摘要：運營商高度關注IP城域網的安全問題，同時迫切需要一套安全管理系統(tǒng)對IP城域網進行有效的管理。本文以IP城域網的流量監(jiān)控與控制為出發(fā)點，對系統(tǒng)的組成和功能進行了探討和研究。
　　關鍵詞：安全IP城域網異常流量攻擊
　　1引言
　　進人21世紀以來，隨著中國信息產業(yè)的持續(xù)快速發(fā)展，國內電信運營商數(shù)量的不斷增加，國內電信業(yè)的競爭也越來越激烈。國內的電信運營商在不斷對其網絡進行建設和擴容以滿足網絡容量和性能需要的同時，也在不斷地對其業(yè)務管理平臺、業(yè)務支撐平臺進行建設和完善。
　　隨著IP城域網絡規(guī)模和業(yè)務的發(fā)展，網絡建設和發(fā)展的重點從“面向網絡”逐漸向“面向業(yè)務、面向用戶”的方向發(fā)展，原有的管理手段和支撐系統(tǒng)已經不能夠適應互聯(lián)網絡發(fā)展需要。因此，運營商迫切需要建設功能和性能更加強大的業(yè)務管理平臺和支撐平臺對IP城域網絡進行高效全面的管理與監(jiān)測。
　　互聯(lián)網與傳統(tǒng)的交換和數(shù)據(jù)專線網絡相比有很大的特殊性，用戶數(shù)量大，業(yè)務情況復雜、對用戶的業(yè)務雖和使用情況很難統(tǒng)計;并且目前網絡設備功能主要為高速的交換和轉發(fā)，對流量缺乏足夠的統(tǒng)計、分析和控制。運營商目前只能掌握每條中繼電路的流量總量情況，但是很難了解網絡中流量成分情況和流量流向情況。同時，隨著互聯(lián)網業(yè)務的發(fā)展，網絡中的安
　　全攻擊、蠕蟲病毒、異常流量和垃圾流量也越來越多，這些流量占用了網絡的很大帶寬，并且對運營商的網絡以及用戶造成了很大的影響。
　　2研究的必要性
　　目前，沒有單獨的電信網絡安全管理系統(tǒng)，對網絡安全的監(jiān)測主要是通過NetFlow數(shù)據(jù)采集分析、交換機設備端口鏡像數(shù)據(jù)分析、系統(tǒng)109信息采集等手段來實現(xiàn)的;對網絡安全的控制主要是通過運維人員部署訪問控制列表、設置路由吸收桶等方法來實現(xiàn)的。以上這些手段或是分布在幾個分散的系統(tǒng)里，或是需由運維人員手動配置，難以相互協(xié)調配合，形成一個完整有效的安全管理系統(tǒng)。
　　因此，運營商迫切需要一套網絡安全管理系統(tǒng)對互聯(lián)網的流量進行全面的分析并對網絡中的流量(尤其是異常流量)進行監(jiān)控。通過對互聯(lián)網流量的監(jiān)控，運營商可以更好地了解網絡的運行情況和用戶的使用情況，有針對性地對網絡進行建設并指導業(yè)務的發(fā)展;同時，通過對異常流量的監(jiān)控，運營商可以更即時、準確地發(fā)現(xiàn)和定位網絡中的異常流量并對異常流量進行過濾和控制。
　　3研究的目標
　　研究IP城域網網絡安全管理系統(tǒng)，實現(xiàn)網絡和服務可用性的安全目標。
　　第一，當網絡攻擊發(fā)生時，從IP城域網的層面，對異常流量攻擊實施有效監(jiān)控和定位。
　　第二，能夠及時響應，對異常流量和一些非法應用進行控制，保證IP城域網的正常運行。
　　4系統(tǒng)組成
　　此系統(tǒng)分為三部分，即異常流量監(jiān)測系統(tǒng)、中心分析處理系統(tǒng)、策略執(zhí)行系統(tǒng)異常流量監(jiān)測系統(tǒng)可采用多種方式實現(xiàn):對于出日設備，可采用NetFlow方一式采集數(shù)據(jù)，對流量流向、應用分布進行統(tǒng)計分析;對于匯聚設備，可采用串接設備或鏡像鏈路采集數(shù)據(jù)，精確復制每一個數(shù)據(jù)包網絡流量監(jiān)測系統(tǒng)將采集結果交給中心分析處理系統(tǒng)分析處理
　　中心分析處理系統(tǒng)負責分析網絡流量監(jiān)測系統(tǒng)采集的數(shù)據(jù)，結合病毒、攻擊特征庫，判斷流量是否異常;若異常，給;出告警，生成并下發(fā)策略策略執(zhí)行系統(tǒng)接收中心分析處理系統(tǒng)的指令，對異常流量執(zhí)行封堵、限速、導流、串擾等智能過濾操作，對異常流量的源設備給出警告或提示。
　　4.1流量采集對象
　　網絡安全管理系統(tǒng)的管理對象為IP城域網的路由器設備：
　　目前，城域網主要采用Cisco和華為的路由器設備路由器設備的主要端「l類型包括10GPOS/2.SGPOS/GE/155MPOS等。
　　4.2流量采集點的設置
　　流量采集點主要設置在lP城域網與骨干網及其它運營商網絡互聯(lián)點，以及城域網匯聚到一般核心連接的點。對從其它AS進入到IP城域網的流量以及城域網內部的交換流量進行數(shù)據(jù)分析，從而實現(xiàn)對所有出人IP城域網骨干網的流量以及城域網內部的交換流量進行分析。
　　4.3系統(tǒng)部署規(guī)模
　　網絡安全管理系統(tǒng)的性能應能夠滿足對IP城域網內的全部流量進行分析其中，采集器負責對進入該節(jié)點的流量進行采集和本地分析，分析服務器負責對各采集器的結果進行匯總和關聯(lián)分析，過濾設備負責將發(fā)現(xiàn)的異常流量進行智能過濾。設想IP城域網結構主要分為超級核心層、一般核心層、匯聚層以及接人層，整個網絡分為n個片區(qū)，共分為a個超級核心節(jié)點，b個一般核心節(jié)點，c個匯聚節(jié)點。
　　4.4系統(tǒng)部署方案
　　(l)異常流量監(jiān)測系統(tǒng)的部署
　　異常流量監(jiān)測系統(tǒng)分片區(qū)對整個lP城域網流量
　　進行全面監(jiān)控，共分為n個主要片區(qū)(見圖1)
　　
　　在IP城域網的核心層共部署n臺異常流量監(jiān)測設備，每個片區(qū)部署一臺采集器分別采集本片區(qū)的數(shù)據(jù)信息，對數(shù)據(jù)信息進行本地化處理;其中一臺采集器同時作為分析服務器，對其它n一1臺采集器所處理的數(shù)據(jù)進行匯總，并進行關聯(lián)性分析
　　在IP城域網的匯聚層共部署c臺能夠分析1一7層協(xié)議的流量監(jiān)測設備，對原始數(shù)據(jù)進行拆包分析
　　(2)策略執(zhí)行系統(tǒng)的部署
　　在IP城域網部署n臺過濾設備，每個片區(qū)部署一臺，異常流量監(jiān)測系統(tǒng)可與本片區(qū)的智能過濾設備產生聯(lián)動，從而有效地對網絡內部的各類異常流量和非法應用進行控制和過濾。
　　5安全管理系統(tǒng)功能要求
　　5.1基本功能
　　具有檢測IP骨干網上病毒和攻擊的功能。收集互聯(lián)網絡所有的病毒、漏洞、攻擊特征，生成數(shù)據(jù)庫，為其他模塊提供甄別依據(jù)及處理手段。為保持數(shù)據(jù)的時效性，此數(shù)據(jù)庫應能定期更新，需與其他的防病毒、防攻擊系統(tǒng)有接口此外，還應為運維人員提供經驗處理定制界面，可將運維人員積累的防病毒、防攻擊經驗補充至數(shù)據(jù)庫中。
　　(l)對網絡中常見的的DoS/DDoS攻擊和濫用(TCPSYN/ICMpPing/TCPrese燈Ipfragment等)，即使在流量相對不大的情況下，系統(tǒng)應當具備發(fā)現(xiàn)、記錄和報警功能，對于DOS/DDOS攻擊的報警，具備報警門限設置功能。
　　(2)對于網絡中的其它異常流量，系統(tǒng)本身具備基于IP地址、端口、應用或者其它流量特征的定義。
　　(3)系統(tǒng)能夠分析當前網絡異常流量，進行原因分析、判斷異常行為的類別，實現(xiàn)異常流量來源追溯并確定其影響目標(主機或網段)，并進一步判斷網絡異常流量的風險程度。
　　(4)系統(tǒng)基于常見的異常流量提供完善特征庫，支持特征庫升級，以應付不斷變化的網絡情況。
　　(5)能夠精確分析每個數(shù)據(jù)包，監(jiān)控一些非法應用，可以自定義需要監(jiān)控的應用。
　　(6)系統(tǒng)能夠對發(fā)現(xiàn)的異常流量和非法應用進行智能過濾。
　　5.2流量采集功能
　　(l)系統(tǒng)能夠采集數(shù)據(jù)，精確復制每一個數(shù)據(jù)包和支持接收NetFlowVI，VS，V7，VS，Vg格式的流量數(shù)據(jù)，并進行異常流量檢測。系統(tǒng)支持接收Cflow山sFlow格式的流量數(shù)據(jù)，并進行異常流量檢測。
　　(2)流量分析系統(tǒng)支持轉發(fā)采集的數(shù)據(jù)包和接收到的NetFlow/sFlow/cflowd數(shù)據(jù)，以供其他系統(tǒng)進行統(tǒng)計分析。
　　(3)在不同路由器上可能設置不同的采樣率，因此系統(tǒng)應該能夠根據(jù)每臺路由設備不同的采樣率對從該設備采集的數(shù)據(jù)進行還原，以得到正確的統(tǒng)計結果。
　　5.3異常流量分析功能
　　(l)網絡整體異常流量分析系統(tǒng)能夠對進出lP城域網的全部流量進行網絡整體異常流量分析。
　　(2)支持對異常流量進行動態(tài)分析.
　　實現(xiàn)網絡異常流量監(jiān)控。系統(tǒng)實時對網絡中正常流量形成流量模型，根據(jù)網絡正常的網絡流量模型動態(tài)分析網絡中流量的異常，并能找出網絡中異常流量。.
　　系統(tǒng)提供。基線分析功能、應用(協(xié)議)異常流量分析、網絡設備異常流量分析功能、異常流量特征庫分析功能。系統(tǒng)能夠根據(jù)預先定義的闌值，自動觸發(fā)異常流量報警。
　　(3)支持基于主機的異常流量分析
　　.針對個體主機，對于常見的DoS心005攻擊和濫用(TCpSYN/ICMPPing/TCPrese燈Ipfragment等)具有閥值設定及告警功能。
　　能夠對主機帶寬異常進行分析，異常分析中具體給出源地址，目的地址，源端口，目的端口，四層協(xié)議，TcPFLAG，Interfaee的描述，并顯示告警。
　　(4)支持基于網絡設備的異常流量分析
　　 .測量出網絡設備受異常流量影響而性能降低的嚴重程度。
　　 .通過SNMP來取得網絡設備上的相關性能指標(CPU使用率、內存使用率及掉包數(shù))。
　　 .網絡流量超出使用者所定義的正常流量基準線的閡值時，系統(tǒng)能夠觸發(fā)異常告警。
　　 .對于一個特定的設備，當數(shù)據(jù)傳輸模式的包/每秒的流量超出了可被接受的限度，系統(tǒng)產生異常報警。
　　 .能夠對設備異常帶寬進行分析，異常分析中具體給出源地址，目的地址，源端口，目的端口，四層以上協(xié)議TCPFLAG，Interfaee的描述，并顯示告警。
　　(5)支持對私有IP/D盯kIP(網絡非法地址)的異常流量分析
　　 .針對網絡非法地址的流量進行實時檢測，及時發(fā)現(xiàn)非法地址對網絡的攻擊。
　　 .能夠區(qū)分DarkIp和privateIp。
　　(6)支持基于特征檢測的異常流量分析
　　 .支持針對網絡蠕蟲(及病毒)與DoS/DDoS攻擊特性所設計的特征來偵測已知的網絡攻擊。
　　 .支持使用者定義的特征，可通過手工添加攻擊/病毒的特征信息。
　　 .系統(tǒng)能夠比對不同流量的特性，有效地偵測出已知和未知的網絡攻擊。
　　(7)病毒特征碼分析
　　根據(jù)病毒的特征碼定義，實現(xiàn)全網的病毒掃描，找到病毒源(如SQLWorm源)，避免病毒占用寶貴的互聯(lián)鏈路資源。當網絡可能出現(xiàn)病毒的時候就馬上通過病毒爆發(fā)事前的掃描等異常流量和特征行為掃描定位病毒并找到源頭進行控制，對已經爆發(fā)的病毒實現(xiàn)精確和全網關聯(lián)的控制。
　　5.4異常流量的應對策略
　　(l)系統(tǒng)能自動標識出所受影響的設備，并給出針對攻擊緩解，提供詳細措施。
　　 .系統(tǒng)必須提供源地址，目地地址，源端口，目的端口，協(xié)議，包傳輸率，包的大小，以及與網絡異常相關的TcPnag信息
　　 .系統(tǒng)能自動給出符合Cisco，華為或Juniper語法的流量限制的訪問控制列表(ACL)，通過自動或手動的方式緩解網絡攻擊造成的影響。
　　(2)當網絡出現(xiàn)異常流量時，可以通過實時性的流量分析檢測出來。能夠迅速地檢測異常、追蹤攻擊的路徑和受影響網絡設備，并自動實施措施阻擋異常流量的蔓延，避免異常流量繼續(xù)影響網絡的運行當異常流量模塊監(jiān)測到網絡受到攻擊時，異常流量模塊能夠提供相應的建議，用以緩解網絡攻擊造成的影響，以供維護人員參考。
　　(3)系統(tǒng)能夠根據(jù)異常流量的類型，與第三方過濾設備進行聯(lián)動，實現(xiàn)對異常流量的智能過濾。
　　
　　6 結束語
　　
　　網絡安全管理系統(tǒng)能夠為IP城域網提供網絡維護和業(yè)務增值上的幫助，主要表現(xiàn)在:
　　(l)網絡維護支持
　　在網絡發(fā)生DDOS或蠕蟲攻擊時給安全管理人員提供迅速排除故障的手段。當網絡中發(fā)現(xiàn)大規(guī)模的安全攻擊時，安全管理人員可以通過網絡安全管理系統(tǒng)對異常流量的實時監(jiān)控發(fā)現(xiàn)異常流量和攻擊的類型和來源，并且能夠追查到攻擊的路徑;系統(tǒng)還提供給安全管理人員非常具體和明確的對應手段，讓安全管理人員在短時間內阻擋和清理攻擊，避免網絡資源和網絡設備受到更深遠影響。
　　發(fā)現(xiàn)惡意發(fā)出攻擊的用戶或設備被病毒/蠕蟲感染的用戶。在異常流量分析中，經常能夠發(fā)現(xiàn)一些用戶惡意發(fā)出攻擊或用戶設備被感染而發(fā)出攻擊。安全管理人員可以及時提醒用戶或采取適當和必要的措施，以保護IP城域網資源和其他用戶的安全。預先警覺未知的DDoS或病毒/蠕蟲攻擊。以往在使用依賴已知的特征數(shù)據(jù)庫來識別網絡攻擊的安全設備時，安全管理人員往往無法檢測和識別新型或變種的攻擊。由于異常流量監(jiān)測系統(tǒng)是采用尋找與正常網絡行為比較有偏差地方的模式，因此任何類型的攻擊，無論是已知的還是新生的，都因為它對網絡正常行為的影響而被檢測到。
　　對一些非法應用進行限制，比如BT這樣大量耗費網絡資源的應用，對網絡的性能造成很大的影響。
　　(2)業(yè)務增值
　　當互聯(lián)網接人變得對業(yè)務越來越關鍵時，把他們自己和競爭者區(qū)別開的運營商將能收取更高的價格并且贏得一個更廣泛的用戶基礎。
　　
　　搜論文知識網致力于為需要刊登論文的人士提供相關服務,提供迅速快捷的論文發(fā)表、寫作指導等服務。具體發(fā)表流程為：客戶咨詢→確定合作，客戶支付定金→文章發(fā)送并發(fā)表→客戶接收錄用通知，支付余款→雜志出版并寄送客戶→客戶確認收到。鳴網系學術網站，對所投稿件無稿酬支付，謝絕非學術類稿件的投遞！