网站大量收购闲置独家精品文档,联系QQ:2885784924

YD_T 2668-2013电信网络异常流量检测与控制技术要求.pdf

YD_T 2668-2013电信网络异常流量检测与控制技术要求.pdf

  1. 1、本文档共28页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
ICS 33.040M 16YD中华人民共和国通信行业标准YD/T 2668-2013电信网络异常流量检测与控制技术要求Abnormal traffic detectionand controlguidelinefortelecommunicationnetwork2013-10-17发布2014-01-01实施中华人民共和国工业和信息化部发布 YD/T另一方面,DFI的应用识别粒度和准确率不如DPIL,DFI只能通过有限的四层参数来描述,行为待征的描述和准确率上无法和DPI技术相提并论。7异常流量控制技术7.1控制方式对网络异常流量应支持通过直路、旁路和直路-旁路联动三种方式进行部署和控制,三者在控制效果、系统性能以及对网络影响方面都各不相同。7.1.1直路控制直路模式是较为带用的,其好处是控制非常直接和方便,缺点是一且设备出现敬障,可能影响网络的运行,即带来单点故障,为了解决单点故障的间愿,通常采用双机允余各份的方式,或者采用单机旁路(Bypass)开关的方式。直路方式在技术上面临的两个主要圈难:的单点故障。二是性能和扩展性,异常流量控制设备类似于防病毒和IDS系统,需要随着应用和业务的更新而不断更新检测库,还需要阻若新业务的出现而不断扩充业务功能,否则设备很快会失效。这部会使得设各的处理性能还渐下降,并且可能需要更换设备,造成投资浪费。如果需要在网络的核心层(例如城城网出口,追常可能会有10吉比特端口)大规模部署,上述问题会变得更为突出。7.1.2旁路控制旁路控制设备往往通过端口镜像的方式获得流量的完整拷贝,然后进行复杂的分析。根据分析的结果,可以通过给其他直路设备发命令实现对流量的控制,也可以旁路发送控制包直接干预流量。旁路部署最大的优点是不会对现有网络拓扑造成任何影响,旁路部署非常适合在网络的核心层部署,如果新业务增加导致监控设备性能不满足需求,只需要增加几台设备就可以了,原有设备仍可以继续使用,可以有效保护已有投资。7.1.3直路一旁路联动控制直路-旁路联动部署方式介于直路部署和务路部署之间,即旁路部署的检测设备,与直路部署的控制设备进行联动。例如检测设备为网络边缘的BRAS设备、防火墙设备、多业务网关设各下发控制命令,这样眠不会增加新的故障点,又能够较好地实现后续业务的增值和扩展,还可以很好地利用直路设备强大的控制功能,是一种比较理想的部署方式。采用七层分析的DPI技术增强了网络流量的检测识别能力,但是DPI技术对检测设备的性能要求很高,从面几孚没有直路设备能够提供精细的深度包检测。尽管部分防火境产品已经支持部分DPI技术,但由于受到硬件体系结构的影响,DPI检测的扩展能力较差,因此深度包检测技术更多的应用在一费旁路设备上,旁路设备较直路设备降低了对系统处理实时性能的要求,不影响现有网络运行,但是务路设备对网络流量的控制能力较弱。因此,为了弥补直路设备DPI检测能力不足和旁路设备控制能力有限的缺陷,需要将直路设备和旁路设备进行联动从而实现功能互补,形成一个完整的方案。7.2控制粒度根据控制粒度的不同,流量控制技术应支持以下两类:5 YD/T2668-20137.2.1基于IP包的流量控制基于IP包的控制技术根据定义好的控制规则审查每个IP数据包,以确定是否与某一控制规则匹配,控制规则基于数据包的报头信息,包括源IP地址、目的IP地址、源端口、目的端口和传输协议类型(TCP、UDP、ICMP等)进行定义。根据预定的控制规则,丢弃非法的数据包。基于IP包的控制技术的主要优点是数据包的过滤速度快、效率高,但由于其只基于单个报文的信息进行控制,无法针对协议的交互状态进行细检度的控制,控制粒度比较粗。同时,对于多通道的应用协议(如FTP协议)来说,由于在协议交互中蓄要动态协商一条甚至多条数据通道,配置控制规则时无法预知数据通道的信息,因此无法准确的配置控制策略实现这种场最下的流量控制。7.2.2基于会话的流量控制基于会话的流量控制是一种根据应用或传输协议的会话状态对协议流量进行控制的技术。对于所有连接,其会话状态信息都将被维护并用来动态地决定数据包是否允许通过,例如,针对TCP连接,可以检测“TCP的三次握手的状态信息”和“拆除连接的整手信息”,对于非完整的TCP提手连接或者不符合当前的握手状态的报文会直接拒绝。通过检测握手和拆连接的状态,保证正常TCP访间的进行。基于会话的流量控制技术能够支持多通道应用协议(即控制信息交互和数据传输是在不同的通道上完成的,例如FTP,RTSP)的流量控制。多通道应用协议使用约定端口初始化一个控制连接,然后会动态的选择另外的端口用于数据传输。由于数据传输端口的选择是不可预知的,所以基于IP包的流量控制技术无法正确的控制这样的流量。而基于会话的流量控制技术监视每个

文档评论(0)

consult + 关注
官方认证
内容提供者

consult

认证主体山东持舟信息技术有限公司
IP属地山东
统一社会信用代码/组织机构代码
91370100MA3QHFRK5E

1亿VIP精品文档

相关文档