异常流量检测摘要.ppt

方案 特 点—报表中心(Reporting) 根据监控采集数据生成短期、 中期、长期报告（日报、 周报、月报） 自动基准分析报告 自定义报告 按计划定期自动生成报告 方案 特 点—报表中心(Reporting) 根据监控采集数据生成短期、 中期、长期报告（日报、 周报、月报） 自动基准分析报告 自定义报告 按计划定期自动生成报告 方案 特 点—系统管理(System Admin) 系统的访问授权采用标准的3A认证、权限管理机制 方案 特 点—系统管理(System Admin) 与用户现有4A系统整合，整合开发量很小 系统需要与现有用户的4A系统进行整合，本系统提供开放的API， 可以很容易与现有4A系统(Java结构)进行二次开发及整合，从技术整合角度，该整合不存在技术难度 * * * * * * * * * * * * 系统功能结构 综合分析数据采集能力 方案特点: 全网流量数据采集, 无需探针, 数据传输量微小 保守计算公式: 实际物理流量每 10 Gbps, 产生流的带宽小于 4 Mbps 10 Gbps 对应于: 2500 flow/second (1:500采样比) size=2500 * 200 * 8 = 4 Mbps 全网性能数据采集，无需探针，性能数据传输量微小 保守计算公式: 500个拨测性能测量，数据传输量小于 50 Kbps 采用DFI(深度流检测)技术实现全网异常行为(包括攻击行为，如 DoS/DDoS, 蠕虫等)监测及控制 DFI技术监测网络异常行为技术实现原理 DoS/DDoS行为如:TCP Flodd等及未知DoS/DDoS行为 异常行为监测流程 DFI包头特征检测 (Pattern Signature) 特征扫描 DFI Session行为 检测(基于统计分析) 异常(否) 异常(否) 模板特征库 特征DoS/DDoS 如:Smurf等 特征蠕虫如: SQL Slammer等 DarkIP, 私有IP，协议异常等 自定义异常行为检测 未知WORM行为，包括模板库中未定义的蠕虫行为 恶意扫描行为，包括网络扫描及主机扫描 异常(是) 异常(是) 流量、数据包、session 基准线检测 异常(是) 基准线异常 异常行为特征汇聚及异常行为控制 异常明细数据记录(细化到会话数据),可以联动xSensor协议分析仪 异常(否) 正常流 流数据 DFI技术监测网络异常行为-流包头扫描特征 此类检测的特点是逐流检测，计算量小，检测响应时间快，缺点是必须是已知异常行为: 如已知异常DoS/DDoS, 已知蠕虫病毒，其检测逻辑如下: 流数据 流数据解析得到数据包头 信息，快速匹配异常特征 库 动态加载已知及用户定义 异常特征库 动态并行Bloom匹配算法 匹配到异常 特征DoS/DDoS 如:Smurf等 特征蠕虫如: SQL Slammer等 DarkIP, 私有IP，协议异常等 自定义异常行为检测 未匹配到异常 其他类型检测 DFI技术监测网络异常-网络行为统计分析 基于目标IP的session 缓存统计(5秒Buffer) 基于源IP的session 缓存统计(5秒Buffer) 基于源IP + 目标端口的 session缓存统计 (5秒Buffer) 网络边界定义 (内网范围), 基于内网边界 过滤流数据 流数据 基于TCP Flag过滤可疑 流数据 可疑流 基于缓存数据检测session 速率是否达到探测器阈值 阈值验证 达到阈值 DoS/DDoS行为如:TCP Flodd等及未知DoS/DDoS行为 未知WORM行为，包括模板库中未定义的蠕虫行为 恶意扫描行为，包括网络扫描及主机扫描 其他检测 从属边界 边界范围外 异常特征 学习 此类检测的特点是可以在全网范围内检测异常行为，主要是session异常，网络中发生的异常大多属于session级异常这类session级异常是基于三类特征，即固定目标IP如DoS/DDoS, 固定源IP如恶意扫描， 固定源IP + 固定目标端口如蠕虫病毒，它是基准线session异常的补充，因为基准线session异常在运营商及大型网络中很难发现，比如，用户骨干网上的一条40 Gbps链路中产生session的速率为: 10,000 sessions/second, 发生一个异常行为DoS/DDoS, session速率增加: 1000 sessions/second,这样的情况，基准线一般检测不到(session速率的变化率为: 1%), 基于三类行为特征的检测可以检测这类异常，它是弥补基准线粗粒度检测的不足, 同时这种检测可以检测网络中的未知DoS/DDoS, 未