骨干网络中追查异常流量威胁(图文)

　1.1 骨干网络运维面临新课题

　　运营商业务承载类网络和行业客户骨干链路系统是高端网络的主要代表。而随着业务系统的逐年扩大，部分企业网络系统也越来越多的体现出高端网络的特征，包括电信运营商围绕承载网而建设的支撑类网络也逐步加入到高端网络阵营。

　　高端网络由于其独有的特点决定了其无法按照一般信息系统的安全建设思路进行安全防护体系建设，而完全没有安全防护的高端网络也同时失去了面向客户提供合格服务质量的基础保障：

　　* 高端网络最根本的运维要点在于如何向接入用户网络提供满足要求的服务质量承诺，尤其是带宽和响应延迟指标。但是，接入用户网络是作为一个完全的网络对等体出现的，高端网络无法确定该部分网络区域究竟需要什么样的访问控制策略，因此在接入链路近端(高端网络侧)无法设置访问控制点;

　　* 传统的安全建设都是在远端的接入网络内部(Stub网络)进行的，通常由接入单位出资建设并管理。相应的，其根本宗旨也仅局限于如何保障该接入网络不受来自其他网络的攻击，而从未考虑过(也无义务考虑)如何防范该接入端网络侵害高端网络所连接的其他网络部分;

　　* 接入用户网络除了发起正常业务流量之外，各类桌面系统也同时发出大量随机流量，如仅用作个人通信的P2P流量、易感蠕虫病毒的传播流量、吞噬带宽的BT类文件传输流量等，这些流量通常与接入用户网络应用业务无关。在这种情况下，接入用户网络发出的网络流量图式是非常不确定的。高端网络难以获知哪些流量是正常流量、哪些流量是不受欢迎的垃圾流量;

　　* 高端网络的实际带宽远远小于所有接入用户网络的承诺带宽总和。因此，当接入用户网络链路充斥着大量垃圾流量的时候，高端网络的交换能力将受到直接挑战，这种情况对接入客户比较关注的正常业务服务质量将造成严重影响。这是高端网络在运行维护方面的主要矛盾;

　　* 同时，高端网络强调的是向接入用户网络提供高度稳定的网络带宽可用性，在高端网络区域边界点上进行访问控制设备、流量限制设备部署(如防火墙、流量管理设备)将直接降低高端网络系统整体的稳定性。因此，在高端网络上部署串联式控制设备是非常不明智的;

　　* 为保证高端网络有限的带宽资源能够被合理使用，高端网络运维人员迫切需要一种旁路式的流量检测分析系统来提供较为直观的带宽占用情况监控能力，并且该系统能够将流量分析、应用检测、行为判定等特征与网络运行管理传统功能高度关联，从安全管理与网络管理两个层面多管齐下，以全局性的骨干网络运行维护视角为实现大范围的用户服务质量保证提供基础支撑;

　　* 然而，在异常流量分析技术出现之前，运维人员却不幸地发现已有的各种旁路监测系统根本无法满足高端网络的流量分析需求，如IDS系统无法提供高速链路流量实时分析处理能力和网络管理维护概念、网络管理系统缺乏应用层分析能力和异常行为检测能力等。

　　所以在新的异常流量分析与响应机制出现之前，由于技术手段的缺乏，高端网络处在一种安全建设的空白期，正常业务流量与垃圾流量争抢骨干链路有限的带宽资源，并且因为垃圾流量的分布性特点又往往使之在这种竞争中占据了上风。

　　1.2 传统技术的窘迫：不适用骨干网络的流量防护

　　传统安全技术几乎都不适用高端网络骨干链路的流量防护，原因简述如下。

　　1.2.1 串接式设备举步维艰

　　普通企业网络通常会采用类似于防火墙、IPS、DDoS过滤器等设备，通过在企业网边界点上的部署防止异常流量由低等级区域向关键区域渗透。然而，这种解决思路并不适合高端网络，主要表现如下：

　　1) 防火墙、DDos过滤器等串接设备显著降低高端网络的稳定性。高端网络是面向广大接入用户提供高速互联服务的中间网络，其宗旨在于通过高度稳定的网络带宽和服务质量满足接入用户互联互通的需求。为此，高端网络从网络设备、拓扑设计、链路资源、运维管理等各方面均不惜重金投入人力物力，为提高网络稳定性付出巨大的前期投入。然而，诸如防火墙或DDoS过滤器等设备工作重点在于提高系统安全性而非稳定性，其系统MTBF指标比主流网络设备要逊色许多。在高端网络区域边界点上部署此类设备将直接造成两个负面影响：一是人为增加了单一故障点，二是把高端网络整体稳定性直接拉低为DDoS过滤器设备本身的稳定性。因此，在高端网络上部署串联式设备是得不偿失的;

　　2) 串接设备难以提供足够的处理性能。高端网络动辄采用的万兆以上链路是现有串接设备难以望之项背的。一般FW、DDoS过滤器通常针对普通企业用户进行设计，其系统处理性能往往局限在1000M bps以下，因此无法提供与保护目标相称的处理能力;

　　3) 串接设备无法提供对应的接口类型。防火墙等过滤设备主要面向下游接入网络提供服务，网络接口基本局限为100/1000M以太链路，而作为中间互连通道的高端网络骨干链路中却广泛采用了10GE、OC-192 POS等规程，这对于构建在通用硬件平台上的DDoS过滤设备来难以配置相应接口板卡。

　　正是由于传统串接防护设备显而易见的局限性，决定了其无法在高端网络中进行应用部署。

　　1.2.2 无法准确界定DDOS

　　当寻求传统DDoS解决方案受挫后，高端网络运维部门转而在网络设备管理维护体系中进行尝试，采取的方式通常包括在网络路由设备中增加静态ACL、手动调整QoS流量整形策略等。但这似乎由一个极端走向了另一个极端，完全忽略了一个现实问题——以DDoS、蠕虫为代表的异常流量本质上是一种人<—>人对垒的网络安全斗争，而非人<—>机之间刻板的流量管理配置。这主要是由于以下原因造成的：

　　* ACL列表不可能事前得到异常流量特征。DDoS流量的源IP地址是极为分散的(这主要取决于Botnet)，目的IP地址也并不固定(这是因为DDoS的真正目标并不在于目的IP所指向的网络单元，而是迫使DDoS流经的骨干链路遭受“池鱼之灾”即可)，因此静态ACL过滤无法准确命中DDoS流量;

　　* 异常流量无法通过简单的流量统计数字进行识别。一个简单的例子可以说明： 同样是10K bps/s的ICMP ECHO流量，在5G bps/s背景负载情况下并不能说明什么问题，而对于5M bps/s的背景负载则几乎等同于一次Flooding攻击。因此，通过人工调整的流量整形策略无法在链路瞬息万变的各种流量比例关系中快速定位异常流量的发生;

　　* 网络设备难以识破异常流量的伪装。部分DDoS、蠕虫、P2P通信具备良好的伪装能力，能够混杂在正常业务应用中而使网络设备无法通过传输层以下的表象特征进行识别，这种应用层伪装能力已远远超出网络设备的能力范围。

　　由此可见，高端网络骨干链路在应对异常流量威胁时所需要的既不是脆弱的传统DDoS过滤设备，也不能是简单粗暴的网络层ACL访问控制机制。高端网络需要的是一种既可保持网络系统健壮性又能提供较高检测命中率的新颖思路。

　　2.1 NTARS流量分析系统：新的应对之道

　　NTARS(Network Traffic Analyse & Response System)网络流量分析与响应系统是东软公司面向高端网络领域推出的流量分析系统，并由于一脉相承的血统缘故，NTARS不仅具备一般网络流量分析系统的仪表功能，而且着重突出系统在异常流量分析方面的专长技能并提供多种响应处理手段。

　　NTARS定位于运营商骨干等高端网络的检测分析，通过对骨干流量信息的提取、分析，实时检测网络中DoS/DDoS攻击、P2P通信、Worm、Spam等网络滥用事件，进而驱动响应系统进行阻断防御。同时，面向管理员提供流量图式、趋势预警、关键应用服务质量等各类关于骨干网络运行状况的统计分析数据，帮助管理员监控和掌握骨干链路及关键资源的运行情况。

　　在防护目标上，与FW、IPS等传统安全设备相比，NTARS的保护对象不再是例如内网区域、关键服务器等有形资产，而是将主要关注以链路带宽、网元处理能力为代表的无形资产上。

　　2.2 ICA复合采集机制：按需获得可疑流量信息

　　NTARS所实现的ICA复合采集机制，广泛吸取Netflow、Sflow、Cflowd、NetStream、Port Mirroring、SNMP等各项技术的综合优势，通过多种渠道获得采集对象的传输层以下各协议层特征甚至可按需获得可疑流量应用层完整信息，为准确检测海量背景压力下混杂的DDoS流量提供多元化的基础数据。ICA复合采集机制所呈现的技术优势表现在以下几方面：

　　* 旁路接入设计。

　　* ICA复合采集机制完全通过旁路接入方式实现对监控网络的分析采集，能够彻底排除串联式DDoS防护机制给原有网络稳定性所引入的负面影响，同时还利用现有设备内嵌的各类Agent自动完成数据提取，可无缝支持各种物理/链路层规程接口，如POS、MPLS、万兆以太等;

　　* 高度复合的数据采集能力。

　　* ICA技术所支持的各种采集方式不再是简单的并列平行运作，而是能够按照检测策略要求在彼此之间进行智能化的复合关联，一种数据采集方式所产生的分析结果能够智能驱动其他数据采集方式的启用，自动引导数据进入不同层次的分析引擎中。如基于Flow/SNMP的采集数据所产生的分析报告，在NTARS主控模块协调下能够自动触发SPAN、网元配置分析等操作，从而将可疑流量有选择的分流到高层分析模块中;

　　* 疏密有致的检测作业分工。

　　* ICA多种采集方式直接对应到NTARS不同的分析引擎，各分析引擎提供针对不同层面的专项作业分工。通过不同引擎的配合，NTARS不仅可以成功发现分布在传输层以下的DDoS流量，并且还有能力对应用层内部的DDoS行为进行准确检测。各引擎之间既分工独立又可智能协同，能够广泛适用于网络性能分析、异常流量检测、服务质量监控、应用层安全过滤等多种环境中。