異常流量檢測技術(shù)與功能介紹

2011.2

異常流量檢測與分析

CNCERT/CC總結(jié)近年網(wǎng)絡(luò)攻擊特點1.攻擊組織嚴(yán)密化。網(wǎng)絡(luò)黑客逐步形成了較為嚴(yán)密的組織，并在組織內(nèi)部有明確的分工，從惡意代碼的制作，惡意代碼的散布到最終敏感信息的竊取都有專人來負責(zé)。不同組織之間既有競爭也有合作，網(wǎng)絡(luò)攻擊按照計劃有組織的進行，致使網(wǎng)絡(luò)攻擊的效率有明顯的提高。2.攻擊行為趨利化。網(wǎng)絡(luò)黑客發(fā)動攻擊的目的從最開始的技術(shù)炫耀轉(zhuǎn)向獲得經(jīng)濟利益，網(wǎng)絡(luò)攻擊的針對性和定向性進一步加強，針對商業(yè)競爭對手的攻擊和用于竊取用戶帳號、密碼等敏感數(shù)據(jù)的網(wǎng)絡(luò)攻擊逐步增多，隨著網(wǎng)絡(luò)行為同社會行為聯(lián)系的進一步密切，網(wǎng)絡(luò)攻擊的最終目的越來越多地落在獲取具體的經(jīng)濟利益上。3.攻擊目標(biāo)直接化。網(wǎng)絡(luò)黑客針對攻擊目標(biāo)的特點，設(shè)計特定的攻擊代碼，繞過網(wǎng)絡(luò)防御體系入侵有價值的目標(biāo)主機，或者通過僵尸網(wǎng)絡(luò)對于目標(biāo)發(fā)起直接的大規(guī)模網(wǎng)絡(luò)攻擊，使得針對特定目標(biāo)的網(wǎng)絡(luò)攻擊具有更大的威脅和破壞性。ChinaNET網(wǎng)絡(luò)中DDOS攻擊特點（1）ChinaNET網(wǎng)絡(luò)中DDOS攻擊情況ChinaNET網(wǎng)絡(luò)中存在大量的DDOS攻擊大部分攻擊為各省網(wǎng)間的攻擊從8月1日到8月8日，系統(tǒng)記錄共1218個IP地址受到不同程度、不同頻度的攻擊很多DDOS攻擊已經(jīng)達到較大的規(guī)模，很多DDOS攻擊的峰值流量達到400－500Mbps，最大的攻擊流量達到10Gbps攻擊來源主要來自電信各地IDC的服務(wù)器大量的IDC服務(wù)器被黑客控制IDC服務(wù)器的特點擁有良好的網(wǎng)絡(luò)資源長期在線缺乏維護和安全防護ChinaNET網(wǎng)絡(luò)中DDOS攻擊特點（2）DDOS攻擊的行為分析專業(yè)的黑客行為攻擊的目的為敲詐或受競爭對手雇傭DDOS攻擊對網(wǎng)絡(luò)的影響占用大量網(wǎng)絡(luò)帶寬，包括國際、互聯(lián)互通等網(wǎng)絡(luò)帶寬攻擊一旦針對網(wǎng)絡(luò)設(shè)備，后果將非常嚴(yán)重DDOS攻擊對用戶的影響DDOS攻擊嚴(yán)重占用了用戶的帶寬DDOS攻擊造成用戶服務(wù)器癱瘓，無法在攻擊發(fā)生時提供服務(wù)DDOS攻擊對用戶的互聯(lián)網(wǎng)業(yè)務(wù)開展造成了很大的影響用戶目前大多沒有防范攻擊的能力和手段各省網(wǎng)入方向DDOS攻擊排名*統(tǒng)計時間：8月1日－8月8日各省網(wǎng)入方向DDOS攻擊排名*統(tǒng)計時間：8月1日－8月8日各省網(wǎng)出方向DDOS攻擊排名*統(tǒng)計時間：8月1日－8月8日各省網(wǎng)出方向DDOS攻擊排名*統(tǒng)計時間：8月1日－8月8日異常流量攻擊地址TOP10情況統(tǒng)計本次統(tǒng)計到的4902次異常流量攻擊，共分布在1218個目標(biāo)IP地址上。所有被攻擊地址按攻擊次數(shù)排名的TOP10情況如下表（其中最嚴(yán)重的攻擊目標(biāo)為sina）：*統(tǒng)計時間：8月1日－8月8日系統(tǒng)能力具備發(fā)現(xiàn)網(wǎng)絡(luò)中各種DDOS攻擊的能力具備防范網(wǎng)絡(luò)中各種DDOS攻擊的能力防范針對北京電信網(wǎng)絡(luò)和系統(tǒng)的DDOS攻擊為大客戶提供DDOS防范服務(wù)為市場人員提供潛在用戶的信息Netflow技術(shù)介紹Cisco提出的基于路由器的流量分析技術(shù)目前路由器支持的唯一流量分析方式支持的廠家Cisco/Juniper/Foundry/Alcatel/華為等IETF標(biāo)準(zhǔn)IPFIX(InternetProtocolFlowInformationeXport)RFC3917RFC3955分析內(nèi)容IP地址/協(xié)議類型/應(yīng)用/端口/包長Tcpflag/ASN/TOS…Netflow與SNMP技術(shù)的對比Netflow與串接/分光系統(tǒng)對比Netflow1－4層流量分析沒有端口速率限制不影響網(wǎng)絡(luò)的運行分析流量大準(zhǔn)確性差（抽樣、假冒）分析的結(jié)果有限匯聚層/核心層在核心網(wǎng)絡(luò)部屬成本低正在標(biāo)準(zhǔn)化，不斷發(fā)展串接/分光1－7層流量分析固定端口類型，通常GE影響網(wǎng)絡(luò)運行和性能性能有限準(zhǔn)確性高分析內(nèi)容完善接入層/關(guān)鍵業(yè)務(wù)網(wǎng)段在核心網(wǎng)絡(luò)部屬成本高將會被下一代路由器取代異常流量檢測系統(tǒng)功能異常流量檢測異常流量告警異常流量分析異常流量防范異常流量記錄異常流量檢測能夠針對網(wǎng)絡(luò)流量的目標(biāo)地址按照異常流量的特點進行檢測，從網(wǎng)絡(luò)中的流量中檢測出異常流量能夠檢測網(wǎng)絡(luò)中常見的DDOS攻擊，包括：TCPSYN、ICMP、TCPRST、Fragment、IPPrivate、IPNULL、TCPNULL對于系統(tǒng)未知的其它DDOS攻擊，系統(tǒng)能夠通過IP地址、端口、應(yīng)用、TCPFlag、ICMPTYPE等流量特征等進行定義，并產(chǎn)生Fingerprint（指紋）。系統(tǒng)能夠?qū)ingerprint下發(fā)到系統(tǒng)內(nèi)的所有采集器，并由采集器根據(jù)Fingerprint的定義對網(wǎng)絡(luò)中的異常流量進行分析和檢測能夠?qū)某怯蚓W(wǎng)中多個節(jié)點進入城域網(wǎng)的針對同一目的地址的DDOS攻擊進行統(tǒng)一的關(guān)聯(lián)檢測異常流量告警系統(tǒng)應(yīng)能設(shè)置告警的閥值，包括告警的觸發(fā)時間、觸發(fā)門限等，只有滿足條件的的異常流量才會產(chǎn)生報警。系統(tǒng)能夠針對不同的告警類型和系統(tǒng)監(jiān)控的不同對象定義不同的閥值系統(tǒng)能夠判斷異常流量的類型、嚴(yán)重程度、流量和攻擊目標(biāo)IP在系統(tǒng)中直觀地用醒目的顏色（不同的風(fēng)險等級用不同的顏色）進行告警系統(tǒng)應(yīng)能對城域網(wǎng)大客戶的流量進行分析和告警，并能夠針對每個用戶設(shè)置不同的閥值告警信息的內(nèi)容包括異常流量告警ID、告警開始時間、持續(xù)時間、嚴(yán)重程度、告警類型、異常流量源IP地址及屬地、異常流量目的IP地址及屬地、異常流量速率（BPS/PPS）、異常流量經(jīng)過的路由器端口等信息系統(tǒng)能夠通過SNMPTRAP、syslog、Email等方式將告警信息通知網(wǎng)管人員異常流量分析系統(tǒng)能判斷異常流量的類型系統(tǒng)能判斷異常流量的來源和目的系統(tǒng)能記錄異常流量途徑各網(wǎng)絡(luò)設(shè)備的端口情況系統(tǒng)能記錄異常流量的速率和流量變化情況系統(tǒng)能記錄異常流量的包特征（包長、TCPFlag等）系統(tǒng)能記錄異常流量的起始和結(jié)束時間系統(tǒng)能進行關(guān)聯(lián)分析異常流量過濾訪問控制列表（ACL）帶寬限制（CAR）黑洞路由（BlackholeRouting）FlowSpecification（Juniper）與流量過濾設(shè)備配合，對流量進行智能過濾蠕蟲流量分析用戶可以根據(jù)蠕蟲病毒的特征和變化定義多種蠕蟲病毒系統(tǒng)能分析各種蠕蟲病毒的總體情況系統(tǒng)能發(fā)現(xiàn)感染每種蠕蟲病毒的IP地址系統(tǒng)能發(fā)現(xiàn)蠕蟲病毒經(jīng)各網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)情況和對網(wǎng)絡(luò)資源的占用情況系統(tǒng)能發(fā)現(xiàn)每個大客戶感染蠕蟲病毒的情況歷史告警查詢功能查詢類別告警ID嚴(yán)重程度持續(xù)時間開始時間/結(jié)束時間告警類型地址段路由器/Peer/Customer/Profile方向歷史告警的管理大客戶異常流量分析系統(tǒng)能對大客戶的異常流量進行告警、分析和記錄系統(tǒng)能對設(shè)置大客戶的異常流量告警閥值系統(tǒng)能查詢大客戶的異常流量歷史統(tǒng)計情況系統(tǒng)能監(jiān)控大客戶感染蠕蟲病毒的情況系統(tǒng)能對針對大客戶的異常流量進行防范Fingerprint（指紋）技術(shù)Fingerprint特點用FCAP語句定義Fingerprint對符合Fingerprint特征的流量進行過濾和告警適應(yīng)網(wǎng)絡(luò)中不斷發(fā)生的新病毒和攻擊Fingerprint添加系統(tǒng)可根據(jù)捕捉到的DDOS攻擊或病毒信息自動生成fingerprint可通過網(wǎng)管人員的經(jīng)驗來手工添加病毒信息同步全球FingerprintServer根據(jù)ATF自動生成系統(tǒng)狀態(tài)流量分析設(shè)備運行情況各臺設(shè)備的CPU/Memory/Disk/Flow/SerialNumber路由器情況路由器CPU/Memory/Flow路由器端口情況端口描述/端口類型/端口流量（SNMP）系統(tǒng)日志Netflow/SNMP結(jié)果對比系統(tǒng)其它功能路由器端口自動分類數(shù)據(jù)備份/數(shù)據(jù)恢復(fù)配置備份/回退/保存Radius/Tacacs+認證SNMPTrap/syslog/Email告警通知32種用戶管理權(quán)限自由組合字典功能（應(yīng)用/AS/TOS）在線幫助城域網(wǎng)內(nèi)DDOS攻擊特點和分類攻擊分類：城域網(wǎng)內(nèi)發(fā)起的針對城域網(wǎng)外的DDoS攻擊城域網(wǎng)外發(fā)起的針對城域網(wǎng)用戶的DDoS攻擊防御策略出城域網(wǎng)異常流量防御策略入城域網(wǎng)異常流量防御策略出城域網(wǎng)異常流量防御策略訪問控制列表（ACL）帶寬限制（CAR）黑洞路由（BlackholeRouting）FlowSpecification入城域網(wǎng)異常流量防御策略過濾異常流量的同時保障正常業(yè)務(wù)及時對異常流量進行檢測和過濾異常流量檢測系統(tǒng)和異常流量過濾系統(tǒng)的配合流程由異常流量檢測系統(tǒng)實時的對全網(wǎng)流量進行監(jiān)測異常流量檢測系統(tǒng)一旦發(fā)現(xiàn)異常流量事件，準(zhǔn)確的對該異常流量進行定位，用戶可選擇使用智能流量過濾系統(tǒng)進行過濾異常流量監(jiān)測系統(tǒng)觸發(fā)智能流量過濾系統(tǒng)的保護機制智能流量過濾系統(tǒng)根據(jù)預(yù)先設(shè)定保護機制，向目標(biāo)路由器發(fā)送流量轉(zhuǎn)移路由策略，將該異常流量引至智能流量過濾系統(tǒng)之中智能流量過濾系統(tǒng)智能對引入的流量進行分析與識別，智能過濾所有攻擊或病毒流量過濾后的干凈流量從智能流量過濾系統(tǒng)出來，繼續(xù)對目標(biāo)網(wǎng)絡(luò)進行正常訪問系統(tǒng)閥值序號名稱觸發(fā)閥值嚴(yán)重閥值1TCPSYN10Kpps20Kpps2TCPRST5Kpps10Kpps3IPPrivate5Kpps10Kpps4ICMP5Kpps10Kpps5TCPNULL1Kpps2Kpps6IPNULL1Kpps2Kpps7Fragement1Kpps2Kpps告警時延：2分鐘城域網(wǎng)入方向攻擊統(tǒng)計高級報警中級告警初級告警TCPSYN42616TCPRST141031IPPRIVATE16112FRAGMENT525ICMP323TCPNULL100IPNULL000*統(tǒng)計時間：7月4日－7月8日城域網(wǎng)出方向攻擊統(tǒng)計高級報警中級告警初級告警TCPSYN431428TCPRST3112IPPRIVATE000FRAGMENT434ICMP128TCPNULL001IPNULL004*統(tǒng)計時間：7月4日－7月8日城域網(wǎng)發(fā)起去其它運營商攻擊統(tǒng)計（一）高級報警中級告警初級告警廣東22320浙江12312江蘇8214湖南7210安徽1510上海433重慶1010福建205*統(tǒng)計時間：7月2日－7月8日城域網(wǎng)發(fā)起去其它運營商攻擊統(tǒng)計（二）高級報警中級告警初級告警四川300江西200黑龍江200新疆201山東102湖北011陜西011海南002*統(tǒng)計時間：7月2日－7月8日城域網(wǎng)發(fā)起去其它運營商攻擊統(tǒng)計（三）高級報警中級告警初級告警甘肅001云南001網(wǎng)通101聯(lián)通100*統(tǒng)計時間：7月2日－7月8日DDOS攻擊時長統(tǒng)計攻擊持續(xù)時間數(shù)量比率10分鐘以上15734%30分鐘以上6815%1小時以上378%2小時以上174%5小時以上82%12小時以上51%24小時以上30.6%全部攻擊468DDOS攻擊嚴(yán)重程度統(tǒng)計>2.5倍>5倍>10倍TCPSYN763311TCPRST211IPPRIVATE972FRAGMENT631ICMP443TCPNULL111IPNULL000DDOS攻擊統(tǒng)計分析DDOS攻擊類型TCPSYN攻擊占全部攻擊的50％左右嚴(yán)重攻擊的類型主要為TCPSYN和ICMP攻擊DDOS攻擊方向入城域網(wǎng)DDOS攻擊的數(shù)量和流量遠大于出城域網(wǎng)DDOS攻擊入城域網(wǎng)的DDOS攻擊對用戶和網(wǎng)絡(luò)的危害較大，最嚴(yán)重的攻擊流量峰值速率超過600Mbps出城域網(wǎng)的攻擊流量不大（峰值速率一般不超過50Mbps）DDOS攻擊持續(xù)時間DDOS攻擊的持續(xù)時間通常在1小時之內(nèi)，很多攻擊的持續(xù)時間只有幾分鐘DDOS攻擊數(shù)量城域網(wǎng)中存在大量的DDOS攻擊每天的DDOS攻擊數(shù)量在50－100個城域網(wǎng)DDOS攻擊情況總結(jié)（1）網(wǎng)絡(luò)異常流量現(xiàn)狀網(wǎng)絡(luò)中存在大量的DDOS攻擊入網(wǎng)DDOS攻擊遠多于出網(wǎng)DDOS攻擊主要的DDOS攻擊類型為TCPSYN攻擊峰值大于100Mbps（約250Kpps）的大規(guī)模DDOS攻擊大量存在異常流量的危害通過攻擊和大量占用帶寬造成對攻擊目標(biāo)的影響大量垃圾流量占用網(wǎng)絡(luò)帶寬，可能擁塞網(wǎng)絡(luò)一旦攻擊針對網(wǎng)絡(luò)設(shè)備，可能導(dǎo)致網(wǎng)絡(luò)癱瘓城域網(wǎng)DDOS攻擊情況總結(jié)（2）異常流量監(jiān)測通過ArborPeakflowSPIS能夠及時、準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)中的各種DDOS攻擊能夠發(fā)現(xiàn)攻擊進入城域網(wǎng)的源頭，并對攻擊進行記錄和分析通過閥值可以調(diào)整對DDOS攻擊監(jiān)控的粒度攻擊防范的困難攻擊持續(xù)時間短（快速告警、快速響應(yīng)）必須在過濾異常流量的情況下保護正常流量攻擊防范建議建立完善的異常流量告警、過濾系統(tǒng)建立完善的異常流量快速處理流程和管理制度針對入、出城域網(wǎng)異常流量采用不同處理方式異常流量系統(tǒng)的告警與網(wǎng)管系統(tǒng)的告警模塊相結(jié)合加強對攻擊源的處理和打擊，減少異常流量發(fā)生的可能集中管理分布部署架構(gòu)架構(gòu)與流程：1.路由器發(fā)送Flow到流量采集器（橙色線條）2.采集器收集流量信息3.采集器將流量信息匯聚發(fā)送到分析控制器（藍色線條）4.分析控制器進行分析管理操作流量分析與異常流量檢測系統(tǒng)操作在瀏覽器中輸入系統(tǒng)IP地址進行登錄異常流量告警在狀態(tài)>匯總信息中可查看當(dāng)前正