运营商互联网监控技术分析.pdfVIP

运营商互联网监控技术分析 余晓光 沈 军 金华敏 中国电信股份有限公司广东研究院 广州 510630 互联网网络安全现状和需求 龄门槛也越来越低。随着黑色产业链的兴起， 2009年CNNIC最新报告指出中国网民已达 网络攻击更是向着利益化、集团化、规模化的 2.98亿人，占世界第一。庞大的用户群体包括个 方向发展。目前互联网上的大规模DDoS、垃圾 人用户、企业用户、政府用户等。目前各行业和 邮件、蠕虫病毒、异常流量、僵尸网络活动越 政府内的日常工作都要利用互联网，而各种电子 来越频繁，某些攻击更是把目标放在互联网的 商务、金融、证券、物流等业务也必须依赖互联 重要基础设施和重要支撑系统，这些攻击往往 网提供，互联网已经和人们的工作、生活密不可 会造成严重的影响，因此，电信运营商有必要 分。2009年5月19日，由于暴风影音遭受攻击而 对网内的各种攻击企图和活动进行监控，在攻 导致多个省的DNS几乎瘫痪，再次给互联网安全 击造成重大危害的早期进行有效的预防，在攻 敲响了警钟。在这种情况下，互联网的信息基础 击发生时进行及时的化解。 设施和重要支撑系统成为互联网是否能够可靠稳 定地提供通信服务的关键所在。 互联网安全监控的要求 互联网是由大量的个人计算机、服务器、 互联网安全监控主要完成监视和检测、缓解 传输介质、路由交换设备、存储设备等组成 和恢复、追溯和取证的功能，具体的要求如下。 的，在信息的传送过程中，所经过的路径上的 ⑴互联网攻击监视和检测要求 每一类设备都必须调用本身的软件进行信息处 当互联网安全攻击事件发生时，电信运营 理。软件存在的漏洞带来了大量的网络安全问 商需要有监视和了解事件情况的工具来实现适 题，尤其以计算机操作系统的软件漏洞为多， 当防御措施的部署。监视和检测的要求如下： 以路由交换设备的漏洞影响为大。标准的软件 ●对全网范围的潜在危害活动进行监视和攻 开发方法还无法杜绝软件开发后存在的漏洞， 击检测； 一般的软件开发控制过程也只是尽量地减少攻 ●对重要基础设施和重要支撑系统的动态保 击者能够利用的漏洞，因此网络漏洞必将广泛 护，对攻击的动态响应； 和长期存在。 ●对全网安全系统的监视，以确保安全系统 由于近些年互联网上广泛传播的攻击教 满足所制定的安全策略； 程、攻击代码、攻击工具，在互联网上进行网 ●对全网正常网络流量模型的建立，对异常 络攻击变得越来越容易，要求的技术门槛和年 流量的早期发现和预警； 4583 专题 网络安全 ●网络攻击流量数据的实时采集、 求满足程度较弱，导致可选的技术手段 数、输出包丢弃数、输出包错误数、 存储、提取和分析以及后期的回放； 不多，近几年这种情况有所改观，下面 输出队长等。 ●方便、易用、直观的界面，使得 简要介绍两种攻击监测技术。 ⑵基于Netflow的流量监测 攻击发生时可以通知到操作人员，操 技术 作人员也可以从系统上方便地了解到