運(yùn)營(yíng)商網(wǎng)絡(luò)流量監(jiān)測(cè)溯源分析解決方案
隨著全業(yè)務(wù)競(jìng)爭(zhēng)的展開,中國(guó)移動(dòng)在增值應(yīng)用、信息服務(wù)領(lǐng)域以及Internet接入方面進(jìn)行了穩(wěn)步擴(kuò)展。而越來越多的網(wǎng)絡(luò)威脅已經(jīng)嚴(yán)重影響了移動(dòng)客戶的安全。為保證客戶數(shù)據(jù)、公司資料的安全性,提高服務(wù)質(zhì)量,對(duì)CMNET安全系統(tǒng)檢測(cè)溯源能力提升是十分必要的。
在上述背景和需求下,某省移動(dòng)需整合現(xiàn)有的CMNET安全防護(hù)手段,形成一套完善的CMNET防護(hù)體系,實(shí)現(xiàn)對(duì)CMNET網(wǎng)可監(jiān)、可控、可溯源的全方位的防護(hù)能力,進(jìn)一步提高網(wǎng)絡(luò)安全水平,以減少網(wǎng)絡(luò)威脅造成的損失。
隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,越來越多的傳統(tǒng)運(yùn)作方式正在被低耗、開放、高效的分布式網(wǎng)絡(luò)應(yīng)用所替代,網(wǎng)絡(luò)已經(jīng)成為人們?nèi)粘I钪胁豢扇鄙俚囊徊糠?。但是,隨之而來基于網(wǎng)絡(luò)的計(jì)算機(jī)攻擊也愈演愈烈,攻擊者利用網(wǎng)絡(luò)的快速和廣泛的互聯(lián)性,使傳統(tǒng)意義上的安全措施基本喪失作用,嚴(yán)重威脅著社會(huì)和國(guó)家的安全;而且網(wǎng)絡(luò)攻擊者大都使用偽造的IP地址,使被攻擊者很難確定攻擊的位置,從而不能實(shí)施有針對(duì)性地防護(hù)策略。
這些都使得逆向追蹤攻擊源的追蹤技術(shù)成為網(wǎng)絡(luò)主動(dòng)防御體系中的重要一環(huán),它對(duì)于最小化攻擊的當(dāng)前效果、威懾潛在的網(wǎng)絡(luò)攻擊都有著至關(guān)重要的作用。
中新網(wǎng)安采用基于大數(shù)據(jù)技術(shù)網(wǎng)絡(luò)安全事件分析的統(tǒng)一安全防護(hù)平臺(tái)架構(gòu),采集各類子系統(tǒng)flow流量和日志,通過萬兆交換機(jī)將數(shù)據(jù)分析內(nèi)容傳輸至大數(shù)據(jù)分析及存儲(chǔ)系統(tǒng)。采集范圍包括:各類子系統(tǒng)關(guān)鍵網(wǎng)絡(luò)匯聚節(jié)點(diǎn)流量、攻擊檢測(cè)設(shè)備的日志、統(tǒng)一流量檢測(cè)平臺(tái)中的異常流量攻擊信息等關(guān)鍵數(shù)據(jù)傳送至大數(shù)據(jù)分析及存儲(chǔ)系統(tǒng),通過針對(duì)攻擊事件類型、IP地址等特征進(jìn)行關(guān)聯(lián)檢索分析,從不同緯度呈現(xiàn)當(dāng)前網(wǎng)絡(luò)各類安全事件狀態(tài)。
通過采集分析實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的分析檢測(cè)后,實(shí)現(xiàn)對(duì)檢測(cè)發(fā)現(xiàn)安全事件的處置——將流量清洗系統(tǒng)、入侵防御等具體安全事件處理模塊加入處置流程,對(duì)于發(fā)現(xiàn)的網(wǎng)絡(luò)安全事件,根據(jù)事件類型向流量清洗系統(tǒng)或入侵防御系統(tǒng)發(fā)送處置指令,并跟蹤處置過程及處理結(jié)果。
通過整體方案為用戶提供CMNET統(tǒng)一安全防護(hù)能力,包括CMNET整體安全事態(tài)感知、CMNET網(wǎng)絡(luò)安全攻擊數(shù)據(jù)溯源、CMNET攻擊源分析、策略執(zhí)行中心、安全漏洞管理、威脅預(yù)警、異常行為分析、通用報(bào)表功能、通用管理功能九大功能。
客戶價(jià)值
綜合展示統(tǒng)一安全防護(hù)平臺(tái)整體風(fēng)險(xiǎn)狀態(tài),有助于了解CMNET整體安全水平,形成風(fēng)險(xiǎn)趨勢(shì),并與后臺(tái)數(shù)據(jù)進(jìn)行對(duì)接; 發(fā)布網(wǎng)內(nèi)資產(chǎn)視角的實(shí)施違規(guī)行為; 發(fā)布最新被控主機(jī)列表,并給出詳細(xì)連接信息; 查看風(fēng)險(xiǎn)詳情詳細(xì)風(fēng)險(xiǎn)統(tǒng)計(jì)及趨勢(shì)分析,進(jìn)行異常事件管理、安全通告管理; 從流量分析系統(tǒng)接收DDOS攻擊的結(jié)果,并根據(jù)結(jié)果中的DDOS攻擊的目的地址和起始/結(jié)束時(shí)間,對(duì)接收的 netflow原始數(shù)據(jù)進(jìn)行過濾和存儲(chǔ),并對(duì)DDOS攻擊進(jìn)行詳細(xì)的分析,根據(jù)攻擊的目的地址和起始時(shí)間結(jié)束 時(shí)間,在全部netflow原始數(shù)據(jù)中查詢符合條件的攻擊流量并進(jìn)行分析,統(tǒng)計(jì)全部攻擊原始數(shù)據(jù);
在攻擊過程中,從流量的占比視角來看,溯源的攻擊類型,如:DDoS攻擊,Web類、軟件漏洞攻擊、以及其他任何觸發(fā)規(guī)則的攻擊,針對(duì)每個(gè)攻擊,系統(tǒng)能夠根據(jù)省網(wǎng)/城域網(wǎng)路由器端口統(tǒng)計(jì)每個(gè)運(yùn)營(yíng)商/省網(wǎng)/城域網(wǎng)的攻擊流量,并計(jì)算每個(gè)IP地址/C類網(wǎng)段的發(fā)包數(shù)量、總字節(jié)數(shù)、起始時(shí)間、結(jié)束時(shí)間、bps和pps,并按運(yùn)營(yíng)商/省網(wǎng)/城域網(wǎng)進(jìn)行分類;
根據(jù)大數(shù)據(jù)平臺(tái)的各類模型算法,從接收流量開始,即開始進(jìn)行風(fēng)險(xiǎn)的大規(guī)模分析和預(yù)警,采用以事件化分析的方法,把復(fù)雜的攻擊細(xì)節(jié)簡(jiǎn)單化,智能判斷攻擊是否成功,可視化清晰還原出攻擊者的攻擊過程,以攻擊手法為依據(jù),對(duì)攻擊者進(jìn)行判斷;基于攻擊行為規(guī)則庫(kù)的深度檢測(cè)把攻擊者所有可能的攻擊方法進(jìn)行總結(jié),采用廣譜加智能匹配算法相結(jié)合,增加檢測(cè)率的同時(shí)降低了誤報(bào)率,采用流量雙向檢測(cè)技術(shù),自動(dòng)識(shí)別攻擊是否成功;
根據(jù)攻擊者的攻擊路線,分析出存在的安全問題,通過對(duì)攻擊行為的進(jìn)行數(shù)學(xué)建模分析,總結(jié)了大量攻擊模型,攻擊者很難繞過檢測(cè),比如異常流量模型,文件異常訪問模型等,而與此同時(shí)可根據(jù)算法再次進(jìn)行弱點(diǎn)強(qiáng)化;
利用大數(shù)據(jù)分析技術(shù),實(shí)時(shí)掌握互聯(lián)網(wǎng)安全威脅情報(bào)數(shù)據(jù),支持CMNET安全事件的快速響應(yīng)和威脅預(yù)測(cè)。
|