面向应急响应的高速网络流量采集设计与实现.pdfVIP

面向应急响应的 高速网络流量采集设计与实现 东南大学 马亚洲 2014.11 目录 一．应急采集背景和定义 二．应急采集目标 三．应急采集现状 四．应急采集设计 五．应急采集测试 六．总结 一、应急采集背景和定义 面向应急响应的高速网络流量采集，即应急采 集，是网络安全事件应急响应的重要内容，指在 网络主节点检测到网络安全事件之后，为获取进 一步的信息以对事件的发展进行跟踪和原因分析 等响应，需要在接入网网络边界针对特定的通信 对象和通信特征进行实时的网络流量采集。 应急采集具体指捕获特定IP、端口、协议的原 始报文，获得分析样本，以便对该安全事件做出 进一步的分析判断。 二、应急采集目标 面向应急响应的网络流量采集目标： 1）针对性 应急采集的数据源应能为应急响应提供关键、有价值的报文交互 信息。 2 ）高效性 应急采集能够高效、及时响应应急采集任务，并能同时进行多个 应急采集任务。 3 ）准确性 应急采集在采集报文时不漏采、不多采、不错采。 4 ）可控性 人为可以控制应急采集任务的开始和结束。 5 ）通用性 应急采集应具有平台的通用性，方便系统的移植和复用。 三、应急采集现状 报文采集技术现状 基于软件 基于硬件 Tcpdump 、PF_RING TNAPI 基于ASIP （Application Specific Instruction Processor）技术的NP （Network Processor）、基于FPGA 的网络捕获工具 采集速率低 灵活性差 根据应急采集的需求和现有工具的不足，高速网络流量下的应急采集面 临着如下问题： 1）高性能捕获网络流量，CERNET南京主节点边界的峰值流量已经达 到17Gbps （3.17Mpps ）。 2 ）高性能报文分类筛选，同时由于应急采集任务因时间变化、人为干预 等因素而开始或结束，需要动态调整应急采集任务； 3 ）高性能报文存储，在应急采集时可能遇到流量峰值，同时为了高效分 析和管理报文数据，需要对应急采集到的报文分类存储、文件切分等处 理。 四、应急采集设计-拓扑结构 应急采集的拓扑结构如图所示，由于CERNET南京主节点的边界流量超 过单个万兆网卡的捕获能力，所以使用分光器分别复制CERNET南京主 节点与CERNET主干网的两个上联信道的进出网络流量，并分别传输给 应急采集主机配置的两个万兆网卡，在应急采集主机上对网络流量进行 筛选和分类。 四、应急采集设计-系统设计 系统模块 解决问题 解决方法 报文捕获模块 高性能报文捕获： 利用现有的2个万兆网 采集CERNET南京主节点 卡和基于软件的网络报