吳一波 湯林超

中訊郵電咨詢?cè)O(shè)計(jì)院 鄭州 450007

1 骨干互聯(lián)網(wǎng)直聯(lián)點(diǎn)網(wǎng)絡(luò)安全背景分析

1.1 骨干互聯(lián)網(wǎng)直聯(lián)點(diǎn)引入背景

近年來(lái)，我國(guó)互聯(lián)網(wǎng)高速發(fā)展，與國(guó)民經(jīng)濟(jì)發(fā)展和人民生產(chǎn)生活的關(guān)系日益密切。同時(shí)互聯(lián)網(wǎng)新業(yè)務(wù)的不斷涌現(xiàn)使得用戶對(duì)互聯(lián)網(wǎng)網(wǎng)絡(luò)質(zhì)量的要求也越來(lái)越高。然而長(zhǎng)期以來(lái)，我國(guó)的互聯(lián)網(wǎng)網(wǎng)間互聯(lián)一直保持著以北京、上海和廣州3個(gè)骨干直聯(lián)點(diǎn)為主，北上廣3大交換中心為輔的格局，存在較大的安全隱患；同時(shí)受網(wǎng)間互聯(lián)架構(gòu)和帶寬的影響，互通質(zhì)量問(wèn)題也比較突出。針對(duì)日益嚴(yán)峻的互聯(lián)互通問(wèn)題，工信部多次研討解決辦法，制定了 “西增東擴(kuò)、多層次、立體化”網(wǎng)間互聯(lián)架構(gòu)優(yōu)化調(diào)整總體方案和新增骨干直聯(lián)點(diǎn)實(shí)施方案，以及相應(yīng)的管理辦法，并于2013年組織完成了新增國(guó)家級(jí)骨干直聯(lián)點(diǎn)的申報(bào)評(píng)審工作，包括成都、武漢、西安、沈陽(yáng)、南京、重慶、鄭州在內(nèi)的7個(gè)城市獲批成為新的國(guó)家級(jí)骨干直聯(lián)點(diǎn)[1]。

新增骨干直聯(lián)點(diǎn)采用創(chuàng)新建設(shè)發(fā)展模式，充分發(fā)揮地方政府的積極作用，在重點(diǎn)完善網(wǎng)間互聯(lián)架構(gòu)、提升網(wǎng)間互通質(zhì)量的同時(shí)，還定位于推動(dòng)互聯(lián)網(wǎng)產(chǎn)業(yè)的均衡發(fā)展，帶動(dòng)區(qū)域經(jīng)濟(jì)發(fā)展，從而更好地服務(wù)于國(guó)家寬帶戰(zhàn)略。

1.2 骨干直聯(lián)點(diǎn)安全需求

國(guó)家互聯(lián)網(wǎng)骨干直聯(lián)點(diǎn)的增多，對(duì)網(wǎng)間信息安全提出了更高的要求，主要體現(xiàn)在以下3點(diǎn)。

1) 對(duì)網(wǎng)間監(jiān)管提出更高的要求。從國(guó)家利益出發(fā)，工信部應(yīng)對(duì)骨干網(wǎng)直聯(lián)點(diǎn)進(jìn)行安全監(jiān)管，在發(fā)生安全事件時(shí)可以進(jìn)行事件的定位、溯源和責(zé)任判定。

2) 隨著互聯(lián)節(jié)點(diǎn)增多，需配套建設(shè)DDoS攻擊防御系統(tǒng)。直聯(lián)點(diǎn)建設(shè)為DDoS攻擊提供了更多的通路，需要在各新建節(jié)點(diǎn)配套建設(shè)DDoS的防御系統(tǒng)，防止DDoS攻擊導(dǎo)致電信運(yùn)營(yíng)商業(yè)務(wù)中斷，網(wǎng)間訪問(wèn)質(zhì)量下降。

3) 需進(jìn)一步對(duì)網(wǎng)間流量進(jìn)行分析和監(jiān)控，降低P2P、VoIP等流量占用大量資源。P2P流量占用大量網(wǎng)絡(luò)資源，但對(duì)運(yùn)營(yíng)商業(yè)務(wù)并不產(chǎn)生收益，需要對(duì)P2P流量進(jìn)行抑制，使帶寬優(yōu)先保證瀏覽類流量的轉(zhuǎn)發(fā)。另外大量VoIP業(yè)務(wù)存在監(jiān)管不嚴(yán)，對(duì)運(yùn)營(yíng)商業(yè)務(wù)也有一定的影響，骨干網(wǎng)直聯(lián)點(diǎn)應(yīng)具備抑制這類業(yè)務(wù)的技術(shù)手段。

2 互聯(lián)網(wǎng)骨干直聯(lián)點(diǎn)安全系統(tǒng)建設(shè)方案

針對(duì)前述需求，互聯(lián)網(wǎng)骨干直聯(lián)點(diǎn)需重點(diǎn)建設(shè)網(wǎng)間監(jiān)測(cè)分析系統(tǒng)、攻擊防護(hù)和流量監(jiān)控系統(tǒng)等，下面逐一介紹各系統(tǒng)的建設(shè)方案。

2.1 網(wǎng)絡(luò)安全事件責(zé)任判定系統(tǒng)建設(shè)方案

2.1.1 網(wǎng)絡(luò)安全事件責(zé)任系統(tǒng)功能

網(wǎng)絡(luò)安全事件責(zé)任判定系統(tǒng)應(yīng)建設(shè)監(jiān)控分析中心、主動(dòng)監(jiān)測(cè)采集系統(tǒng)、被動(dòng)監(jiān)測(cè)采集系統(tǒng)和企業(yè)數(shù)據(jù)采集系統(tǒng)，各系統(tǒng)建設(shè)目標(biāo)如下。

1) 監(jiān)控分析中心。監(jiān)控分析中心主要實(shí)現(xiàn)對(duì)用戶信息、角色、權(quán)限、系統(tǒng)參數(shù)、基礎(chǔ)數(shù)據(jù)、互聯(lián)拓?fù)?、監(jiān)測(cè)節(jié)點(diǎn)和設(shè)備信息、監(jiān)測(cè)目標(biāo)、監(jiān)測(cè)任務(wù)、監(jiān)測(cè)數(shù)據(jù)、管理日志等進(jìn)行配置、綜合查詢、統(tǒng)計(jì)分析、圖表展示、報(bào)表導(dǎo)出和實(shí)時(shí)呈現(xiàn)等功能。

2) 主動(dòng)監(jiān)測(cè)采集系統(tǒng)。主動(dòng)監(jiān)測(cè)采集設(shè)備部署在互聯(lián)單位互聯(lián)互通機(jī)房，實(shí)現(xiàn)網(wǎng)間互聯(lián)鏈路性能監(jiān)測(cè)、跨網(wǎng)端對(duì)端質(zhì)量監(jiān)測(cè)、不規(guī)范路由監(jiān)測(cè)；與被動(dòng)監(jiān)測(cè)子系統(tǒng)相配合，實(shí)現(xiàn)通信障礙責(zé)任判定，提升省內(nèi)寬帶互聯(lián)網(wǎng)整體運(yùn)行水平。

實(shí)現(xiàn)寬帶接入速率、寬帶用戶上網(wǎng)體驗(yàn)、互聯(lián)網(wǎng)性能、互聯(lián)網(wǎng)架構(gòu)和互聯(lián)網(wǎng)資源等監(jiān)測(cè)，通過(guò)監(jiān)測(cè)分析寬帶接入速率、用戶上網(wǎng)首屏體驗(yàn)、文件/視頻下載體驗(yàn)、互聯(lián)網(wǎng)網(wǎng)絡(luò)資源等數(shù)據(jù)，為提升省內(nèi)寬帶性能提供依據(jù)。

3) 被動(dòng)監(jiān)測(cè)采集系統(tǒng)。被動(dòng)監(jiān)測(cè)采集系統(tǒng)部署在各互聯(lián)單位的互聯(lián)互通機(jī)房，具備對(duì)互聯(lián)單位互聯(lián)帶寬流量進(jìn)行分光采集分析的能力。實(shí)現(xiàn)流量流向、訪問(wèn)質(zhì)量和業(yè)務(wù)種類等監(jiān)測(cè)；與主動(dòng)監(jiān)測(cè)子系統(tǒng)相配合，實(shí)現(xiàn)通信障礙責(zé)任判定。

4) 企業(yè)數(shù)據(jù)采集系統(tǒng)。企業(yè)數(shù)據(jù)采集系統(tǒng)部署在省通信管理局，復(fù)用監(jiān)控分析中心的Web服務(wù)器，實(shí)現(xiàn)與互聯(lián)單位網(wǎng)管系統(tǒng)對(duì)接，獲取互聯(lián)單位的互聯(lián)鏈路性能指標(biāo)數(shù)據(jù)、網(wǎng)間BGP路由數(shù)據(jù)，以及互聯(lián)邊界路由器硬件配置信息、設(shè)備性能指標(biāo)和運(yùn)行告警事件等數(shù)據(jù)，并進(jìn)行存儲(chǔ)處理和統(tǒng)計(jì)分析。

2.1.2 網(wǎng)絡(luò)安全事件責(zé)任系統(tǒng)結(jié)構(gòu)

以某省為例，網(wǎng)絡(luò)安全事件責(zé)任判定系統(tǒng)的采集設(shè)備部署在互聯(lián)單位互聯(lián)互通機(jī)房，互聯(lián)互通路由器和城域網(wǎng)路由器為監(jiān)測(cè)設(shè)備提供GE接口，通過(guò)部署主動(dòng)監(jiān)測(cè)和被動(dòng)監(jiān)測(cè)設(shè)備，實(shí)時(shí)監(jiān)測(cè)網(wǎng)間流量，被動(dòng)采集的數(shù)據(jù)應(yīng)通過(guò)傳輸網(wǎng)絡(luò)傳送到通信管理局進(jìn)行監(jiān)控結(jié)果的進(jìn)一步分析。各互聯(lián)單位監(jiān)測(cè)采集系統(tǒng)架構(gòu)如圖1所示。

圖1 監(jiān)測(cè)系統(tǒng)架構(gòu)示意圖(部署在各互聯(lián)單位機(jī)房)

通信管理局應(yīng)建設(shè)網(wǎng)絡(luò)監(jiān)測(cè)中心，監(jiān)控分析中心局域網(wǎng)選用擴(kuò)展性強(qiáng)的多層交換機(jī)作為核心交換機(jī)，采用雙星型以太網(wǎng)結(jié)構(gòu)連接，出口路由器通過(guò)1 000M專線方式口子型接入寬帶互聯(lián)網(wǎng)，數(shù)據(jù)庫(kù)服務(wù)器與存儲(chǔ)設(shè)備采用SAN網(wǎng)絡(luò)結(jié)構(gòu)連接。被動(dòng)監(jiān)測(cè)節(jié)點(diǎn)通過(guò)多條1000M專線接入監(jiān)控分析中心，主動(dòng)監(jiān)測(cè)節(jié)點(diǎn)與監(jiān)控分析中心通過(guò)互聯(lián)網(wǎng)實(shí)現(xiàn)互通。工信部通信管理局監(jiān)測(cè)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。

圖2 監(jiān)測(cè)系統(tǒng)網(wǎng)絡(luò)架構(gòu)示意圖(部署在通信管理局機(jī)房)

2.2 網(wǎng)絡(luò)攻擊防護(hù)建設(shè)方案

互聯(lián)網(wǎng)骨干直聯(lián)點(diǎn)中影響最大也最為普遍的網(wǎng)絡(luò)攻擊行為是DDoS攻擊[2]，在直聯(lián)點(diǎn)建設(shè)中應(yīng)重點(diǎn)建設(shè)DDoS攻擊防御系統(tǒng)。

2.2.1 DDoS攻擊類型

DDoS攻擊是指使用客戶/服務(wù)器技術(shù)，組織多個(gè)計(jì)算機(jī)系統(tǒng)形成攻擊平臺(tái)，對(duì)特定目標(biāo)發(fā)動(dòng)DoS攻擊。其來(lái)勢(shì)迅猛，令人難以防備，破壞性較大，主要攻擊類型如下[3]。

1) 帶寬型攻擊。通過(guò)發(fā)送海量貌似合法的數(shù)據(jù)包，并使用源地址欺騙技術(shù)，大量占用網(wǎng)絡(luò)帶寬或設(shè)備處理能力，干擾甚至阻斷正常的網(wǎng)絡(luò)通信，導(dǎo)致目標(biāo)系統(tǒng)無(wú)法提供正常服務(wù)。

2) 應(yīng)用型攻擊。利用TCP和HTTP等協(xié)議的某些特征，持續(xù)占用設(shè)備資源，造成服務(wù)拒絕，如HTTP Half Open攻擊和HTTP Error攻擊。

2.2.2 主要防范技術(shù)

DDoS攻擊的防范需要多種技術(shù)多層面地綜合運(yùn)用，主要防范技術(shù)如下。

1)行為分析及流量建模。僵尸網(wǎng)絡(luò)的攻擊頻率和訪問(wèn)資源相對(duì)穩(wěn)定，并且DDoS攻擊往往會(huì)造成網(wǎng)絡(luò)流量突增，偏離正常流量趨勢(shì)?？赏ㄟ^(guò)用戶行為分析建立網(wǎng)絡(luò)流量模型，作為后續(xù)攻擊判斷和處理的參考基線。2)畸形報(bào)文檢查。通過(guò)網(wǎng)絡(luò)中的畸形報(bào)文做格式檢查，對(duì)違反RFC等協(xié)議標(biāo)準(zhǔn)的DNS、HTTP等報(bào)文直接丟棄，利用DDoS防范功能應(yīng)對(duì)LAND、Fraggle等常見(jiàn)傳輸層畸形包攻擊。3)特征過(guò)濾。大部分DDoS攻擊特征較為固定，通過(guò)對(duì)源IP、協(xié)議、端口、負(fù)載、應(yīng)用協(xié)議特定字段等信息的匹配和過(guò)濾，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的控制[4]。4)虛假源識(shí)別及屏蔽。通過(guò)源認(rèn)證算法將虛假主機(jī)和正常訪問(wèn)客戶區(qū)分開(kāi)，進(jìn)行虛假源IP攻擊的屏蔽。5)會(huì)話分析。監(jiān)控網(wǎng)絡(luò)流量的實(shí)時(shí)信息并記錄在清洗系統(tǒng)的會(huì)話中，通過(guò)會(huì)話檢測(cè)可以防范TCP類異常會(huì)話攻擊如慢速攻擊、重傳攻擊、慢啟動(dòng)攻擊，也可以防范DNS緩存投毒攻擊、DNS反射攻擊。6)流量分析及帶寬控制。通過(guò)網(wǎng)絡(luò)中的IP流量和應(yīng)用層流量分析，對(duì)于大于特定值的流量實(shí)施基于源IP、目的IP、報(bào)文類型、特定字段的限速，以實(shí)現(xiàn)網(wǎng)絡(luò)流量的可控。

2.2.3 系統(tǒng)組成及部署

DDoS攻擊防御系統(tǒng)包括異常流量分析設(shè)備、異常流量清洗設(shè)備及業(yè)務(wù)管理平臺(tái)三部分。異常流量分析設(shè)備通過(guò)鏡像或者分光、Netflow數(shù)據(jù)流的方式進(jìn)行流量復(fù)制，并實(shí)時(shí)進(jìn)行分析。異常流量清洗設(shè)備通過(guò)路由技術(shù)(如BGP、OSFP等)對(duì)攻擊流量進(jìn)行牽引、識(shí)別和清洗，然后通過(guò)如策略路由、GRE等路由技術(shù)將清洗后的流量回注到網(wǎng)絡(luò)。業(yè)務(wù)管理平臺(tái)實(shí)現(xiàn)設(shè)備的集中管理、告警，并下發(fā)防御策略。DDoS攻擊防御系統(tǒng)流量清洗過(guò)程如圖3所示。在系統(tǒng)部署方式上，異常流量分析系統(tǒng)只需要與出口路由器IP可達(dá)即可。流量清洗系統(tǒng)可以采用旁路部署方式，與出口路由器直連，以便于對(duì)DDoS異常流量進(jìn)行牽引和回注。

圖3 DDoS攻擊防御系流量清洗示意圖

2.3 流量控制系統(tǒng)建設(shè)方案

隨著寬帶接入的高速發(fā)展，運(yùn)營(yíng)商之間流量增長(zhǎng)迅速，同時(shí)各種互聯(lián)網(wǎng)業(yè)務(wù)充斥其中。為了加強(qiáng)對(duì)骨干直聯(lián)點(diǎn)的運(yùn)行分析，確保網(wǎng)絡(luò)的服務(wù)質(zhì)量，需要部署網(wǎng)間流量監(jiān)控系統(tǒng)。

2.3.1 流量控制系統(tǒng)主要功能

1) 流量識(shí)別及控制。流量識(shí)別主要包括五元組、特征監(jiān)測(cè)、關(guān)聯(lián)識(shí)別、行為特征監(jiān)測(cè)等方式，識(shí)別的業(yè)務(wù)類型包括HTTP、FTP、Email、P2P、VoIP、流媒體、即時(shí)通信、游戲等。同時(shí)實(shí)現(xiàn)對(duì)加密處理的P2P協(xié)議流量的識(shí)別，支持VPN、MPLS中P2P流量的識(shí)別。

系統(tǒng)在流量識(shí)別的基礎(chǔ)上對(duì)流量進(jìn)行控制，根據(jù)應(yīng)用類型設(shè)置不同的流控參數(shù)，對(duì)P2P業(yè)務(wù)根據(jù)流控參數(shù)進(jìn)行絕對(duì)和相對(duì)的帶寬控制。通過(guò)黑白名單方式或用戶群組方式實(shí)現(xiàn)流量的控制，支持對(duì)不同的鏈路、流量上下行方向、IP地址、地址段及地址段組合(含源地址、目的地址)、時(shí)間、應(yīng)用類型等條件組合實(shí)施不同策略的控制。

2) VoIP監(jiān)測(cè)及控制功能。①VoIP監(jiān)測(cè)。監(jiān)測(cè)系統(tǒng)支持對(duì)非加密封裝格式的VoIP偵測(cè)，同時(shí)可以對(duì)Ethernet、VLAN、PPPoE、PPPoE over VLAN、PPP、GRE、L2TP、MPLS多層標(biāo)簽封裝進(jìn)行解碼。識(shí)別國(guó)內(nèi)流行的VoIP協(xié)議，支持QQ、MSN、Yahoo 、Skype等主流即時(shí)通信軟件的語(yǔ)音通話監(jiān)控。針對(duì)VoIP呼叫，可以通過(guò)信令、RTP、流量和特征指紋等多種技術(shù)手段綜合判斷，能夠有效應(yīng)對(duì)各類修改標(biāo)準(zhǔn)端口號(hào)的逃避手段；支持Radius用戶帳號(hào)識(shí)別，支持VoIP呼叫信令和RTP記錄與用戶帳號(hào)的關(guān)聯(lián)分析。②VoIP語(yǔ)音劣化。流量監(jiān)控系統(tǒng)能夠?qū)oIP通話施加語(yǔ)音質(zhì)量干擾，支持信令阻斷、音頻流的質(zhì)量劣化(丟棄、替換和時(shí)延)等方式，對(duì)特定的語(yǔ)音通信進(jìn)行封堵和質(zhì)量劣化。

系統(tǒng)通過(guò)VoIP或協(xié)議類型、服務(wù)器地址、黑白名單等信息對(duì)合法或非法VoIP業(yè)務(wù)進(jìn)行定義和區(qū)分。支持對(duì)RTP語(yǔ)音業(yè)務(wù)和Skype語(yǔ)音業(yè)務(wù)實(shí)施質(zhì)量劣化。系統(tǒng)可以通過(guò)非入侵式控制方式、按比例丟棄報(bào)文、按比例替換凈荷、隨機(jī)延遲和抖動(dòng)等多種干擾方式干擾語(yǔ)音流。

3) 非法共享監(jiān)測(cè)功能。通過(guò)對(duì)用戶報(bào)文的分析，實(shí)現(xiàn)對(duì)動(dòng)態(tài)撥號(hào)用戶和靜態(tài)IP地址用戶共享接入的監(jiān)測(cè)和封堵，能夠?qū)崿F(xiàn)主動(dòng)監(jiān)測(cè)和被動(dòng)監(jiān)測(cè)。主動(dòng)監(jiān)測(cè)通過(guò)使用動(dòng)態(tài)標(biāo)簽技術(shù)，對(duì)用戶主機(jī)進(jìn)行標(biāo)識(shí)，不影響用戶上網(wǎng)感受，監(jiān)測(cè)準(zhǔn)確性較高；被動(dòng)監(jiān)測(cè)方式通過(guò)對(duì)用戶報(bào)文3層到7層進(jìn)行深入分析，綜合監(jiān)測(cè)和分析用戶上網(wǎng)流量特征，識(shí)別用戶下掛主機(jī)數(shù)目，并結(jié)合帳號(hào)數(shù)進(jìn)行分析。

對(duì)于可疑共享用戶，能夠?qū)崿F(xiàn)多層次的管控：可將可疑用戶加入黑名單中，并針對(duì)用戶單個(gè)或者批量配置管控策略，可提供單純推送警告頁(yè)面、按比例隨機(jī)干擾上網(wǎng)連接、全面封堵上網(wǎng)連接；支持白名單功能，對(duì)白名單用戶不進(jìn)行管控。

4) 異常流量監(jiān)測(cè)。異常流量監(jiān)測(cè)包括垃圾郵件監(jiān)測(cè)、DDoS攻擊監(jiān)測(cè)、Botnet監(jiān)測(cè)和Worm監(jiān)測(cè)等功能。

①2014年國(guó)內(nèi)郵件用戶的郵件中垃圾郵件占比為38.2%，垃圾郵件發(fā)送者大都利用垃圾郵件木馬或僵尸網(wǎng)絡(luò)感染普通用戶PC，并向外大量發(fā)送垃圾郵件。監(jiān)測(cè)系統(tǒng)能夠?qū)]件進(jìn)行監(jiān)測(cè)和監(jiān)控取證。

②當(dāng)前全球DDoS攻擊增長(zhǎng)迅速，2014年攻擊總數(shù)同比增長(zhǎng)22%，平均攻擊帶寬同比增長(zhǎng)72%。監(jiān)測(cè)系統(tǒng)通過(guò)對(duì)DDoS攻擊的監(jiān)測(cè)，并結(jié)合流量清洗設(shè)備，對(duì)攻擊流量進(jìn)行清洗。

③2014年通過(guò)僵尸網(wǎng)絡(luò)所產(chǎn)生的網(wǎng)絡(luò)流量占所有互聯(lián)網(wǎng)流量的56%，黑客通過(guò)僵尸網(wǎng)絡(luò)可以發(fā)動(dòng)DDoS攻擊、竊取用戶機(jī)密信息、散播惡意軟件等危害網(wǎng)絡(luò)安全的操作。監(jiān)測(cè)系統(tǒng)采用基于網(wǎng)絡(luò)特征的監(jiān)測(cè)方法，對(duì)僵尸程序進(jìn)行監(jiān)測(cè)。

④2014年病毒總體數(shù)量同比增長(zhǎng)85.67%，其中主要以木馬和蠕蟲(chóng)病毒為主。蠕蟲(chóng)病毒根據(jù)傳播途徑可以分為利用系統(tǒng)漏洞的蠕蟲(chóng)、郵件蠕蟲(chóng)和即時(shí)通信蠕蟲(chóng)。蠕蟲(chóng)病毒在爆發(fā)時(shí)占用大量網(wǎng)絡(luò)資源，甚至可能還夾雜著具有其他特定目的的病毒，給網(wǎng)絡(luò)用戶和運(yùn)營(yíng)商帶來(lái)極大危害。監(jiān)測(cè)系統(tǒng)需要根據(jù)蠕蟲(chóng)病毒的特性，進(jìn)行有效監(jiān)測(cè)。

⑤URL過(guò)濾功能。惡意URL是指內(nèi)嵌了惡意代碼的網(wǎng)頁(yè)。惡意代碼通過(guò)網(wǎng)頁(yè)瀏覽、下載、電子郵件、局域網(wǎng)、移動(dòng)存儲(chǔ)介質(zhì)、即時(shí)通訊工具等途徑進(jìn)行傳播，導(dǎo)致主機(jī)環(huán)境的數(shù)據(jù)被篡改，破壞數(shù)據(jù)的安全性和完整性。

監(jiān)測(cè)系統(tǒng)通過(guò)阻斷、推送告警頁(yè)面等方式對(duì)URL進(jìn)行控制，支持鏈路的URL策略和基于用戶組的URL策略，并且支持分時(shí)URL策略。URL預(yù)分類庫(kù)(支持按照大類、小類等進(jìn)行URL庫(kù)預(yù)定義)可以根據(jù)需要通過(guò)第三方接口進(jìn)行在線升級(jí)。

2.3.2 流量識(shí)別技術(shù)

目前監(jiān)測(cè)系統(tǒng)主要基于DPI和DFI等技術(shù)實(shí)現(xiàn)對(duì)流量的識(shí)別，大多情況下，流量的識(shí)別需要端口號(hào)監(jiān)測(cè)、特征監(jiān)測(cè)、關(guān)聯(lián)識(shí)別、行為特征識(shí)別等方式的綜合應(yīng)用[5]。

1) 端口號(hào)監(jiān)測(cè)技術(shù)。端口監(jiān)測(cè)根據(jù)TCP/UDP的端口來(lái)識(shí)別應(yīng)用，監(jiān)測(cè)效率高。很多傳統(tǒng)網(wǎng)絡(luò)應(yīng)用協(xié)議使用固定的知名端口進(jìn)行通信，對(duì)于這一部分的網(wǎng)絡(luò)應(yīng)用流量，可以采用端口監(jiān)測(cè)技術(shù)進(jìn)行識(shí)別。

2) 特征監(jiān)測(cè)技術(shù)。應(yīng)用層特征識(shí)別包括已知協(xié)議和未公開(kāi)協(xié)議的識(shí)別。已知協(xié)議如FTP、HTTP、DNS、SMTP等，通過(guò)分析應(yīng)用層內(nèi)的消息和命令字以及狀態(tài)遷移機(jī)制，就可以準(zhǔn)確地識(shí)別這些協(xié)議。對(duì)于未公開(kāi)協(xié)議的識(shí)別，如多數(shù)的P2P協(xié)議、IM、VoIP協(xié)議，需要通過(guò)報(bào)文流的特征字段進(jìn)行識(shí)別，這類方法工作量大，而且協(xié)議變化快，需要投入人力進(jìn)行技術(shù)跟蹤才能保證監(jiān)測(cè)效果。

3) 關(guān)聯(lián)識(shí)別。多媒體通信和語(yǔ)音通信中，實(shí)際的語(yǔ)音和媒體通道是動(dòng)態(tài)產(chǎn)生的。通道的源、目的端口號(hào)，以及源、目的IP地址不同于初始連接時(shí)的知名端口號(hào)，這些IP地址、端口號(hào)承載于協(xié)商的報(bào)文內(nèi)容中。因此需要解析這類協(xié)議的協(xié)商報(bào)文，提取動(dòng)態(tài)協(xié)商通道的源、目的IP地址及端口號(hào)，然后統(tǒng)計(jì)該通道上相應(yīng)的網(wǎng)絡(luò)流量，并將這樣的流量標(biāo)記為相應(yīng)的類型，如VoIP、Media、FTP、MSN點(diǎn)對(duì)點(diǎn)文件共享等，即進(jìn)行多個(gè)通道協(xié)同的關(guān)聯(lián)監(jiān)測(cè)。

4) 行為特征監(jiān)測(cè)。行為特征監(jiān)測(cè)通過(guò)分析各種應(yīng)用的連接數(shù)、單IP的連接模式、上下行流量的比例、數(shù)據(jù)包發(fā)送頻率等指標(biāo)來(lái)區(qū)分應(yīng)用類型。如網(wǎng)絡(luò)電話應(yīng)用通常語(yǔ)音數(shù)據(jù)報(bào)文長(zhǎng)度較為穩(wěn)定，發(fā)送頻率較為恒定，P2P網(wǎng)絡(luò)應(yīng)用單IP的連接數(shù)多、每個(gè)連接的端口號(hào)都不同、文件共享數(shù)據(jù)包包長(zhǎng)大而穩(wěn)定等，都是進(jìn)行應(yīng)用特征監(jiān)測(cè)的特征指標(biāo)。

2.3.3 系統(tǒng)部署方式

監(jiān)控系統(tǒng)在部署上可以分為旁路部署和直路部署兩種部署方式，具體如表1所示。

表1 流量監(jiān)控系統(tǒng)部署模式比較

通過(guò)比較分析和技術(shù)測(cè)試，建議骨干網(wǎng)直聯(lián)點(diǎn)應(yīng)主要采用直路部署的方式。另外，分光采集點(diǎn)部署在互聯(lián)鏈路的“最外側(cè)”[6]，即從分光采集點(diǎn)往對(duì)端互聯(lián)單位的鏈路上不應(yīng)再串接其他設(shè)備，保證數(shù)據(jù)采集的有效性。

3 骨干互聯(lián)網(wǎng)直聯(lián)點(diǎn)安全系統(tǒng)建設(shè)情況

骨干互聯(lián)網(wǎng)直聯(lián)點(diǎn)的建設(shè)得到各地政府和通信管理局的大力支持，各地政府多數(shù)成立專項(xiàng)基金進(jìn)行扶持，建設(shè)規(guī)模遠(yuǎn)大于工信部原有規(guī)劃。截至2014年12月，所有直聯(lián)點(diǎn)均已完成直聯(lián)帶寬的開(kāi)通和監(jiān)測(cè)系統(tǒng)的部署。

4 總結(jié)

互聯(lián)網(wǎng)骨干直聯(lián)點(diǎn)的建設(shè)是我國(guó)互聯(lián)網(wǎng)架構(gòu)的一項(xiàng)重大調(diào)整。對(duì)推動(dòng)我國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)均衡發(fā)展、帶動(dòng)區(qū)域經(jīng)濟(jì)發(fā)展、服務(wù)國(guó)家寬帶戰(zhàn)略有重要意義。在網(wǎng)絡(luò)建設(shè)的同時(shí)，應(yīng)大力建設(shè)網(wǎng)間安全和監(jiān)控系統(tǒng)，并對(duì)網(wǎng)絡(luò)安全事件具備監(jiān)測(cè)、溯源和責(zé)任判定能力。

本文對(duì)互聯(lián)網(wǎng)骨干直聯(lián)點(diǎn)的安全系統(tǒng)建設(shè)進(jìn)行探討，對(duì)各系統(tǒng)建設(shè)方案進(jìn)行了分析和研究，研究成果應(yīng)用于重慶、鄭州、成都等直聯(lián)點(diǎn)，取得了良好的效果。

參考文獻(xiàn)

[1]中華人民共和國(guó)工業(yè)和信息化部.工業(yè)和信息化部關(guān)于設(shè)立新增國(guó)家級(jí)互聯(lián)網(wǎng)骨干直聯(lián)點(diǎn)的指導(dǎo)意見(jiàn)[EB/OL].[2015-01-15].http://www.miit.gov.cn/n11293472/n11293832/n12843926/n13917072/15841214.html

[2]蘭巨龍.信息網(wǎng)絡(luò)安全與防護(hù)技術(shù)[M].北京:人民郵電出版社,2014

[3]孫知信.網(wǎng)絡(luò)異常流量識(shí)別與監(jiān)控技術(shù)研究[M].北京:清華大學(xué)出版社,2010

[4]鮑旭華,洪海,曹志華.破壞之王DDoS攻擊與防范深度剖析[M].北京:機(jī)械工業(yè)出版社,2014

[5]孫知信.P2P流量識(shí)別方法研究[M].北京:清華大學(xué)出版社,2014

[6]中華人民共和國(guó)工業(yè)和信息化部.互聯(lián)網(wǎng)骨干直聯(lián)點(diǎn)監(jiān)測(cè)系統(tǒng)技術(shù)要求[S].2014