異常流量分析與響應技術解析

2019-11-04 21:04:27

字體：大中小

來源：轉載

供稿：網友

　　東軟NTARS拓撲圖

　　異常流量分析技術的由來

　　異常流量分析與響應技術具備顯著區別于其他傳統安全防護設備的目標定位。在通常的一個安全解決方案中，防護對象往往局限于目標網絡中較為要害的計算資源節點或其集合(如應用邏輯服務器系統、業務數據服務器系統等)，這些防護目標具備物理上可確定的拓撲位置，并以此為核心展開各種方式的對應保護。這些保護方式可包括：

　　● 在安全區域邊界點部署訪問控制設備；
　　● 在要害資源網段部署行為深度檢測設備；
　　● 為跨越不可信區域的高安全等級流量提供加密隧道；
　　● 針對防護區域進行定時/不定時的安全評估分析；
　　● 面向已知病毒傳播設置查殺機制；
　　● 通過收集設備已有事件日志進行二次關聯分析；
　　● 為提高防護作業效率而建立安全運維治理專家系統；
　　……

　　但是在林林總總的傳統防護技術卻無法解決高端網絡骨干鏈路的安全需求，這主要是由于骨干鏈路作為橫跨各個接入網絡的過渡區域的特點而造成的。

　　高端網絡是Internet概念的主要實現載體，是各接入客戶網絡云團之間的唯一互聯路徑，不直接面向桌面系統提供網絡接入服務，而是面向特定范圍內一系列的客戶整體網絡系統統一提供寬帶接入。高端網絡一般沒有顯著的計算資源存在，難以進行明確的訪問窗口定義，因此無法設定各種顯式的訪問控制規則。高端網絡關注的是如何實現客戶所要求的服務質量承諾，而這種服務質量的首要特征是帶寬和響應速度，并直接影響到網絡提供商的業務收益。高端網絡幾乎不關注其接入用戶究竟在傳輸什么樣的應用層內容。

　　由于以上種種原因，高端網絡運維治理部門無法從現有傳統安全技術中獲得有效的解決方案，亟需一種能夠促進其客戶服務質量承諾條款兌現的全新安全機制。異常流量分析與響應技術正是在這種強大的市場需求推動下應時而出的革命性安全解決方案。 QQread.com 推出各大專業服務器評測 linux服務器的安全性能 SUN服務器 HP服務器 DELL服務器 IBM服務器聯想服務器浪潮服務器曙光服務器同方服務器華碩服務器寶德服務器 業界普遍持有的技術觀點
　　由于高端網絡骨干鏈路是為各接入客戶網絡高速互聯而設立的交換通道，基本沒有計算資源存在，因此無法得到顯式的訪問窗口界定和系統脆弱性描述，流量分析系統可供操作的信息幾乎均來源于網絡流量特征。所以，各流量分析系統廠商也相應地把工作重點基于流量統計及特征分析進行展開。

　　在這種情形下，業內主要廠商將異常流量分析系統的數據采集幾乎完全集中在流量數據抽樣上，系統通過諸如NetFlow、Sflow、Cflowd、SNMP提交的數據進行建模統計分析，通過數據統計結果描述當前骨干網絡中帶寬資源的使用狀況，并以模型分析結果力圖反映出各類訪問行為的合規性。

　　在這種設計思路中，系統呈現出以下工作特點：
　　● 完全的帶外數據采集，對原有數據流向不造成任何影響；
　　● 能夠反映出骨干流量的統計特征，并以此作出網絡整體層面上的訪問行為合規判別；
　　● 利用Flow技術體系的抽樣機制，可靈活適應監控流量負載的變化。

　　同時，由于系統僅限于對骨干鏈路進行抽樣特征采集，因而缺少流量應用層信息的描述，無法判定應用層內容的合法性。

　　另外，系統缺乏對網元設備的監控分析。網元設備作為網絡拓撲中的節點單元，其運行狀態和執行策略同樣是影響骨干網絡服務質量的要害因素，但這并沒有出現在系統分析范圍中，因此造成片面依靠于流量統計分析數據的“一條腿走路”局面。

　　東軟對異常流量分析的理解
　　東軟不僅是中國網絡安全解決方案陣營中的代表廠商，而且在運營級網絡規劃、建設和運行維護方面同樣造詣頗深。豐富的從業經驗帶來堅實的技術沉淀，東軟公司將其久經實際考驗的運營級網絡治理維護經驗與網絡安全運維理論體系高度結合起來，充分考慮高端網絡為實現客戶服務質量承諾條款所面臨的各種具體問題，以嶄新的技術觀點詮釋了高端運營級骨干網絡安全維護的解決思路。

　　東軟NetEye異常流量分析與響應系統(NTARS)分別從數據分析對象種類、流量分析深度、事件響應手段多個層面進行必要擴充，擷取網絡安全理論與網絡運維技術的多重優勢，使NTARS系統在異常流量分析技術發展路線中邁出里程碑式的一步，并造就了東軟NTARS令人耳目一新的標志性特征。

　　在流量抽樣統計分析基礎上，NetEye Ntars增加了應用層深度檢測功能。由于很多網絡資源濫用行為(如P2P通信)無法通過Flow的特征字段得以具體描述，因此NTARS內置了應用協議深層檢測模塊，并可由流量抽樣分析模塊進行驅動調節，自動對可疑流量按需啟動協議分析、內容過濾、報文還原等操作，即可保證流量分析范圍的橫向幅度，又可實現要害流量檢測的縱向深度，從而達到高帶寬流量海量處理能力與應用層協議深層分析力度的協調統一。

　　NetEye Ntars兼顧了對網元設備的監控分析。在圖論中，節點與連線均為構成一個圖的基本元素，對于網絡拓撲同樣如此。高端網絡的整體性能完全取決于構成這張拓撲圖的“節點元素”(網元設備)和“連線元素”(物理鏈路)，片面地對某單一元素的檢測分析都無法得出當前網絡真實的狀態。因此，在NTARS技術框架中，把鏈路流量建模和網元設備監控同時納入到系統分析基礎數據庫中并在二者之間進行高度關聯分析，不僅能夠大幅度提高流量分析結果的準確率(如通過流量分析得出的“流量異常”表象往往有可能是由于網元設備錯誤策略配置等內在因素所誘發的)，而且通過對網元設備的主動分析、調節還可較精確的預期流量走勢以及緩解異常流量帶來的影響。

　　NetEye Ntars增加了更具實際意義的響應手段。分析報告生成幾乎是異常流量分析系統的主要數據輸出方式，但高端網絡治理員幾乎沒有足夠的時間對那些“流水賬”進行分析并作出合理修正操作。NTARS通過增加新的響應手段一舉扭轉了這種“不作為”的局面，NTARS在治理員的配置策略答應前提下，能夠自動對異常行為作出智能響應以快速緩解異常流量造成的后果，如自動調整路由設備ACL/防火墻過濾策略/交換設備端口接入控制(NAC)、誘導異常流量進入應用檢測、DDoS防護、病毒過濾等針對性功能單元，可大幅度降低治理員作業負擔并提高系統防護力度。

　　針對運營級骨干網絡環境，東軟NTARS從網絡安全防護體系和網絡運行維護體系兩個層面雙管齊下，綜合運用網絡安全技術和治理維護技術的互補優勢，直接面向高度網絡運行維護實際需求，是運營網絡較大程度實現客戶服務質量承諾條款的有利支撐工具。

上一篇：關于網絡的七個致命誤解

下一篇：網絡管理：到底能夠管到什么地步？