骨干网络中追查异常流量威胁(图文)

　　2.3 NTARS工作机理：针对目标系统的流量特征数据

　　NTARS综合采用Flow分析技术、安全响应抑制技术和传统网络管理部分功能，以旁路部署方式提取流量摘要，对帧数、帧长、协议、端口、标志位、IP路由、物理路径、CPU/RAM消耗、带宽占用等直接特征进行监测并基于时间、拓扑、节点等进行统计分析，建立现行流量分布数学模型(Current Traffic Pattern)，并与已知模型(Unified Traffic Pattern)进行实时比对分析，以期发现统计意义上的流量分布异常情况亦即流量图式偏离(Pattern Deviation)。

　　针对每种比对结果，NTARS系统都力争将其落在已知的异常流量模型(Abnormity Model)范围中，并以此给出告警解释或进一步提供智能化的策略响应。

　　以上所提及的各类流量模型是NTARS系统的运算工具，而系统的工作对象是目标系统的流量特征数据。

　　2.3.1 基于统计抽样的高效基线比对

　　NTARS能够通过流量基线和流量阀值两种方式提供全局流量检测服务，流量基线和流量阀值分别描述了目标链路流量分布的“正常”和“异常”：

　　* 基线描述了正常情况下目标链路的流量分布和变化规律。NTARS既可以根据收集到的信息自动生成流量基线，也允许管理员手工调整定制，使得基线更加贴近目标链路的实际情况。基线功能可以通过对一个指定时间周期内各项流量图式指标的定义(如总体网络流量水平、流量波动、流量跳变等)，建立流量异常监测的基础模型，并可在运行中不断自我修正以完成与实际运行特征的吻合，从而提高对异常流量报警的准确性;

　　* 和流量基线相比，流量阀值则直接定义了目标链路中流量异常的情况。当指定范围内的流量指标超过该阀值时，系统则判定网络中出现流量异常，并作出报警和安全响应。

　　流量基线和流量阀值，分别从正常、异常两种视角对目标链路的健康状况进行描述，两者的结合使用有效促进NTARS及时、准确的检测和定位异常行为，并为系统自动响应机制提供有关异常流量的规范性描述。

　　2.3.2 基于样本描述的精准特征匹配

　　为了将混杂在正常业务应用流量中、大量消耗网络带宽的类DDoS异常行为(如Worm、Spam)准确识别出来，NTARS专门增加了基于样本描述的特征匹配检测引擎，为应用层内部的异常行为进行专项检测，把DDoS防护范围从单纯的传输层以下进一步扩大到OSI所有层面。

　　NetEye安全实验室提供持续更新的特征规则库。NetEye特征库采用了东软公司自主产权的NEL语言对业内已知有关网络安全的异常行为进行了严格、精确的特征描述，是NTARS进行应用层异常识别的技术基础。

　　同时，NTARS体现出更多的网络管理职能色彩，例如网络接入控制、IP路由导出及策略路由注入、CAM信息检索、网络拓扑发现、网元性能监控等，使之功能不再局限在针对特定信息资产的被动防护安全范畴，而逐渐形成着眼于全网带宽资源、网络访问行为统计分布、网元状态及性能等网络基础特征的监测分析并最终提供有效的服务质量保证支撑手段。

　　2.4 把行为检测与安全防护有机统一

　　如果说基线概念的出现代表着网络性能分析阶段与异常行为检测阶段的临界点，那NTARS系统所具备的多种响应能力则把行为检测与安全防护两大职能分类进行了有机统一。

　　NTARS名字中的" R"(esponse)清晰地传达出东软公司对其防护能力所寄托的厚望。尽管采用旁路部署方式，NTARS却轻松实现了对DDoS等异常行为的主动干预，从而将其与单纯的检测报警类设备泾渭分明的区别开来。

　　2.4.1 黑洞路由导入

　　对于源目的IP或者服务类型较为确定的DDoS流量，NTARS能够通过BGP、OSPF协议与指定路由设备进行通信或直接进行CLI静态路由配置，设置Black hole黑洞路由，从而使路由设备将异常流量直接抛弃。

　　相对于ACL访问控制规则Deny操作而言，Black hole可实现更快的处理速度，避免NTARS所加载的反响抑制措施对路由设备造成额外的处理负荷。

　　2.4.2 流量牵引及净化

　　同时，NTARS支持与外挂安全过滤设备的协同，如NTPG(东软NetEye网络流量净化网关)、FW、IPS、防病毒过滤网关等。安全过滤设备将为NTARS提供作为专业的流量过滤净化服务。

　　为此，NTARS在对异常流量作为正确判断后，将通过BGP或CLI方式对可疑流量进行选择性牵引，诱导路由设备将可疑流量转发至特定安全过滤设备，凭借专业化检测过滤机制对可疑流量进行深度分析和控制。经过滤净化后的流量将按照管理员预设策略重新进入原有路由路径中，从而实现对高带宽流量有选择、分层次的深度过滤分析作业。

　　几乎所有主流防火墙、IPS、防病毒过滤网关等系统都可以成为NTARS外挂设备，NTARS将根据外挂设备的具体处理能力决定牵引流量的上限带宽，从而保证外挂过滤设备的介入不会对原有网络转发能力造成负面影响。除此之外，外挂设备处理能力的上限阀值也可以被NTARS作为重要参考因素，并据此完成同类别外挂设备之间的负载分流。

　　2.4.3 自动调整ACL及traffic shaping

　　另外，NTARS还具备通过CLI调整指定路由设备配置文件的能力。NTARS可遵循由NEL语言预设的语法规则，完成与特定路由设备的命令行交互，按照各分析引擎的检测结果自动调整路由设备的ACL和流量整形策略，迫使路由设备拒绝相应DDoS流量或按照指定阀值自动抛弃超出部分流量，对DDoS流量进行有效抑制。

　　通过NTARS的多种响应手段，网络运维人员得到的不再是令人眼花缭乱的空洞报警，而是系统针对DDoS流量自动采取控制机制的切实收益。

　　3、 NTARS系统的适用性

　　NTARS是集检测与响应于一身的混合型防护设备，不仅通过旁路部署的方式避免了对高端网络稳定性的影响，而且又利用BGP/CLI等方式完成了对可疑流量的反向抑制。对于高端网络运维而言，NTARS综合提供了统计分析、异常检测和反向抑制三大部分功能，是对DDoS、Spam等进行有效反制的不二之选。

　　应该说，NTARS几乎就是针对高端网络安全运行维护需要而量身定做的，正是这种应时而出的先天优势使之在高端网络流量监控方面呈现出高度的适用性：

　　1) NTARS能够使网管人员不仅获知带宽正在被占用多少(如同常见的网管系统那样)，而且能够掌握带宽在何时被何人的何种应用占据了多大比例;

　　2) NTARS把流量统计分析与应用层内容检测高效结合起来，通过科学的统计/抽样分析理论解决了处理性能对检测流量带宽的局限性，从而把安全防护体系从边缘接入区域扩展到骨干链路区域;

　　3) NTARS不仅可以检测特定连接中是否承载非法内容，更能判别当前网络中所有会话彼此之间的分布比例是否合理。因此，异常流量分析技术已经实现了“从单一具体目标防护到全局运行状态监控”质的跨越;

　　4) NTARS采用了驱动路由/交换设备的智能响应方式，通过分布式的控制手段避免了单一访问控制点对目标系统可用性的损害;

　　5) NTARS在实现安全防护的同时，丝毫未降低目标网络的稳定性，对目标网络的性能也未产生可察觉的降低;

　　6) NTARS是安全防护体系与网络管理体系的结合体，能够从网络全局而非单一网元的角度给出详细的统计分析和建议，是真正针对大网运维的安全系统。

　　由此可见，NTARS系统正是为填补骨干链路安全防护空白而出现的新兴技术，充分满足目标网络对可用性、稳定性的高度要求，结合网络安全技术与网络管理技术，为高端网络的流量分析、行为判别、应用检测和合理响应给出完整的解决手段，将在运行维护部门向蠕虫蔓延、BT下载、P2P通信等高带宽消耗类访问行为的战斗中发挥不可替代的决定性作用。

　　NTARS系统不再仅仅作为安全管理的专用工具而出现，而逐渐在高端网络的运行维护管理中得到认同和运用。