器引流到清洗中心,将大量的攻击流量清除之后的正常流量再流入到互联网中。
四、结束语
纵观近年来异常流量攻击(主要为DDoS)攻防双方的对抗交锋,攻击方技术不断演进,将“以大欺小”(流量型攻击)与“以小搏大”(资源耗尽型)等攻击方式组合起来,攻击行为不断变化,网络环境的演进使得攻防的战场更为复杂,而防守方则主要通过优化流量清洗设备能力予以应对,因此清洗系统只有不断优化、提高性能才能适应网络发展需求,并推动网络链健康成长。
