《流量监控安全技术研究》开题汇报报告(1).ppt

中国移动通信有限公司承担部门：研究院2010年5月,课题名称：流量监控安全技术研究项目类型：联合项目,一、项目信息,二、立项背景和意义,TCP/IP TCP/IP TCP/IPTCP/IP TCP/IP TCP/IPTCP/IP TCP/IP TCP/IP,去年年底至今年初，为缓解CMNET互联出口带宽占用较高的情况，分析出入口流量占比情况，在集团CMNET互联出口处引入了流控设备。该设备性能优越，对应用协议分析准确。但该设备并非安全控制设备，难以满足对DDoS攻击的控制和蠕虫木马等互联网攻击的监控。为此，研究院开展了本次测试，针对目前主流的流量清洗设备、IPS和基于安全分析的DPI产品的情况进行调研和技术储备，另一方面，研究院开展了在流控设备与安全控制设备共组网的方案研究，目前该方案针对CMNET网络环境，旨在更好的发挥现有流控产品技术能力下，提高安全管控和能力，并提出相应的方案作为支撑。,二、立项背景和意义本期流量监控的目标,行为发现,特征发现,1、调度之前不知道是攻击2、基线或称统计判定3、无明显数据报文特征4、需要流量调度,1、检测之后就知道是攻击2、指纹或称特征判定3、有明显数据报文特征4、不需要流量调度,1980年Hawkins给出了一种对异常的本质性的定义：异常是在数据集中与众不同的数据，使人怀疑这些数据并非随机偏差，而是产生于完全不同的机制。,X,从本质上讲，攻击特征发现不是异常检测，但所发现的流量是异常流量,由于异常流量尽可能出现在开放网络或非轻载网络，因此重点关注CMNET,二、立项背景和意义本期重点关注的异常流量影响,DDOS分布式攻击的背景,DDOS攻击的危害及防护意义,DDoS也就是分布式拒绝服务攻击。它使用与普通的拒绝服务攻击同样的方法，但是发起攻击的源是多个。通常攻击者使用下载的工具渗透无保护的主机，当获得该主机的适当的访问权限后，攻击者在主机中安装软件的服务或进程（以下简称代理）。这些代理保持睡眠状态，直到从它们的主控端得到指令，对指定的目标发起拒绝服务攻击。随着危害力极强的黑客工具的广泛传播使用，分布式拒绝服务攻击可以同时对一个目标发起几千个攻击。,DDoS攻击特点是:毁灭性大、破坏性强。为了最大程度避免Ddos对现网造成的影响，本项目从DDos原理研究、DDos防止、DDos应对等多方面进行研究，并通过流量清洗方式进行防DDOS，为确保网络安全提供更加稳定的系统保障。,立项背景及意义,二、立项背景和意义本期重点关注的异常流量影响,DNS保护的背景,DNS保护意义,DNS作为INTERNET架构中一个关键的组成部分，其性能和安全性对互联网的应用都至关重要。如何在确保其性能的前提下,更全面的提升DNS系统的安全等级成为一个关键的课题。DNS存在三大诟病：拒绝服务攻击影响恶劣DNS投毒和欺骗用户角度无法防御DNS安全性与可用性存在对立,DNS防护问题一直以来受到广泛的关注，从08年DNS投毒漏洞的提出和09年暴风影音和10年百度被黑等事件爆发以来，DNS的保护问题是摆在运营商面前的重要研究课题。DNS问题不是用户可以通过自身安全防护解决的问题，必须由运营商研究解决。,立项背景及意义,三、课题研究目标总体,分析CMNET网络异常流量分类特点和管控需求，从而设计CMNET包括互联出口、大区节点、省骨干出入口、城域地市节点和接入节点各层次的异常流量管控方案从运营角度对CNMET网络流量安全管控的关键技术进行研究，提出针对DDoS安全防护、DNS业务系统防护、僵木蠕检测和防护等各类安全防护方案，实现对网络流量的合理管控，保护现有投资。系统的研究CMNET流量调度、控制和监控策略以及实现方案，提出适合中国移动的部署方案，实现网络流量的可管、可控，并为中国移动建立统一安全态势分析管控平台做好技术储备。提交创新性发明专利申请，体现本项目的自主研发和自主知识产权以北京、四川现网为实例，开展重点IDC保障、企业客户和DNS的安全防护试验，为现网的实施提供实际依据,三、课题研究目标DDoS安全防护,研究目标,防DDOS攻击软课题研究,DDOS攻击流量调度研究,探讨DDoS攻击在不同网络层面的检测、调度和处理方法，为基于标记的流量调度与牵引回注式的局域调度融合提供解决方案。,DDOS攻击原理研究,研究DDOS攻击的原理、检测、现有防护技术和手段,清洗、检测,在攻击的响应方面,提出基于流量清洗的方式进行防DDOS攻击，并就清洗、检测等提出解决方案,流量清洗解决方案,采用旁路检测、异常流量甄别、流量牵引、负载均衡、多级甄别等方式的DDoS 攻击流量清洗解决方案,四、课题研究主要内容,现网异常流量监控体系,感知、监控、分析和处置,流量调度策略,防护思路,现网实施研究,创新点挖掘,1、场景分析，包括分省份、分大区分用户2、防护纵深分析，包括攻击路径，防护层次等3、流量调度和部署策略分析,1、DDoS安全防护的思路和方案选择比较2、DNS安全防护和监控方法研究3、僵木蠕检测和现网控制方式研究,1、实现流量清洗接入现网系统，研究SOC和EMOS接口2、研究并调试异常流量与流控设备的指令接口3、实验和现网试点支撑,1、一种基于标记进行异常流量控制的技术方案2、一种旁路DNS监控和防护方法3、基于单向特征检测的异常流量识别方法,五、研究总体框架,Internet,WLAN,3G/LTE,LAN,PON,个人客户,家庭客户,集团客户,BRAS,GGSN,DPI设备,接入层,承载层,终端,Web Cache,CDN,流量清洗,不良信息,僵尸/木马,流控,彩信计费,应用层,P2P Cache,流控,云安全平台,蜜网系统,客户安全组,8,U,DPI,检测中心,8,U,清洗中心,管理中心,DNSserver,DNS安全检测设备,DNS安全控制接口,研究CMNET流量模型，基线定义方法，流控设备和清洗设备之间关系，流量调度模型，DNS安全防护方法等。对中国移动现有业务场景分类分析，收集整理需求，并相应提出部署建议。,六、主要技术方案和关键技术-旁路DFI+牵引部署方案示意,适于解决大流量攻击粗粒度检测节省成本Netflow-based检测中心可复用,六、主要技术方案和关键技术-旁路DPI+牵引部署方案示意,适于解决小流量攻击较细粒度检测有一定光衰影响与既有的宽广设备有一定的功能交叉放在现有出入口方案中处在多次解数据包的重复工作,六、主要技术方案和关键技术-直路DPI控制部署方案示意,适于解决小流量攻击较细粒度检测全流量串入骨干网络风险较高与既有的宽广设备有一定的功能交叉放在现有出入口方案中处在多次解数据包的重复工作,六、主要技术方案和关键技术标记调度单向检测部署方案示意,单向检测存在的弊端：路由器上旁挂的某些设备需要双向流量才能进行更准确的判断。例如IPS产品，为满足此类产品的需求，有必要使流量从原路返回,安全设备,安全设备,1）下游增加流控设备,2）路由器换为四层交机,依据端口号区分业务并分流,3）启动路由器端口镜像,在路由器的上下游端口，对源/目的IP，以及port进行hash，根据hash值确定回来的流量发往哪个端口。,3）EtherChannel,1）判断准确但增加网元，增加投资,2）判断较准，无需增加网元但需增加投资,3）回流准确但需增加路由器端口，增加安全设备处理能力,4）无需增加网元，无需增加安全设备处理能力，判断较准,全流量镜像,安全设备,六、主要技术方案和关键技术标记调度单向检测部署方案示意,六、主要技术方案和关键技术场景分析,一级应用场景,二级应用场景,骨干层，互联出口，安全级别最高级，流量检测及清洗设备要求大颗粒、高精度，高性能；,大区级省网出口、城域网出口，安全级别较高，流量检测及清洗设备要求大颗粒、高精度，高性能；,直辖市及普通省网出口，安全级别一般，流控及清洗设备精度及处理能力要求低于前两种场景；,分大区,分地市,安全级别,防DDos攻击四种典型应用场景,三级应用场景,四级应用场景,互联点,直辖市,地市级出口，安全级别一般，可以按需考虑部署流控及清洗设备；,防DDOS攻击五种关键元素,六、主要技术方案和关键技术DNS异常旁路检测方案示意,比对模型工作流程：第一步：建立单位时间域名请求IP对应域名请求最大次数变量关系模型，并自动更新。第二步：当某时刻网络中对DNS发起的域名请求次数骤增达到设定门限，此时DNS处于高负荷工作状态。第三步：DNS自动启用动态僵尸攻击防护策略：将该时刻域名请求量超过模型2倍以上的IP列入动态僵尸IP名单，并登陆防火墙执行IP封堵。第四步：当网络中域名请求次数减少到安全值以内，自动登陆防火墙对动态僵尸IP的屏蔽予以取消，流程闭环。,六、主要技术方案和关键技术DNS防护流程示意,域名解析验证：第一步：采集用户请求域名的返回值。第二步：将返回值与域名策略库的标准值进行比对。第三步：发现异常则实时告警。第四步：系统登陆DNS服务器执行一个恢复DNS缓存数据的脚本，恢复DNS正确配置数据。,外部攻击封堵：第一步：采集域名请求用户的IP。第二步：将用户IP与僵尸主机库的IP进行比对。第三步：发现用户IP为僵尸主机则实时告警。第四步：系统通过防火墙接口对该IP实现阻断。,亲情问候：第一步：采集用户请求的域名。第二步：将用户请求域名与钓鱼网站库进行比对。第三步：发现用户请求的为钓鱼网站则实时告警。第四步：与DNS服务器联动提示用户，反馈用户警示信息。,六、主要技术方案和关键技术统一的安全监控平台架构,安全态势特征数据库,IP信誉,数据包特征,用户行为特征,网络行为特征,待检测数据特征,安全态势评价模型,事件趋势预测模型,Internet,WLAN,3G/LTE,LAN,PON,个人客户,家庭客户,集团客户,BRAS,GGSN,DPI设备,接入层,承载层,终端,Web Cache,CDN,流量清洗,不良信息,僵尸/木马,流控,彩信计费,应用层,P2P Cache,流控,云安全平台,蜜网系统,客户安全组,AD攻防平台,FWIPSIDSSecurity Client,网络用户行为分析平台,接受控制策略,上报安全态势接受用户模板,六、主要技术方案和关键技术统一的安全监控平台理念,多点感知，多层感知是面对未来复杂安全环境的重要技术特征。通过对终端、接入、承载和应用部署分布式感知点，感知网络行为、应用内容和用户行为等多层信息，达到网络和信息安全的全面监控。,多点控制，多级控制是未来多网融合电信运营商复杂网络控制技术的发展方向。通过在网络侧出入口等集中位置和终端侧可控软件模块部署分布式控制点，可以达到安全控制策略精细化和防御纵深一体化，完成全网监控。,一点决策，一处维护是降低网络OPEX和加强网络集中管控的重要举措。通过在网络侧统一部署安全态势分析和策略控制平台，可以达到全网安全状态和趋势准确呈现和预测，安全策略及时下发，完成全网态势监控。,用户行为,应用内容,网络行为,流量清洗,不良信息,僵尸/木马,流控,云安全平台,蜜网系统,AD攻防平台,感知,控制,客户安全组,各模块现状,各模块演进,流控,调度&染色,先验感知,云安全平台,AD攻防平台,蜜网系统,态势感知流量控制,流量清洗,不良信息,僵尸/木马,客户安全组,对流量染色，各模块按照染色选取流量,七、项目的难点,基于标记流量和DFI/DPI检测牵引流量的统一处理对第二级及以下清洗层使用DFI/DPI检测牵引流量时存在清洗设备同时接受标记流量和牵引流量的问题第二级及以下清洗设备与互联出口流控设备协同存在难点，其原因在于流量路径的不可预期清洗设备各层面间容量估计存在难点攻击源和路径不能准确预估需要研究采用统计方法和路径调整方法各自的优劣需要依据省份特点，包括是否直辖市，是否有地市，是否是互联出入口和是否是安全重点考察省份等情况分大区考虑流量模型单向报文特征检测与双向特征的技术差异比较目前安全产品几乎均采用双向特征识别，如何推动市场转型研究保证数据报文通过路径的方法集中监控的权限控制和链路安全性保障保证命令消息的准确性跨公网提交信息保证消息的机密性消息传递的协议选择和设计,七、项目的难点DNS防护难点,该系统有几个核心的组成部分：域名策略库，它会对用户的每一次访问请求加以分析，判断DNS返回的结果是否与策略库的内容一致，策略库更新的及时性和可靠性是系统准确运行的支撑；僵尸主机库，该库可由工信部等部门获得僵尸主机IP列表后形成，对于库中IP的访问请求实施阻断，僵尸库更新的及时性和可靠性是系统准确运行的支撑；建立单位时间域名请求最大次数关系模型，一旦某IP的访问请求在单位时间内超出门限后，即将其加入僵尸主机库中，待其访问恢复正常后，从僵尸主机库中删除。,策略验证,模型比对,僵尸主机库,DNS系统,针对DNS系统更全面更深入的保护,八、本课题的创新点和专利点,待挖掘的专利点1、一种基于标记进行异常流量控制的技术方案2、一种旁路DNS监控和防护方法3、基于单向特征检测的异常流量识别方法本课题的主要创新点1、通过流量标记对现网流量进行染色，从而实现异常流量防控的纵深提高2、DNS防护的旁路检测具备以下优势性能影响较小保证实时性和准确性具备模型化特点可以及时屏蔽请求地址,九、与本课题有关的研究工作积累和已取得的研究成果-基于染色的流量调度方案实验情况,BPS,10G光纤,异常流量清洗系统,终端,被访问服务器,BPS,DPI,异常流量清洗系统,路由器,被访问服务器,终端,异常流量清洗系统测试拓扑,异常流量清洗系统与流控系统共组网测试拓扑,九、与本课题有关的研究工作积累和已取得的研究成果-防DDoS在北京公司已经搭建的测试环境,九、与本课题有关的研究工作积累和已取得的研究成果DNS防护在四川省已取得初步效果,目前该系统正处于测试阶段，全部功能完成并正式上线，预计还需要约2个月的时间。,十、项目输出成果,CMNET全网异常流量防护方案研究报告CMNET互联互通出口异常流量防护方案省网异常流量防护指导方案流控设备与异常流量清洗设备互操作方案省公司异常流量现网调研报告CMNET全网异常流量部署总体方案DNS防护系统部署方案研究设备规范和测试规范制定中国移动异常流量清洗设备技术规范中国移动恶意代码检测设备技术规范中国移动异常流量清洗设备测试规范中国移动恶意代码检测设备测试规范中国移动异常流量设备与流控设备接口规范DNS防护系统技术规范DNS防护系统测试规范试验报告中国移动异常流量测试报告中国移动恶意代码检测测试报告互联互通接口染色方案验证报告,十一、项目研究实施计划,十二、联合项目分工（牵头单位填写）,