吳一波 湯林超

中訊郵電咨詢設(shè)計院 鄭州 450007

1 骨干互聯(lián)網(wǎng)直聯(lián)點網(wǎng)絡(luò)安全背景分析

1.1 骨干互聯(lián)網(wǎng)直聯(lián)點引入背景

近年來，我國互聯(lián)網(wǎng)高速發(fā)展，與國民經(jīng)濟發(fā)展和人民生產(chǎn)生活的關(guān)系日益密切。同時互聯(lián)網(wǎng)新業(yè)務(wù)的不斷涌現(xiàn)使得用戶對互聯(lián)網(wǎng)網(wǎng)絡(luò)質(zhì)量的要求也越來越高。然而長期以來，我國的互聯(lián)網(wǎng)網(wǎng)間互聯(lián)一直保持著以北京、上海和廣州3個骨干直聯(lián)點為主，北上廣3大交換中心為輔的格局，存在較大的安全隱患；同時受網(wǎng)間互聯(lián)架構(gòu)和帶寬的影響，互通質(zhì)量問題也比較突出。針對日益嚴峻的互聯(lián)互通問題，工信部多次研討解決辦法，制定了 “西增東擴、多層次、立體化”網(wǎng)間互聯(lián)架構(gòu)優(yōu)化調(diào)整總體方案和新增骨干直聯(lián)點實施方案，以及相應(yīng)的管理辦法，并于2013年組織完成了新增國家級骨干直聯(lián)點的申報評審工作，包括成都、武漢、西安、沈陽、南京、重慶、鄭州在內(nèi)的7個城市獲批成為新的國家級骨干直聯(lián)點[1]。

新增骨干直聯(lián)點采用創(chuàng)新建設(shè)發(fā)展模式，充分發(fā)揮地方政府的積極作用，在重點完善網(wǎng)間互聯(lián)架構(gòu)、提升網(wǎng)間互通質(zhì)量的同時，還定位于推動互聯(lián)網(wǎng)產(chǎn)業(yè)的均衡發(fā)展，帶動區(qū)域經(jīng)濟發(fā)展，從而更好地服務(wù)于國家寬帶戰(zhàn)略。

1.2 骨干直聯(lián)點安全需求

國家互聯(lián)網(wǎng)骨干直聯(lián)點的增多，對網(wǎng)間信息安全提出了更高的要求，主要體現(xiàn)在以下3點。

1) 對網(wǎng)間監(jiān)管提出更高的要求。從國家利益出發(fā)，工信部應(yīng)對骨干網(wǎng)直聯(lián)點進行安全監(jiān)管，在發(fā)生安全事件時可以進行事件的定位、溯源和責任判定。

2) 隨著互聯(lián)節(jié)點增多，需配套建設(shè)DDoS攻擊防御系統(tǒng)。直聯(lián)點建設(shè)為DDoS攻擊提供了更多的通路，需要在各新建節(jié)點配套建設(shè)DDoS的防御系統(tǒng)，防止DDoS攻擊導(dǎo)致電信運營商業(yè)務(wù)中斷，網(wǎng)間訪問質(zhì)量下降。

3) 需進一步對網(wǎng)間流量進行分析和監(jiān)控，降低P2P、VoIP等流量占用大量資源。P2P流量占用大量網(wǎng)絡(luò)資源，但對運營商業(yè)務(wù)并不產(chǎn)生收益，需要對P2P流量進行抑制，使帶寬優(yōu)先保證瀏覽類流量的轉(zhuǎn)發(fā)。另外大量VoIP業(yè)務(wù)存在監(jiān)管不嚴，對運營商業(yè)務(wù)也有一定的影響，骨干網(wǎng)直聯(lián)點應(yīng)具備抑制這類業(yè)務(wù)的技術(shù)手段。

2 互聯(lián)網(wǎng)骨干直聯(lián)點安全系統(tǒng)建設(shè)方案

針對前述需求，互聯(lián)網(wǎng)骨干直聯(lián)點需重點建設(shè)網(wǎng)間監(jiān)測分析系統(tǒng)、攻擊防護和流量監(jiān)控系統(tǒng)等，下面逐一介紹各系統(tǒng)的建設(shè)方案。

2.1 網(wǎng)絡(luò)安全事件責任判定系統(tǒng)建設(shè)方案

2.1.1 網(wǎng)絡(luò)安全事件責任系統(tǒng)功能

網(wǎng)絡(luò)安全事件責任判定系統(tǒng)應(yīng)建設(shè)監(jiān)控分析中心、主動監(jiān)測采集系統(tǒng)、被動監(jiān)測采集系統(tǒng)和企業(yè)數(shù)據(jù)采集系統(tǒng)，各系統(tǒng)建設(shè)目標如下。

1) 監(jiān)控分析中心。監(jiān)控分析中心主要實現(xiàn)對用戶信息、角色、權(quán)限、系統(tǒng)參數(shù)、基礎(chǔ)數(shù)據(jù)、互聯(lián)拓撲、監(jiān)測節(jié)點和設(shè)備信息、監(jiān)測目標、監(jiān)測任務(wù)、監(jiān)測數(shù)據(jù)、管理日志等進行配置、綜合查詢、統(tǒng)計分析、圖表展示、報表導(dǎo)出和實時呈現(xiàn)等功能。

2) 主動監(jiān)測采集系統(tǒng)。主動監(jiān)測采集設(shè)備部署在互聯(lián)單位互聯(lián)互通機房，實現(xiàn)網(wǎng)間互聯(lián)鏈路性能監(jiān)測、跨網(wǎng)端對端質(zhì)量監(jiān)測、不規(guī)范路由監(jiān)測；與被動監(jiān)測子系統(tǒng)相配合，實現(xiàn)通信障礙責任判定，提升省內(nèi)寬帶互聯(lián)網(wǎng)整體運行水平。

實現(xiàn)寬帶接入速率、寬帶用戶上網(wǎng)體驗、互聯(lián)網(wǎng)性能、互聯(lián)網(wǎng)架構(gòu)和互聯(lián)網(wǎng)資源等監(jiān)測，通過監(jiān)測分析寬帶接入速率、用戶上網(wǎng)首屏體驗、文件/視頻下載體驗、互聯(lián)網(wǎng)網(wǎng)絡(luò)資源等數(shù)據(jù)，為提升省內(nèi)寬帶性能提供依據(jù)。

3) 被動監(jiān)測采集系統(tǒng)。被動監(jiān)測采集系統(tǒng)部署在各互聯(lián)單位的互聯(lián)互通機房，具備對互聯(lián)單位互聯(lián)帶寬流量進行分光采集分析的能力。實現(xiàn)流量流向、訪問質(zhì)量和業(yè)務(wù)種類等監(jiān)測；與主動監(jiān)測子系統(tǒng)相配合，實現(xiàn)通信障礙責任判定。

4) 企業(yè)數(shù)據(jù)采集系統(tǒng)。企業(yè)數(shù)據(jù)采集系統(tǒng)部署在省通信管理局，復(fù)用監(jiān)控分析中心的Web服務(wù)器，實現(xiàn)與互聯(lián)單位網(wǎng)管系統(tǒng)對接，獲取互聯(lián)單位的互聯(lián)鏈路性能指標數(shù)據(jù)、網(wǎng)間BGP路由數(shù)據(jù)，以及互聯(lián)邊界路由器硬件配置信息、設(shè)備性能指標和運行告警事件等數(shù)據(jù)，并進行存儲處理和統(tǒng)計分析。

2.1.2 網(wǎng)絡(luò)安全事件責任系統(tǒng)結(jié)構(gòu)

以某省為例，網(wǎng)絡(luò)安全事件責任判定系統(tǒng)的采集設(shè)備部署在互聯(lián)單位互聯(lián)互通機房，互聯(lián)互通路由器和城域網(wǎng)路由器為監(jiān)測設(shè)備提供GE接口，通過部署主動監(jiān)測和被動監(jiān)測設(shè)備，實時監(jiān)測網(wǎng)間流量，被動采集的數(shù)據(jù)應(yīng)通過傳輸網(wǎng)絡(luò)傳送到通信管理局進行監(jiān)控結(jié)果的進一步分析。各互聯(lián)單位監(jiān)測采集系統(tǒng)架構(gòu)如圖1所示。

圖1 監(jiān)測系統(tǒng)架構(gòu)示意圖(部署在各互聯(lián)單位機房)

通信管理局應(yīng)建設(shè)網(wǎng)絡(luò)監(jiān)測中心，監(jiān)控分析中心局域網(wǎng)選用擴展性強的多層交換機作為核心交換機，采用雙星型以太網(wǎng)結(jié)構(gòu)連接，出口路由器通過1 000M專線方式口子型接入寬帶互聯(lián)網(wǎng)，數(shù)據(jù)庫服務(wù)器與存儲設(shè)備采用SAN網(wǎng)絡(luò)結(jié)構(gòu)連接。被動監(jiān)測節(jié)點通過多條1000M專線接入監(jiān)控分析中心，主動監(jiān)測節(jié)點與監(jiān)控分析中心通過互聯(lián)網(wǎng)實現(xiàn)互通。工信部通信管理局監(jiān)測系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。

圖2 監(jiān)測系統(tǒng)網(wǎng)絡(luò)架構(gòu)示意圖(部署在通信管理局機房)

2.2 網(wǎng)絡(luò)攻擊防護建設(shè)方案

互聯(lián)網(wǎng)骨干直聯(lián)點中影響最大也最為普遍的網(wǎng)絡(luò)攻擊行為是DDoS攻擊[2]，在直聯(lián)點建設(shè)中應(yīng)重點建設(shè)DDoS攻擊防御系統(tǒng)。

2.2.1 DDoS攻擊類型

DDoS攻擊是指使用客戶/服務(wù)器技術(shù)，組織多個計算機系統(tǒng)形成攻擊平臺，對特定目標發(fā)動DoS攻擊。其來勢迅猛，令人難以防備，破壞性較大，主要攻擊類型如下[3]。

1) 帶寬型攻擊。通過發(fā)送海量貌似合法的數(shù)據(jù)包，并使用源地址欺騙技術(shù)，大量占用網(wǎng)絡(luò)帶寬或設(shè)備處理能力，干擾甚至阻斷正常的網(wǎng)絡(luò)通信，導(dǎo)致目標系統(tǒng)無法提供正常服務(wù)。

2) 應(yīng)用型攻擊。利用TCP和HTTP等協(xié)議的某些特征，持續(xù)占用設(shè)備資源，造成服務(wù)拒絕，如HTTP Half Open攻擊和HTTP Error攻擊。

2.2.2 主要防范技術(shù)

DDoS攻擊的防范需要多種技術(shù)多層面地綜合運用，主要防范技術(shù)如下。

1)行為分析及流量建模。僵尸網(wǎng)絡(luò)的攻擊頻率和訪問資源相對穩(wěn)定，并且DDoS攻擊往往會造成網(wǎng)絡(luò)流量突增，偏離正常流量趨勢。可通過用戶行為分析建立網(wǎng)絡(luò)流量模型，作為后續(xù)攻擊判斷和處理的參考基線。2)畸形報文檢查。通過網(wǎng)絡(luò)中的畸形報文做格式檢查，對違反RFC等協(xié)議標準的DNS、HTTP等報文直接丟棄，利用DDoS防范功能應(yīng)對LAND、Fraggle等常見傳輸層畸形包攻擊。3)特征過濾。大部分DDoS攻擊特征較為固定，通過對源IP、協(xié)議、端口、負載、應(yīng)用協(xié)議特定字段等信息的匹配和過濾，實現(xiàn)對網(wǎng)絡(luò)流量的控制[4]。4)虛假源識別及屏蔽。通過源認證算法將虛假主機和正常訪問客戶區(qū)分開，進行虛假源IP攻擊的屏蔽。5)會話分析。監(jiān)控網(wǎng)絡(luò)流量的實時信息并記錄在清洗系統(tǒng)的會話中，通過會話檢測可以防范TCP類異常會話攻擊如慢速攻擊、重傳攻擊、慢啟動攻擊，也可以防范DNS緩存投毒攻擊、DNS反射攻擊。6)流量分析及帶寬控制。通過網(wǎng)絡(luò)中的IP流量和應(yīng)用層流量分析，對于大于特定值的流量實施基于源IP、目的IP、報文類型、特定字段的限速，以實現(xiàn)網(wǎng)絡(luò)流量的可控。

2.2.3 系統(tǒng)組成及部署

DDoS攻擊防御系統(tǒng)包括異常流量分析設(shè)備、異常流量清洗設(shè)備及業(yè)務(wù)管理平臺三部分。異常流量分析設(shè)備通過鏡像或者分光、Netflow數(shù)據(jù)流的方式進行流量復(fù)制，并實時進行分析。異常流量清洗設(shè)備通過路由技術(shù)(如BGP、OSFP等)對攻擊流量進行牽引、識別和清洗，然后通過如策略路由、GRE等路由技術(shù)將清洗后的流量回注到網(wǎng)絡(luò)。業(yè)務(wù)管理平臺實現(xiàn)設(shè)備的集中管理、告警，并下發(fā)防御策略。DDoS攻擊防御系統(tǒng)流量清洗過程如圖3所示。在系統(tǒng)部署方式上，異常流量分析系統(tǒng)只需要與出口路由器IP可達即可。流量清洗系統(tǒng)可以采用旁路部署方式，與出口路由器直連，以便于對DDoS異常流量進行牽引和回注。

圖3 DDoS攻擊防御系流量清洗示意圖

2.3 流量控制系統(tǒng)建設(shè)方案

隨著寬帶接入的高速發(fā)展，運營商之間流量增長迅速，同時各種互聯(lián)網(wǎng)業(yè)務(wù)充斥其中。為了加強對骨干直聯(lián)點的運行分析，確保網(wǎng)絡(luò)的服務(wù)質(zhì)量，需要部署網(wǎng)間流量監(jiān)控系統(tǒng)。

2.3.1 流量控制系統(tǒng)主要功能

1) 流量識別及控制。流量識別主要包括五元組、特征監(jiān)測、關(guān)聯(lián)識別、行為特征監(jiān)測等方式，識別的業(yè)務(wù)類型包括HTTP、FTP、Email、P2P、VoIP、流媒體、即時通信、游戲等。同時實現(xiàn)對加密處理的P2P協(xié)議流量的識別，支持VPN、MPLS中P2P流量的識別。

系統(tǒng)在流量識別的基礎(chǔ)上對流量進行控制，根據(jù)應(yīng)用類型設(shè)置不同的流控參數(shù)，對P2P業(yè)務(wù)根據(jù)流控參數(shù)進行絕對和相對的帶寬控制。通過黑白名單方式或用戶群組方式實現(xiàn)流量的控制，支持對不同的鏈路、流量上下行方向、IP地址、地址段及地址段組合(含源地址、目的地址)、時間、應(yīng)用類型等條件組合實施不同策略的控制。

2) VoIP監(jiān)測及控制功能。①VoIP監(jiān)測。監(jiān)測系統(tǒng)支持對非加密封裝格式的VoIP偵測，同時可以對Ethernet、VLAN、PPPoE、PPPoE over VLAN、PPP、GRE、L2TP、MPLS多層標簽封裝進行解碼。識別國內(nèi)流行的VoIP協(xié)議，支持QQ、MSN、Yahoo 、Skype等主流即時通信軟件的語音通話監(jiān)控。針對VoIP呼叫，可以通過信令、RTP、流量和特征指紋等多種技術(shù)手段綜合判斷，能夠有效應(yīng)對各類修改標準端口號的逃避手段；支持Radius用戶帳號識別，支持VoIP呼叫信令和RTP記錄與用戶帳號的關(guān)聯(lián)分析。②VoIP語音劣化。流量監(jiān)控系統(tǒng)能夠?qū)oIP通話施加語音質(zhì)量干擾，支持信令阻斷、音頻流的質(zhì)量劣化(丟棄、替換和時延)等方式，對特定的語音通信進行封堵和質(zhì)量劣化。

系統(tǒng)通過VoIP或協(xié)議類型、服務(wù)器地址、黑白名單等信息對合法或非法VoIP業(yè)務(wù)進行定義和區(qū)分。支持對RTP語音業(yè)務(wù)和Skype語音業(yè)務(wù)實施質(zhì)量劣化。系統(tǒng)可以通過非入侵式控制方式、按比例丟棄報文、按比例替換凈荷、隨機延遲和抖動等多種干擾方式干擾語音流。

3) 非法共享監(jiān)測功能。通過對用戶報文的分析，實現(xiàn)對動態(tài)撥號用戶和靜態(tài)IP地址用戶共享接入的監(jiān)測和封堵，能夠?qū)崿F(xiàn)主動監(jiān)測和被動監(jiān)測。主動監(jiān)測通過使用動態(tài)標簽技術(shù)，對用戶主機進行標識，不影響用戶上網(wǎng)感受，監(jiān)測準確性較高；被動監(jiān)測方式通過對用戶報文3層到7層進行深入分析，綜合監(jiān)測和分析用戶上網(wǎng)流量特征，識別用戶下掛主機數(shù)目，并結(jié)合帳號數(shù)進行分析。

對于可疑共享用戶，能夠?qū)崿F(xiàn)多層次的管控：可將可疑用戶加入黑名單中，并針對用戶單個或者批量配置管控策略，可提供單純推送警告頁面、按比例隨機干擾上網(wǎng)連接、全面封堵上網(wǎng)連接；支持白名單功能，對白名單用戶不進行管控。

4) 異常流量監(jiān)測。異常流量監(jiān)測包括垃圾郵件監(jiān)測、DDoS攻擊監(jiān)測、Botnet監(jiān)測和Worm監(jiān)測等功能。

①2014年國內(nèi)郵件用戶的郵件中垃圾郵件占比為38.2%，垃圾郵件發(fā)送者大都利用垃圾郵件木馬或僵尸網(wǎng)絡(luò)感染普通用戶PC，并向外大量發(fā)送垃圾郵件。監(jiān)測系統(tǒng)能夠?qū)]件進行監(jiān)測和監(jiān)控取證。

②當前全球DDoS攻擊增長迅速，2014年攻擊總數(shù)同比增長22%，平均攻擊帶寬同比增長72%。監(jiān)測系統(tǒng)通過對DDoS攻擊的監(jiān)測，并結(jié)合流量清洗設(shè)備，對攻擊流量進行清洗。

③2014年通過僵尸網(wǎng)絡(luò)所產(chǎn)生的網(wǎng)絡(luò)流量占所有互聯(lián)網(wǎng)流量的56%，黑客通過僵尸網(wǎng)絡(luò)可以發(fā)動DDoS攻擊、竊取用戶機密信息、散播惡意軟件等危害網(wǎng)絡(luò)安全的操作。監(jiān)測系統(tǒng)采用基于網(wǎng)絡(luò)特征的監(jiān)測方法，對僵尸程序進行監(jiān)測。

④2014年病毒總體數(shù)量同比增長85.67%，其中主要以木馬和蠕蟲病毒為主。蠕蟲病毒根據(jù)傳播途徑可以分為利用系統(tǒng)漏洞的蠕蟲、郵件蠕蟲和即時通信蠕蟲。蠕蟲病毒在爆發(fā)時占用大量網(wǎng)絡(luò)資源，甚至可能還夾雜著具有其他特定目的的病毒，給網(wǎng)絡(luò)用戶和運營商帶來極大危害。監(jiān)測系統(tǒng)需要根據(jù)蠕蟲病毒的特性，進行有效監(jiān)測。

⑤URL過濾功能。惡意URL是指內(nèi)嵌了惡意代碼的網(wǎng)頁。惡意代碼通過網(wǎng)頁瀏覽、下載、電子郵件、局域網(wǎng)、移動存儲介質(zhì)、即時通訊工具等途徑進行傳播，導(dǎo)致主機環(huán)境的數(shù)據(jù)被篡改，破壞數(shù)據(jù)的安全性和完整性。

監(jiān)測系統(tǒng)通過阻斷、推送告警頁面等方式對URL進行控制，支持鏈路的URL策略和基于用戶組的URL策略，并且支持分時URL策略。URL預(yù)分類庫(支持按照大類、小類等進行URL庫預(yù)定義)可以根據(jù)需要通過第三方接口進行在線升級。

2.3.2 流量識別技術(shù)

目前監(jiān)測系統(tǒng)主要基于DPI和DFI等技術(shù)實現(xiàn)對流量的識別，大多情況下，流量的識別需要端口號監(jiān)測、特征監(jiān)測、關(guān)聯(lián)識別、行為特征識別等方式的綜合應(yīng)用[5]。

1) 端口號監(jiān)測技術(shù)。端口監(jiān)測根據(jù)TCP/UDP的端口來識別應(yīng)用，監(jiān)測效率高。很多傳統(tǒng)網(wǎng)絡(luò)應(yīng)用協(xié)議使用固定的知名端口進行通信，對于這一部分的網(wǎng)絡(luò)應(yīng)用流量，可以采用端口監(jiān)測技術(shù)進行識別。

2) 特征監(jiān)測技術(shù)。應(yīng)用層特征識別包括已知協(xié)議和未公開協(xié)議的識別。已知協(xié)議如FTP、HTTP、DNS、SMTP等，通過分析應(yīng)用層內(nèi)的消息和命令字以及狀態(tài)遷移機制，就可以準確地識別這些協(xié)議。對于未公開協(xié)議的識別，如多數(shù)的P2P協(xié)議、IM、VoIP協(xié)議，需要通過報文流的特征字段進行識別，這類方法工作量大，而且協(xié)議變化快，需要投入人力進行技術(shù)跟蹤才能保證監(jiān)測效果。

3) 關(guān)聯(lián)識別。多媒體通信和語音通信中，實際的語音和媒體通道是動態(tài)產(chǎn)生的。通道的源、目的端口號，以及源、目的IP地址不同于初始連接時的知名端口號，這些IP地址、端口號承載于協(xié)商的報文內(nèi)容中。因此需要解析這類協(xié)議的協(xié)商報文，提取動態(tài)協(xié)商通道的源、目的IP地址及端口號，然后統(tǒng)計該通道上相應(yīng)的網(wǎng)絡(luò)流量，并將這樣的流量標記為相應(yīng)的類型，如VoIP、Media、FTP、MSN點對點文件共享等，即進行多個通道協(xié)同的關(guān)聯(lián)監(jiān)測。

4) 行為特征監(jiān)測。行為特征監(jiān)測通過分析各種應(yīng)用的連接數(shù)、單IP的連接模式、上下行流量的比例、數(shù)據(jù)包發(fā)送頻率等指標來區(qū)分應(yīng)用類型。如網(wǎng)絡(luò)電話應(yīng)用通常語音數(shù)據(jù)報文長度較為穩(wěn)定，發(fā)送頻率較為恒定，P2P網(wǎng)絡(luò)應(yīng)用單IP的連接數(shù)多、每個連接的端口號都不同、文件共享數(shù)據(jù)包包長大而穩(wěn)定等，都是進行應(yīng)用特征監(jiān)測的特征指標。

2.3.3 系統(tǒng)部署方式

監(jiān)控系統(tǒng)在部署上可以分為旁路部署和直路部署兩種部署方式，具體如表1所示。

表1 流量監(jiān)控系統(tǒng)部署模式比較

通過比較分析和技術(shù)測試，建議骨干網(wǎng)直聯(lián)點應(yīng)主要采用直路部署的方式。另外，分光采集點部署在互聯(lián)鏈路的“最外側(cè)”[6]，即從分光采集點往對端互聯(lián)單位的鏈路上不應(yīng)再串接其他設(shè)備，保證數(shù)據(jù)采集的有效性。

3 骨干互聯(lián)網(wǎng)直聯(lián)點安全系統(tǒng)建設(shè)情況

骨干互聯(lián)網(wǎng)直聯(lián)點的建設(shè)得到各地政府和通信管理局的大力支持，各地政府多數(shù)成立專項基金進行扶持，建設(shè)規(guī)模遠大于工信部原有規(guī)劃。截至2014年12月，所有直聯(lián)點均已完成直聯(lián)帶寬的開通和監(jiān)測系統(tǒng)的部署。

4 總結(jié)

互聯(lián)網(wǎng)骨干直聯(lián)點的建設(shè)是我國互聯(lián)網(wǎng)架構(gòu)的一項重大調(diào)整。對推動我國互聯(lián)網(wǎng)產(chǎn)業(yè)均衡發(fā)展、帶動區(qū)域經(jīng)濟發(fā)展、服務(wù)國家寬帶戰(zhàn)略有重要意義。在網(wǎng)絡(luò)建設(shè)的同時，應(yīng)大力建設(shè)網(wǎng)間安全和監(jiān)控系統(tǒng)，并對網(wǎng)絡(luò)安全事件具備監(jiān)測、溯源和責任判定能力。

本文對互聯(lián)網(wǎng)骨干直聯(lián)點的安全系統(tǒng)建設(shè)進行探討，對各系統(tǒng)建設(shè)方案進行了分析和研究，研究成果應(yīng)用于重慶、鄭州、成都等直聯(lián)點，取得了良好的效果。

參考文獻

[1]中華人民共和國工業(yè)和信息化部.工業(yè)和信息化部關(guān)于設(shè)立新增國家級互聯(lián)網(wǎng)骨干直聯(lián)點的指導(dǎo)意見[EB/OL].[2015-01-15].http://www.miit.gov.cn/n11293472/n11293832/n12843926/n13917072/15841214.html

[2]蘭巨龍.信息網(wǎng)絡(luò)安全與防護技術(shù)[M].北京:人民郵電出版社,2014

[3]孫知信.網(wǎng)絡(luò)異常流量識別與監(jiān)控技術(shù)研究[M].北京:清華大學(xué)出版社,2010

[4]鮑旭華,洪海,曹志華.破壞之王DDoS攻擊與防范深度剖析[M].北京:機械工業(yè)出版社,2014

[5]孫知信.P2P流量識別方法研究[M].北京:清華大學(xué)出版社,2014

[6]中華人民共和國工業(yè)和信息化部.互聯(lián)網(wǎng)骨干直聯(lián)點監(jiān)測系統(tǒng)技術(shù)要求[S].2014