信息中心
聯(lián)想網(wǎng)御運營商級異常流量監(jiān)測與控制解決方案
近年來,隨著互聯(lián)網(wǎng)在全球的迅速發(fā)展和各種互聯(lián)網(wǎng)應用的快速普及,互聯(lián)網(wǎng)已成為人們?nèi)粘9ぷ魃钪胁豢苫蛉钡男畔⒊休d工具。然而,伴隨著互聯(lián)網(wǎng)的正常應用流量,網(wǎng)絡(luò)上形形色色的異常流量也隨之而來,影響到互聯(lián)網(wǎng)的正常運行,威脅到電信運營商的基礎(chǔ)網(wǎng)絡(luò)安全。因此,電信運營商在網(wǎng)絡(luò)規(guī)模日益龐大的同時,迫切需要一套完整的網(wǎng)絡(luò)安全方案對全網(wǎng)流量進行監(jiān)測與控制。當網(wǎng)絡(luò)攻擊或病毒發(fā)生時,從網(wǎng)絡(luò)層面對異常流量攻擊實施有效監(jiān)控和定位,并做出及時響應,保證基礎(chǔ)網(wǎng)絡(luò)的安全穩(wěn)定運行,實現(xiàn)網(wǎng)絡(luò)和服務可用性、穩(wěn)定性的安全目標。
行業(yè)背景
近年來,隨著互聯(lián)網(wǎng)在全球的迅速發(fā)展和各種互聯(lián)網(wǎng)應用的快速普及,互聯(lián)網(wǎng)已成為人們?nèi)粘9ぷ魃钪胁豢苫蛉钡男畔⒊休d工具。然而,伴隨著互聯(lián)網(wǎng)的正常應用流量,網(wǎng)絡(luò)上形形色色的異常流量也隨之而來,影響到互聯(lián)網(wǎng)的正常運行,威脅到電信運營商的基礎(chǔ)網(wǎng)絡(luò)安全。
因此,電信運營商在網(wǎng)絡(luò)規(guī)模日益龐大的同時,迫切需要一套完整的網(wǎng)絡(luò)安全方案對全網(wǎng)流量進行監(jiān)測與控制。當網(wǎng)絡(luò)攻擊或病毒發(fā)生時,從網(wǎng)絡(luò)層面對異常流量攻擊實施有效監(jiān)控和定位,并做出及時響應,保證基礎(chǔ)網(wǎng)絡(luò)的安全穩(wěn)定運行,實現(xiàn)網(wǎng)絡(luò)和服務可用性、穩(wěn)定性的安全目標。
聯(lián)想網(wǎng)御解決方案
面對電信運營商網(wǎng)絡(luò)流量大、范圍廣的特點,聯(lián)想網(wǎng)御科技有限公司推出了異常流量監(jiān)測與控制解決方案。對異常流量的監(jiān)測主要采用Netflow技術(shù)以及分布式監(jiān)測方式,支持聯(lián)想網(wǎng)御LeadSec-Detector、Arbor Peakfolw等。通過異常流量監(jiān)測系統(tǒng)的流量自學習功能掌握正常流量模型,同時利用異常流量特征庫技術(shù),及時發(fā)現(xiàn)和定位來自網(wǎng)絡(luò)內(nèi)部或外部的蠕蟲攻擊、DDOS攻擊、網(wǎng)絡(luò)濫用行為等安全問題,分析和判斷異常流量、病毒或攻擊類型(例如SQL Slammer等大量占用鏈路資源的蠕蟲病毒攻擊)。在部署異常流量監(jiān)測系統(tǒng)的同時,配合聯(lián)想網(wǎng)御異常流量過濾系統(tǒng)LeadSec-Guard,在發(fā)現(xiàn)異常流量的同時,采取必要的防護和過濾手段,提高響應速度。
異常流量監(jiān)測
聯(lián)想網(wǎng)御LeadSec-Detector、Arbor Peakfolw采用Netflow分析技術(shù),積極主動地檢測和追蹤網(wǎng)絡(luò)范圍的異常現(xiàn)象,如:分布式拒絕服務攻擊(DDoS)和蠕蟲。能為網(wǎng)絡(luò)維護人員在網(wǎng)絡(luò)還沒受影響,服務還沒發(fā)生問題和用戶還沒投訴前快速提供這些安全威脅所需的信息資料,為維護基礎(chǔ)網(wǎng)絡(luò)安全提供有效的幫助。
異常流量監(jiān)測系統(tǒng)采用二層分布式結(jié)構(gòu),分為控制器(Controller)和采集器(Collector)兩種模式,采集器(collector)負責收集各被監(jiān)測設(shè)備的流量數(shù)據(jù),對收集的流量數(shù)據(jù)做本地分析處理;控制器(Controller)能夠?qū)⑺胁杉O(shè)備的數(shù)據(jù)進行統(tǒng)一的匯總、處理和關(guān)聯(lián)分析;用戶可以通過一個統(tǒng)一的WEB界面了解所有的數(shù)據(jù)分析結(jié)果,并管理系統(tǒng)內(nèi)部所有設(shè)備。
如下圖所示:
異常流量控制
為真正降低網(wǎng)絡(luò)中異常流量對基礎(chǔ)網(wǎng)絡(luò)的影響,提高應急響應的效率和自動化程度,電信運營商應同時部署異常流量監(jiān)測系統(tǒng)和流量過濾系統(tǒng),通過兩個設(shè)備的聯(lián)動,對用戶重點關(guān)心的網(wǎng)段或大客戶實現(xiàn)特殊保護。一旦發(fā)現(xiàn)有異常流量行為,立即將異常流量引入異常流量過濾系統(tǒng)進行“清洗”,以保護重要系統(tǒng)或重要客戶網(wǎng)絡(luò)資源,降低異常流量對這些系統(tǒng)的沖擊。
方案效益
該解決方案適應了電信運營商網(wǎng)絡(luò)流量大、網(wǎng)絡(luò)設(shè)備多的特點,采用分布式的體系結(jié)構(gòu),具有良好的擴展性,能夠支持大型電信運營商對網(wǎng)絡(luò)中異常流量監(jiān)測和安全控制,能夠為電信運營商網(wǎng)絡(luò)提供網(wǎng)絡(luò)維護和業(yè)務增值上的幫助。主要表現(xiàn)在:
在網(wǎng)絡(luò)發(fā)生DDoS或蠕蟲攻擊時給安全管理人員提供迅速排除故障的手段。當網(wǎng)絡(luò)中發(fā)現(xiàn)大規(guī)模的安全攻擊時,安全管理人員可以通過異常流量分析系統(tǒng)對異常流量的實時監(jiān)控發(fā)現(xiàn)異常流量和攻擊的類型和來源。
發(fā)現(xiàn)惡意發(fā)出攻擊的用戶以及被病毒/蠕蟲感染的用戶。在異常流量分析中,能夠發(fā)現(xiàn)一些用戶惡意發(fā)出攻擊或用戶設(shè)備被感染而發(fā)出攻擊。
預先警覺未知的DDoS或病毒/蠕蟲攻擊。異常流量監(jiān)測系統(tǒng)是采用尋找與正常網(wǎng)絡(luò)行為比較有偏差地方的模式,因此任何類型的攻擊,無論是已知的還是新生的,都因為它對網(wǎng)絡(luò)正常行為的影響而被檢測到。
一旦異常流量行為被發(fā)現(xiàn),網(wǎng)管人員可以立即做出響應,異常流量監(jiān)測系統(tǒng)可觸發(fā)異常流量過濾系統(tǒng)的保護機制;異常流量過濾系統(tǒng)根據(jù)預先指定的保護策略對訪問目標對象的流量進行引流,該流量在異常流量過濾系統(tǒng)將被再次進行分析,流量成份中的異常行為將被過濾,從而縮短針對異常流量告警的響應時間。
文章作者:張菲林
集成系統(tǒng)網(wǎng)絡(luò)情報信息數(shù)據(jù)庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數(shù)據(jù)建設(shè)方案案例庫
電子政務建設(shè)方案案例庫
互聯(lián)集成系統(tǒng)構(gòu)建方案案例庫
商務智能建設(shè)方案案例庫
系統(tǒng)集成類軟件信息研發(fā)企業(yè)名錄