摘要：運營商高度關注IP城域網的安全問題，同時迫切需要一套安全管理系統對IP城域網進行有效的管理。本文以IP城域網的流量監控與控制為出發點，對系統的組成和功能進行了探討和研究。
　　關鍵詞：安全IP城域網異常流量攻擊
　　1引言
　　進人21世紀以來，隨著中國信息產業的持續快速發展，國內電信運營商數量的不斷增加，國內電信業的競爭也越來越激烈。國內的電信運營商在不斷對其網絡進行建設和擴容以滿足網絡容量和性能需要的同時，也在不斷地對其業務管理平臺、業務支撐平臺進行建設和完善。
　　隨著IP城域網絡規模和業務的發展，網絡建設和發展的重點從“面向網絡”逐漸向“面向業務、面向用戶”的方向發展，原有的管理手段和支撐系統已經不能夠適應互聯網絡發展需要。因此，運營商迫切需要建設功能和性能更加強大的業務管理平臺和支撐平臺對IP城域網絡進行高效全面的管理與監測。
　　互聯網與傳統的交換和數據專線網絡相比有很大的特殊性，用戶數量大，業務情況復雜、對用戶的業務雖和使用情況很難統計;并且目前網絡設備功能主要為高速的交換和轉發，對流量缺乏足夠的統計、分析和控制。運營商目前只能掌握每條中繼電路的流量總量情況，但是很難了解網絡中流量成分情況和流量流向情況。同時，隨著互聯網業務的發展，網絡中的安
　　全攻擊、蠕蟲病毒、異常流量和垃圾流量也越來越多，這些流量占用了網絡的很大帶寬，并且對運營商的網絡以及用戶造成了很大的影響。
　　2研究的必要性
　　目前，沒有單獨的電信網絡安全管理系統，對網絡安全的監測主要是通過NetFlow數據采集分析、交換機設備端口鏡像數據分析、系統109信息采集等手段來實現的;對網絡安全的控制主要是通過運維人員部署訪問控制列表、設置路由吸收桶等方法來實現的。以上這些手段或是分布在幾個分散的系統里，或是需由運維人員手動配置，難以相互協調配合，形成一個完整有效的安全管理系統。
　　因此，運營商迫切需要一套網絡安全管理系統對互聯網的流量進行全面的分析并對網絡中的流量(尤其是異常流量)進行監控。通過對互聯網流量的監控，運營商可以更好地了解網絡的運行情況和用戶的使用情況，有針對性地對網絡進行建設并指導業務的發展;同時，通過對異常流量的監控，運營商可以更即時、準確地發現和定位網絡中的異常流量并對異常流量進行過濾和控制。
　　3研究的目標
　　研究IP城域網網絡安全管理系統，實現網絡和服務可用性的安全目標。
　　第一，當網絡攻擊發生時，從IP城域網的層面，對異常流量攻擊實施有效監控和定位。
　　第二，能夠及時響應，對異常流量和一些非法應用進行控制，保證IP城域網的正常運行。
　　4系統組成
　　此系統分為三部分，即異常流量監測系統、中心分析處理系統、策略執行系統異常流量監測系統可采用多種方式實現:對于出日設備，可采用NetFlow方一式采集數據，對流量流向、應用分布進行統計分析;對于匯聚設備，可采用串接設備或鏡像鏈路采集數據，精確復制每一個數據包網絡流量監測系統將采集結果交給中心分析處理系統分析處理
　　中心分析處理系統負責分析網絡流量監測系統采集的數據，結合病毒、攻擊特征庫，判斷流量是否異常;若異常，給;出告警，生成并下發策略策略執行系統接收中心分析處理系統的指令，對異常流量執行封堵、限速、導流、串擾等智能過濾操作，對異常流量的源設備給出警告或提示。
　　4.1流量采集對象
　　網絡安全管理系統的管理對象為IP城域網的路由器設備：
　　目前，城域網主要采用Cisco和華為的路由器設備路由器設備的主要端「l類型包括10GPOS/2.SGPOS/GE/155MPOS等。
　　4.2流量采集點的設置
　　流量采集點主要設置在lP城域網與骨干網及其它運營商網絡互聯點，以及城域網匯聚到一般核心連接的點。對從其它AS進入到IP城域網的流量以及城域網內部的交換流量進行數據分析，從而實現對所有出人IP城域網骨干網的流量以及城域網內部的交換流量進行分析。
　　4.3系統部署規模
　　網絡安全管理系統的性能應能夠滿足對IP城域網內的全部流量進行分析其中，采集器負責對進入該節點的流量進行采集和本地分析，分析服務器負責對各采集器的結果進行匯總和關聯分析，過濾設備負責將發現的異常流量進行智能過濾。設想IP城域網結構主要分為超級核心層、一般核心層、匯聚層以及接人層，整個網絡分為n個片區，共分為a個超級核心節點，b個一般核心節點，c個匯聚節點。
　　4.4系統部署方案
　　(l)異常流量監測系統的部署
　　異常流量監測系統分片區對整個lP城域網流量
　　進行全面監控，共分為n個主要片區(見圖1)
　　
　　在IP城域網的核心層共部署n臺異常流量監測設備，每個片區部署一臺采集器分別采集本片區的數據信息，對數據信息進行本地化處理;其中一臺采集器同時作為分析服務器，對其它n一1臺采集器所處理的數據進行匯總，并進行關聯性分析
　　在IP城域網的匯聚層共部署c臺能夠分析1一7層協議的流量監測設備，對原始數據進行拆包分析
　　(2)策略執行系統的部署
　　在IP城域網部署n臺過濾設備，每個片區部署一臺，異常流量監測系統可與本片區的智能過濾設備產生聯動，從而有效地對網絡內部的各類異常流量和非法應用進行控制和過濾。
　　5安全管理系統功能要求
　　5.1基本功能
　　具有檢測IP骨干網上病毒和攻擊的功能。收集互聯網絡所有的病毒、漏洞、攻擊特征，生成數據庫，為其他模塊提供甄別依據及處理手段。為保持數據的時效性，此數據庫應能定期更新，需與其他的防病毒、防攻擊系統有接口此外，還應為運維人員提供經驗處理定制界面，可將運維人員積累的防病毒、防攻擊經驗補充至數據庫中。
　　(l)對網絡中常見的的DoS/DDoS攻擊和濫用(TCPSYN/ICMpPing/TCPrese燈Ipfragment等)，即使在流量相對不大的情況下，系統應當具備發現、記錄和報警功能，對于DOS/DDOS攻擊的報警，具備報警門限設置功能。
　　(2)對于網絡中的其它異常流量，系統本身具備基于IP地址、端口、應用或者其它流量特征的定義。
　　(3)系統能夠分析當前網絡異常流量，進行原因分析、判斷異常行為的類別，實現異常流量來源追溯并確定其影響目標(主機或網段)，并進一步判斷網絡異常流量的風險程度。
　　(4)系統基于常見的異常流量提供完善特征庫，支持特征庫升級，以應付不斷變化的網絡情況。
　　(5)能夠精確分析每個數據包，監控一些非法應用，可以自定義需要監控的應用。
　　(6)系統能夠對發現的異常流量和非法應用進行智能過濾。
　　5.2流量采集功能
　　(l)系統能夠采集數據，精確復制每一個數據包和支持接收NetFlowVI，VS，V7，VS，Vg格式的流量數據，并進行異常流量檢測。系統支持接收Cflow山sFlow格式的流量數據，并進行異常流量檢測。
　　(2)流量分析系統支持轉發采集的數據包和接收到的NetFlow/sFlow/cflowd數據，以供其他系統進行統計分析。
　　(3)在不同路由器上可能設置不同的采樣率，因此系統應該能夠根據每臺路由設備不同的采樣率對從該設備采集的數據進行還原，以得到正確的統計結果。
　　5.3異常流量分析功能
　　(l)網絡整體異常流量分析系統能夠對進出lP城域網的全部流量進行網絡整體異常流量分析。
　　(2)支持對異常流量進行動態分析.
　　實現網絡異常流量監控。系統實時對網絡中正常流量形成流量模型，根據網絡正常的網絡流量模型動態分析網絡中流量的異常，并能找出網絡中異常流量。.
　　系統提供。基線分析功能、應用(協議)異常流量分析、網絡設備異常流量分析功能、異常流量特征庫分析功能。系統能夠根據預先定義的闌值，自動觸發異常流量報警。
　　(3)支持基于主機的異常流量分析
　　.針對個體主機，對于常見的DoS心005攻擊和濫用(TCpSYN/ICMPPing/TCPrese燈Ipfragment等)具有閥值設定及告警功能。
　　能夠對主機帶寬異常進行分析，異常分析中具體給出源地址，目的地址，源端口，目的端口，四層協議，TcPFLAG，Interfaee的描述，并顯示告警。
　　(4)支持基于網絡設備的異常流量分析
　　 .測量出網絡設備受異常流量影響而性能降低的嚴重程度。
　　 .通過SNMP來取得網絡設備上的相關性能指標(CPU使用率、內存使用率及掉包數)。
　　 .網絡流量超出使用者所定義的正常流量基準線的閡值時，系統能夠觸發異常告警。
　　 .對于一個特定的設備，當數據傳輸模式的包/每秒的流量超出了可被接受的限度，系統產生異常報警。
　　 .能夠對設備異常帶寬進行分析，異常分析中具體給出源地址，目的地址，源端口，目的端口，四層以上協議TCPFLAG，Interfaee的描述，并顯示告警。
　　(5)支持對私有IP/D盯kIP(網絡非法地址)的異常流量分析
　　 .針對網絡非法地址的流量進行實時檢測，及時發現非法地址對網絡的攻擊。
　　 .能夠區分DarkIp和privateIp。
　　(6)支持基于特征檢測的異常流量分析
　　 .支持針對網絡蠕蟲(及病毒)與DoS/DDoS攻擊特性所設計的特征來偵測已知的網絡攻擊。
　　 .支持使用者定義的特征，可通過手工添加攻擊/病毒的特征信息。
　　 .系統能夠比對不同流量的特性，有效地偵測出已知和未知的網絡攻擊。
　　(7)病毒特征碼分析
　　根據病毒的特征碼定義，實現全網的病毒掃描，找到病毒源(如SQLWorm源)，避免病毒占用寶貴的互聯鏈路資源。當網絡可能出現病毒的時候就馬上通過病毒爆發事前的掃描等異常流量和特征行為掃描定位病毒并找到源頭進行控制，對已經爆發的病毒實現精確和全網關聯的控制。
　　5.4異常流量的應對策略
　　(l)系統能自動標識出所受影響的設備，并給出針對攻擊緩解，提供詳細措施。
　　 .系統必須提供源地址，目地地址，源端口，目的端口，協議，包傳輸率，包的大小，以及與網絡異常相關的TcPnag信息
　　 .系統能自動給出符合Cisco，華為或Juniper語法的流量限制的訪問控制列表(ACL)，通過自動或手動的方式緩解網絡攻擊造成的影響。
　　(2)當網絡出現異常流量時，可以通過實時性的流量分析檢測出來。能夠迅速地檢測異常、追蹤攻擊的路徑和受影響網絡設備，并自動實施措施阻擋異常流量的蔓延，避免異常流量繼續影響網絡的運行當異常流量模塊監測到網絡受到攻擊時，異常流量模塊能夠提供相應的建議，用以緩解網絡攻擊造成的影響，以供維護人員參考。
　　(3)系統能夠根據異常流量的類型，與第三方過濾設備進行聯動，實現對異常流量的智能過濾。
　　
　　6 結束語
　　
　　網絡安全管理系統能夠為IP城域網提供網絡維護和業務增值上的幫助，主要表現在:
　　(l)網絡維護支持
　　在網絡發生DDOS或蠕蟲攻擊時給安全管理人員提供迅速排除故障的手段。當網絡中發現大規模的安全攻擊時，安全管理人員可以通過網絡安全管理系統對異常流量的實時監控發現異常流量和攻擊的類型和來源，并且能夠追查到攻擊的路徑;系統還提供給安全管理人員非常具體和明確的對應手段，讓安全管理人員在短時間內阻擋和清理攻擊，避免網絡資源和網絡設備受到更深遠影響。
　　發現惡意發出攻擊的用戶或設備被病毒/蠕蟲感染的用戶。在異常流量分析中，經常能夠發現一些用戶惡意發出攻擊或用戶設備被感染而發出攻擊。安全管理人員可以及時提醒用戶或采取適當和必要的措施，以保護IP城域網資源和其他用戶的安全。預先警覺未知的DDoS或病毒/蠕蟲攻擊。以往在使用依賴已知的特征數據庫來識別網絡攻擊的安全設備時，安全管理人員往往無法檢測和識別新型或變種的攻擊。由于異常流量監測系統是采用尋找與正常網絡行為比較有偏差地方的模式，因此任何類型的攻擊，無論是已知的還是新生的，都因為它對網絡正常行為的影響而被檢測到。
　　對一些非法應用進行限制，比如BT這樣大量耗費網絡資源的應用，對網絡的性能造成很大的影響。
　　(2)業務增值
　　當互聯網接人變得對業務越來越關鍵時，把他們自己和競爭者區別開的運營商將能收取更高的價格并且贏得一個更廣泛的用戶基礎。
　　
　　搜論文知識網致力于為需要刊登論文的人士提供相關服務,提供迅速快捷的論文發表、寫作指導等服務。具體發表流程為：客戶咨詢→確定合作，客戶支付定金→文章發送并發表→客戶接收錄用通知，支付余款→雜志出版并寄送客戶→客戶確認收到。鳴網系學術網站，對所投稿件無稿酬支付，謝絕非學術類稿件的投遞！