东软网络安全:一场数据与流量的博弈
2009年美国国土安全部发表报告称:2005年共有4095起针对美国政府和私营部门的网络攻击,这一数字2008年已增长至7.2万起。另外一组数据显示,视频网站Youtube在2007年的视频流量已经达到了2000年互联网的总流量。
这两个数据表明,网络越来越容易受到攻击,同时网络流量也在迅猛发展。这对企业而言,需要花费更多的精力放在网络安全和流量方面。
可是,企业该如何做到斩断网络流量的黑手,保护企业网络安全?
针对网络流量滥用的情况,东软将创新成果转化为解决方案,很好的解决了企业所遇到的上述问题。
谁在用网络?
“互联网的应用面临‘倒一九’的局面,即10%的网络资源支撑着90%的利润来源,而剩余的90%资源却被网民、黑客滥用。”东软网络安全产品策划部部长王军民一语道破互联网的流量来源。他用数字举例说,DDoS在2006年的单次攻击峰值为2.5G bps,而2008年则为40G bps;Botnet在中国约有200万。黑客控制了这些僵尸主机,只需轻轻一点击鼠标,普通的网站便会骤然瘫痪。而BT应用、视频流量共占用55%的网络资源。
王军民无不忧心地的说,根据国家计算机网络应急技术处理协调中心的统计,去年,我国网络流量基于80端口的应用竟排在第一的位置,但我们很清楚的知道,基于80端口的流量肯定不仅仅是WEB应用。BT客户端为了避免被封堵端口,完全可以把下载端口改为80,这是非常可怕的事情,如何判断流量的异常成为了主要技术问题。
其实,如果企业能够有效的控制流量的内容,将维持企业正常运作的关键流量合理的保护起来,将与维持企业正常运作无关的流量控制起来,使其对关键业务流量不构成威胁,那么,相信企业就不必再因“无奈”的带宽扩容而花冤枉钱了。
当前大多数企业都有自己的安全防护措施,但为什么传统的安全设备无法充分发挥作用?王军民分析说:“传统的安全设备只能局限于对某一点或一个小的范围来进行控制,这对于一个具有广域网络的大型企业来讲,已经成为了安全防护的瓶颈。如果解决带宽资源非法占用的安全问题必须全面考虑。”他提出以下四个方面的考虑:
1、解决网络安全问题必须从一个“面”上进行整体分析从而有效的采取防御措施;
2、对于所控制的流量,不仅局限于DDos流量,更要能够对应用层协议、未来可能出现的新的异常流量进行识别和阻断;
3、在控制力度上,要做到精细化、智能化,当前常用的带宽控制设备所能执行的动作仅仅简单的做到了permit、deny,并不能结合企业实际的流量变化制定平滑的、实时调整的带宽控制策略;
4、要考虑针对10G乃至上百G的流量的分析与控制策略,这么巨大的带宽资源,仅靠传统的部署与过滤是根本无法实现的。
按照他分析的这种策略来看,只有能够准确的识别全网范围内的流量内容,才可以根据实际情况,采取必要的流量调整策略,从而确保主干链路及关键业务的正常运营。看来,识别业务、分清主次,是对企业流量管理的关键所在。
控制全局流量
那么,东软在这方面是如何做的,方案能否控制流量?
王军民认为,要想做到有效的流量控制,需要从两个方面着手:具备对全网业务流量内容进行检测的能力;具备对可疑流量进行过滤的能力。东软针对流量控制的解决方案充分考虑到这两个方面。
他指着全局流量控制方案示意图(见下图)解释说,网络中的核心路由/交换设备可以通过flow、snmp等技术将流量信息发送至NTARS上来,NTARS负责对复杂的网络进行全面的流量分析,并根据业务流量情况,采取以下措施:将可识别的DDos类攻击直接送到黑洞路由器中丢弃掉;将可疑的、不可识别的流量分流给网络流量净化设备。
据了解,NTARS给用户提供了一个开放式的流量分析平台,这个平台不仅可以与自有产品(网络流量净化系统NTPG)搭配使用,更可以与第三方产品灵活配合工作,例如,可以用思科的guard产品取代NTPG网关、可以将流量分析结果上报SOC平台等等。这也使得NTARS能够在保护用户已有投资的前提下,提升对全网流量控制力度。
据王军民介绍:“除对全网流量监控以外,本方案还考虑到投资收益回报率(ROI)。举例来讲,对于IDC服务商来说,如果能够给每个托管用户提供其服务器的访问流量规律,将大大有利于托管用户了解服务器的载荷情况,并调整cluster以便承载更多的合法流量。这显然是能够带给运营商增值服务的商机。而对于大型企业而言,同样可以让不同的分支机构IT管理者了解自身网络的状况,这种虚拟化的流量管理也最大限度的节省了用户的投资。”
两个关键技术
王军民介绍说,NTARS能够有效的进行全局的流量分析与控制,源于东软的两个核心技术:ICA复合机制和自学习的动态基线调整技术。
ICA复合机制是NTARS系统的技术灵魂。通过ICA的智能调度,NTARS系统能够依据一种机制的输出结果而动态调整其他机制的输入策略,从而在L2~L7各协议层之间、流量图示与网元状态之间进行灵活的检测作业分配,并自动完成异常事件检测与反向抑制指令之间的策略驱动。
王军民认为,ICA复合技术的引入,不仅能够促进 “面-线-点”各层面之间分阶段逐级检测思路的实现,保持高带宽流量分析性能和应用级检测深度的高度统一,同时还提高了系统针对异常流量做出抑制响应动作的时效性和自动化程度,大幅度降低同类其他设备所必需的人工介入负担。
另外一个核心技术是NTARS系统动态基线,这个是由东北大学、东软信息学院和NetEye网络安全实验室持续多年的联合研究成果,实现了多种网络流量趋势预测算法,能够通过对未知特征的网络流量进行一定周期的采样分析后,自动完成对该部分流量的图示建模和基线描述,并持续跟踪实际流量的变化曲率而对基线进行动态调整,从而保证了NTARS系统对于网络流量演变趋势的自学习能力,能够有效避免随机杂波的偶发干扰,显著提高系统检测命中率。
王军民总结说:“东软希望通过不断的技术创新,为广大企业用户提供有效的手段抑制网络风险,提升运营效率,并伴随广大企业用户的持续成长走的更远。”
用户评论