【導(dǎo)讀】流流量量分分析析和和安安全全監(jiān)監(jiān)測測系系統(tǒng)統(tǒng)。解解決決方方案案。目前IP網(wǎng)絡(luò)已經(jīng)是XXXX網(wǎng)通網(wǎng)絡(luò)中的重要業(yè)務(wù)承載平面,網(wǎng)通總部已于三。年前部署了針對IP骨干網(wǎng)絡(luò)的流量分析

　　

【正文】 寬或網(wǎng)絡(luò)設(shè)備系統(tǒng)資源。 4) 其 它異常流量 其它能夠影響網(wǎng)絡(luò)正常運(yùn)行的流量歸為最后一類異常流量的范疇，例如一些網(wǎng)絡(luò)掃描工具產(chǎn)生的大量 TCP 連接請求，很容易使一個性能不高的網(wǎng)絡(luò)設(shè)備癱瘓。 目前，電信運(yùn)營商網(wǎng)絡(luò)所面臨的最重要的安全問題就是如何監(jiān)測與防范蠕蟲式病毒和分布式拒絕服務(wù)攻擊。這兩類攻擊利用網(wǎng)絡(luò)服務(wù)、系統(tǒng)服務(wù)的漏洞或利用網(wǎng)絡(luò)資源、系統(tǒng)資源的有限性，再有就是利用網(wǎng)絡(luò)協(xié)議和認(rèn)證機(jī)制自身的不完善性，通過在短時間內(nèi)發(fā)動大規(guī)模網(wǎng)絡(luò)攻擊，消耗大量網(wǎng)絡(luò)資源，對網(wǎng)絡(luò)正常業(yè)務(wù)的負(fù)面危害越來越大。因此，目前蠕蟲病毒攻擊和分布式拒絕服務(wù)攻擊是對運(yùn)營商網(wǎng)絡(luò)最大 的安全威脅，如何檢測和防范該類型異常行為是當(dāng)前電信運(yùn)營商面臨的一大挑戰(zhàn)。 對異常流量的監(jiān)測與控制 目前，多數(shù)電信運(yùn)營商一般通過在本網(wǎng)絡(luò)內(nèi)部部署異常流量監(jiān)測系統(tǒng)，實(shí)時了解網(wǎng)絡(luò)內(nèi)部的異常流量行為，采取必要的防衛(wèi)措施，從而有效的保護(hù)自身網(wǎng)絡(luò)的穩(wěn)定性，減緩或阻止因異常流量引起的網(wǎng)絡(luò)安全威脅。 電信運(yùn)營商網(wǎng)絡(luò)流量大、范圍廣， 對異常流量的監(jiān)測 主要采用 Netflow 技術(shù)以 及分布式監(jiān)測方式。通過異常流量監(jiān)測系統(tǒng)的流量自學(xué)習(xí)功能掌握正常流量模型，同時利用系統(tǒng)的異常流量特征庫技術(shù)，及時發(fā)現(xiàn)和定位來自網(wǎng)絡(luò)內(nèi)部或外部的蠕蟲攻 擊、 DDOS 攻擊、網(wǎng)絡(luò)濫用行為等安全問題，分析和判斷異常流量、病毒或攻擊類型（例如 SQL、 Slammer 等大量占用鏈路資源的蠕蟲病毒攻擊）。在部署異常流量監(jiān)測系統(tǒng)的同時，還可以將異常流量智能過濾系統(tǒng)納入其中，在發(fā)現(xiàn)異常流量的同時，采取必要的防護(hù)和過濾手段，提高響應(yīng)速度。 SP IS 安全 解決方案 Peakflow SP IS 是 Arbor Networks 為運(yùn)營商度身定做的一套異常流量智能監(jiān)測系統(tǒng)。該系統(tǒng)采用 Netflow 分析技術(shù)和專利性的技術(shù)手段，積極主動地檢測和追蹤網(wǎng)絡(luò)范圍的異常現(xiàn) 象，如：分布式拒絕服務(wù)攻擊（ DDoS）和蠕蟲。 能為網(wǎng)絡(luò)維護(hù)人員在網(wǎng)絡(luò)還沒受影響，服務(wù)還沒發(fā)生問題和用戶還沒投訴前提供快速提供這些安全威脅所需的信息資料，為維護(hù)基礎(chǔ)網(wǎng)絡(luò)安全提供有效的幫助。 Peakflow SP IS 系統(tǒng)采用二層分布式結(jié)構(gòu)，分為控制器（ Controller）和采集器（ Collector）兩種模式，采集器（ collector）負(fù)責(zé)收集各被監(jiān)測設(shè)備的流量數(shù)據(jù)，對收集的流量數(shù)據(jù)做本地分析處理；控制器（ Controller）能夠?qū)⑺胁杉O(shè)備的數(shù)據(jù)進(jìn)行統(tǒng)一的匯總、處理和關(guān)聯(lián)分析，單臺控制器（ Controller）能夠?qū)崿F(xiàn)控制器（ Controller）和采集器（ collector）兩種功能；用戶可以通過一個統(tǒng)一的WEB 界面了解所有的數(shù)據(jù)分析結(jié)果，并管理系統(tǒng)內(nèi)部所有設(shè)備。 如下圖所示： Peakflow SP IS 系統(tǒng)無需與被檢測網(wǎng)絡(luò)設(shè)備直連，只需路由可達(dá)，就能夠?qū)崿F(xiàn)對被監(jiān)控的流量分析以及監(jiān)測。由于系統(tǒng)采用旁路監(jiān)測手段，避免了鏈路單點(diǎn)故障的可能性，從而對整個網(wǎng)絡(luò)的穩(wěn)定運(yùn)行的不會造成任何安全隱患。 Peakflow SP IS 主要通過以下三種專利技術(shù)對異常流量進(jìn)行智能監(jiān)測： ? 基線監(jiān)測技術(shù) Peakflow SP IS 通過經(jīng)常對網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行采樣來建立不同網(wǎng)絡(luò)區(qū)域典型流量模式的動態(tài)基線。進(jìn)一步通過對動態(tài)基線和實(shí)時網(wǎng)絡(luò)行為進(jìn)行比較，Peakflow SP IS 有能力發(fā)現(xiàn)網(wǎng)絡(luò)各類異常現(xiàn)象（包括新型攻擊和病毒類型）的安全威脅。 ? 服務(wù)濫用檢測技術(shù) 對網(wǎng)絡(luò)中常見的 DDoS/DoS 攻擊和濫用（ ICMP Flood/TCP NULL/TCP SYN Flood/TCP RST/IP NULL/IP Fragment/IP Private 等）即使在流量相對不大的情況下，進(jìn)行發(fā)現(xiàn)、記錄和報警。 ? 特征碼監(jiān)測技術(shù) 建立異常 流量特征庫，針對網(wǎng)絡(luò)中所有流量進(jìn)行過濾，對符合特征碼定義的病毒以及攻擊的流量行為進(jìn)行捕捉，如：各類擴(kuò)散性的蠕蟲病毒。并提供持續(xù)的 特征庫升級，以保障用戶不斷了解互聯(lián)網(wǎng)中流行的網(wǎng)絡(luò)威脅，并不斷完善系統(tǒng)的監(jiān)測機(jī)制。 Peakflow SP IS 通過“監(jiān)測” — “識別” — “分析” — “定位”等一系列流線化技術(shù)手段，準(zhǔn)確的為電信運(yùn)營商提供網(wǎng)絡(luò)內(nèi)部 80％～ 90％的異常流量（已知或未知）的監(jiān)測分析報告，并提供多類型緩解防范措施（過濾、限速、路由黑洞或與第三方過濾產(chǎn)品聯(lián)動等），阻斷攻擊源，保護(hù)攻擊目標(biāo)，防治病毒擴(kuò)散，維護(hù)整個基礎(chǔ)網(wǎng)絡(luò)的安全。 異常流量的監(jiān)測與控制解決方案 為真正實(shí)現(xiàn)對網(wǎng)絡(luò)中異常流量的監(jiān)測與控制， 提高應(yīng)急響應(yīng)的效率和自動化程度， 電信運(yùn)營商在部署異常流量監(jiān)測系統(tǒng)的基礎(chǔ)上， 還 需 部署 智能 流量過濾系統(tǒng)TMS，與異常流量監(jiān)測系統(tǒng)進(jìn)行聯(lián)動 ，對用戶重點(diǎn)關(guān)心的網(wǎng)段或大客戶實(shí)現(xiàn)特殊保護(hù)。 一旦發(fā)現(xiàn)有異常流量 行為 ，立即將異常流量引入 智能流量過濾系統(tǒng) TMS 進(jìn)行“清洗”，以保護(hù)重要系統(tǒng)或重要客戶網(wǎng)絡(luò)資源，降低異常流量對這些系統(tǒng)的沖擊 。 如下圖所示： “異常流量監(jiān)測系統(tǒng) IS”與“智能 流量過濾系統(tǒng) TMS”相配合共同對網(wǎng)絡(luò)流量的異常行為進(jìn)行監(jiān)測與控制的具體過程如下： 1) 由“異常流量監(jiān)測系統(tǒng)”實(shí)時的對全網(wǎng)流量進(jìn)行監(jiān)測； 2) “異常流量監(jiān)測系統(tǒng)”一旦發(fā)現(xiàn)異常流量事件，準(zhǔn)確的對該異常流量進(jìn)行定位，用戶可選擇使用“智能流量過濾系統(tǒng) TMS”進(jìn)行過濾； 3) “異常流量監(jiān)測系統(tǒng)”觸發(fā)“智能流量過濾系統(tǒng) TMS”的保護(hù)機(jī)制； 4) “智能流量過濾系統(tǒng) TMS”根據(jù)預(yù)先設(shè)定保護(hù)機(jī)制，向目標(biāo)路由器發(fā)送流量轉(zhuǎn)移路由策略，將該“異常流量”引至“ 智能流量過濾系統(tǒng) TMS”之中； 5) “ 智能流量過濾系統(tǒng) TMS”智 能對引入的流量進(jìn)行分析與識別，智能過濾所有攻擊或病毒流量； 6) 過濾后的“干凈”流量從“ 智能流量過濾系統(tǒng) TMS”出來，繼續(xù)對目標(biāo)網(wǎng)絡(luò)進(jìn)行正常訪問。 如下圖所示： 從上述過程中我們可以看出，“異常流量監(jiān)測系統(tǒng)”主要負(fù)責(zé)對全網(wǎng)流量進(jìn)行實(shí)時的監(jiān)測，而平時“ 智能流量過濾系統(tǒng) TMS”在“和平”時期沒有任何負(fù)載，可對用戶網(wǎng)絡(luò)多個區(qū)域進(jìn)行保護(hù)，實(shí)現(xiàn)設(shè)備的復(fù)用，提高“ 智能流量過濾系統(tǒng) TMS”的利用率，節(jié)省投資。一旦發(fā)現(xiàn)“異常流量”，兩套系統(tǒng)間可實(shí)現(xiàn)聯(lián)動，準(zhǔn)確的將異常流量進(jìn)行引導(dǎo)?！?智能流量過濾系統(tǒng) TMS”利用先進(jìn) 的異常識別引擎、動態(tài)過濾和主動核查技術(shù)，能夠快速、自動防范各類攻擊行為，甚至包括以前從未出現(xiàn)過 的“第零天”攻擊；借助協(xié)議分析和速率限制特性等手段，對非法流量成分進(jìn)行過濾或限速，只允許合法流量通過，從而有效的保護(hù)“攻擊目標(biāo)”的網(wǎng)絡(luò)安全。 第六章 Arbor Peakflow 產(chǎn)品介紹 for se r v ice pr ov ider s Arbor Peakflow SP平臺和解決方案是為電信服務(wù)運(yùn)營商的網(wǎng)絡(luò)而設(shè)計，特別用來幫助運(yùn)營商對全網(wǎng)絡(luò)流量實(shí)現(xiàn)測量，并通過圖像化展現(xiàn)，從而有效的保護(hù)他們的網(wǎng)絡(luò)。通過 Peakflow SP 系統(tǒng)對整個網(wǎng)絡(luò)流量的分析處理 ，運(yùn)營商能夠得到網(wǎng)絡(luò)內(nèi)部用戶和業(yè)務(wù)流量行為的特征以及變化，及時有效的調(diào)整網(wǎng)絡(luò)運(yùn)行目標(biāo)。不僅能夠降低運(yùn)營費(fèi)用，而且為骨干網(wǎng)絡(luò)提供更好的安全性、穩(wěn)定性和可用性，令運(yùn)營商能夠提供有別于其他競爭者的優(yōu)良服務(wù)。 Arbor Peakflow SP系統(tǒng) 采用 Netflow分析技術(shù)， 系統(tǒng) 無需與被檢測網(wǎng)絡(luò)設(shè)備直連，只需路由可達(dá)，就能夠?qū)崿F(xiàn)對被監(jiān)控的流量分析以及監(jiān)測。由于系統(tǒng)采用旁路監(jiān)測手段，避免了鏈路單點(diǎn)故障的可能性，從而對整個網(wǎng)絡(luò)的穩(wěn)定運(yùn)行的不會造成任何安全隱患。 Arbor Peakflow SP系統(tǒng) 采用二層分布式結(jié) 構(gòu)，分為 控制器（ Controller） 和 采集器（ Collector） 兩種模式，采集器 （ collector）負(fù)責(zé)收集各被監(jiān)測設(shè)備的流量數(shù)據(jù)，對收集的流量數(shù)據(jù)做本地分析處理；控制器 （ Controller）能夠?qū)⑺胁杉O(shè)備 的數(shù)據(jù)進(jìn)行統(tǒng)一的匯總、處理和關(guān)聯(lián)分析，單臺控制器 （ Controller） 能夠?qū)崿F(xiàn)控制器（ Controller） 和采集器 （ collector）兩種功能； 用戶可以通過一個統(tǒng)一的 WEB界面了解 所有的數(shù)據(jù)分析結(jié)果，并管理系統(tǒng)內(nèi)部所有設(shè)備 。 Peakflow SP CP 產(chǎn)品功能介紹 ： － 目前部署 1） Peakflow SP TR（ Traffic amp。 Routing） 建立網(wǎng)絡(luò)流量模型，幫助網(wǎng)管人員了解網(wǎng)絡(luò)內(nèi)部流量流向， Transit流量， PEER流量以及大客戶流量。 Peakflow SP TR主要面向的用戶為電信運(yùn)營商的網(wǎng)管運(yùn)維人員，他們可通過Peakflow SP TR的流量分析功能重點(diǎn)分析網(wǎng)絡(luò)中各類流量的流量大小、流向以及流量成份，提供業(yè)務(wù)流量的流向、業(yè)務(wù)的特點(diǎn)、熱點(diǎn)業(yè)務(wù)和熱點(diǎn)應(yīng)用地區(qū)等重要參數(shù)，為網(wǎng)絡(luò)的運(yùn)營維護(hù)和業(yè)務(wù)發(fā)展、以及網(wǎng)絡(luò)的擴(kuò)容提供重要的參考數(shù)據(jù)。 ? 提供全網(wǎng) 流量分析狀況 以及網(wǎng)絡(luò)中的應(yīng)用情況的 實(shí)時匯報 ，幫助運(yùn)營商把握整體的網(wǎng)絡(luò)流量行為情況。 ? 同 BGP 路由相關(guān)聯(lián)的流量分析可更加精確的分析網(wǎng)絡(luò)中業(yè)務(wù)的出網(wǎng)國內(nèi)、國際流量情況。實(shí)時提供骨干網(wǎng)以及下一級網(wǎng)絡(luò)同外部運(yùn)營商 (國內(nèi) /國際運(yùn)營商 )之間的流量交換情況，幫助運(yùn)營商實(shí)現(xiàn)網(wǎng)間和網(wǎng)內(nèi)的流量成本統(tǒng)計。 ? 實(shí)時提供網(wǎng)絡(luò)中熱點(diǎn)應(yīng)用分析，幫助運(yùn)營商掌握網(wǎng)絡(luò)的各類業(yè)務(wù)應(yīng)用的狀況。 ? 從網(wǎng)絡(luò)、路由器、路由器接口、用戶以及特殊流量等多個網(wǎng)絡(luò)視角對整體流量模型進(jìn)行分別闡述，從而為運(yùn)營商提供多種類型的流量分析報告。 ? 提供網(wǎng)絡(luò)中熱點(diǎn)應(yīng)用的流向特征和源頭分析，幫助運(yùn)營商找到應(yīng)用特征 和熱點(diǎn)地區(qū)，有助于運(yùn)營商的應(yīng)用發(fā)展決策，提高用戶服務(wù)。 ? 實(shí)時提供網(wǎng)絡(luò)中基于大型用戶的流量流向和業(yè)務(wù)分析，幫助運(yùn)營商掌握大型用戶流量的業(yè)務(wù)特征和行為。以便根據(jù)用戶的要求提供更加優(yōu)質(zhì)的服務(wù)。 ? 提供網(wǎng)絡(luò)中流量到各個網(wǎng)絡(luò)設(shè)備以端口間的流量流向分析，可為運(yùn)營商下一步的網(wǎng)絡(luò)擴(kuò)容及優(yōu)化提供良好的數(shù)據(jù)依據(jù)。 2） Peakflow SP IS（ Infrastructure Security） 發(fā)現(xiàn)、檢測網(wǎng)絡(luò)內(nèi)部異常流量以及攻擊，減輕異常流量對網(wǎng)絡(luò)的影響。 Peakflow SP IS 產(chǎn)品主要用戶為電信運(yùn)營商的網(wǎng)絡(luò)管理和維護(hù)人 員，產(chǎn)品主要分析網(wǎng)絡(luò)中存在的異常流量和行為攻擊，主要作為骨干網(wǎng)的安全產(chǎn)品。分析的異常流量和攻擊行為包括：網(wǎng)絡(luò)病毒 /蠕蟲病毒，針對網(wǎng)絡(luò)的 DDOS 攻擊，潛在可造成危害的未知異常病毒等。 Peakflow SP IS 產(chǎn)品在骨干網(wǎng)范圍內(nèi)對對整個網(wǎng)絡(luò)的流量行為進(jìn)行監(jiān)控，捕捉網(wǎng)絡(luò)病毒 /蠕蟲 /攻擊事件并加以深入分析和追蹤，功能上與 Firewall、 IDS 不同，性能上優(yōu)于各類傳統(tǒng)安全產(chǎn)品。 Arbor 網(wǎng)絡(luò)安全解決方案是一個針對骨干網(wǎng)絡(luò)的安 全解決方案，通過與其他安全產(chǎn)品的配合可真正實(shí)現(xiàn)對網(wǎng)絡(luò)骨干網(wǎng)、骨干設(shè)備以及局域網(wǎng)的安全防護(hù) 。 ? 通過網(wǎng)絡(luò)中正常流量的特征進(jìn)行分析，發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的異常行為和流量隱患。 簡化、自動、科學(xué)的分析方法追蹤蠕蟲病毒和攻擊行為等異常行為 ，通過科學(xué)的數(shù)學(xué)算法可簡化快速的隊擴(kuò)散型病毒和攻擊事件進(jìn)行追蹤和發(fā)現(xiàn)，并減少誤報的可能。 ? 通過獨(dú)特的流量行為特征分析可分析網(wǎng)絡(luò)中存在的病毒，如擴(kuò)散性的蠕蟲。 ? 可通過流量行為特征分析骨干網(wǎng)絡(luò)中存在的 DDOS 攻擊。 ? 通過特有的 ATF 以及 fingerprint 技術(shù)可以分析網(wǎng)絡(luò)中存在的已知病毒（ fingerprint 數(shù)據(jù)庫同全球 18 家大型運(yùn)營商同步），并可經(jīng)常更新，確保網(wǎng)管人員可獲 得第一手的其他運(yùn)營商的安全經(jīng)驗(yàn)，在病毒或攻擊尚未發(fā)生前就能夠采取相應(yīng)措施。 ? 能夠提供 詳細(xì)的異常流量行為分析報告， 包括嚴(yán)重程度、起 /止時間、持續(xù)時間、異常類型、出 /入網(wǎng)方向、源 /目的地址、協(xié)議號、源 /目的端口、 TCP flag 信息、包大小、攻擊入 /出的設(shè)備端口，影響 的網(wǎng)絡(luò)設(shè)備 、攻擊流量的統(tǒng)計圖、平均速率、最大速率等信息。 ? 系統(tǒng)能夠鑒定針對運(yùn)營商網(wǎng)絡(luò) 的 異常行為 進(jìn)入網(wǎng)絡(luò)的 入口 ， 可生成針對病毒以及攻擊的過濾建議，簡化網(wǎng)管人員的工作量，使網(wǎng)管人員能夠快速發(fā)現(xiàn)并進(jìn)行處理。 ? 能夠?qū)崿F(xiàn)對指定大用戶和網(wǎng)絡(luò)中運(yùn)營商較為關(guān)心的 地區(qū)如 IDC 等的安全監(jiān)控和掃描，提供安全報告，保證重要用戶的安全。提高用戶對網(wǎng)絡(luò)質(zhì)量的滿意度。 ? 支持與第三方產(chǎn)品相配合，真正實(shí)現(xiàn)對異常流量的智能過濾。 Arbor Peakflow SP TMS (threat management system) － 今后中期部署 威脅管理 amp?？刂葡到y(tǒng) Arbor Peakflow SP TMS 系統(tǒng) 是一款強(qiáng)大的流量分析 amp?？刂?產(chǎn)品，它能夠基于應(yīng)用層提供 分析能力，并提供 豐富的流量分析報告，并可針對各類異常流量進(jìn)行過 濾和限制 。幫助用戶真正實(shí)現(xiàn)對流量的分析與控制。 TMS 主要 提供兩大功能， 針對 網(wǎng)絡(luò)種各類 安全 威脅以及異常流量 進(jìn)行監(jiān)測，并提供強(qiáng)大的安全過濾功能： ? Bots ? DNS attacks ? DDoS ? Worms ? Phishing ? SPAM ? Spyware ? E