運營商網絡流量監測溯源分析解決方案

隨著全業務競爭的展開，中國移動在增值應用、信息服務領域以及Internet接入方面進行了穩步擴展。而越來越多的網絡威脅已經嚴重影響了移動客戶的安全。為保證客戶數據、公司資料的安全性，提高服務質量，對CMNET安全系統檢測溯源能力提升是十分必要的。

在上述背景和需求下，某省移動需整合現有的CMNET安全防護手段，形成一套完善的CMNET防護體系，實現對CMNET網可監、可控、可溯源的全方位的防護能力，進一步提高網絡安全水平，以減少網絡威脅造成的損失。

隨著網絡技術的飛速發展，越來越多的傳統運作方式正在被低耗、開放、高效的分布式網絡應用所替代，網絡已經成為人們日常生活中不可缺少的一部分。但是，隨之而來基于網絡的計算機攻擊也愈演愈烈，攻擊者利用網絡的快速和廣泛的互聯性，使傳統意義上的安全措施基本喪失作用，嚴重威脅著社會和國家的安全；而且網絡攻擊者大都使用偽造的IP地址，使被攻擊者很難確定攻擊的位置，從而不能實施有針對性地防護策略。

這些都使得逆向追蹤攻擊源的追蹤技術成為網絡主動防御體系中的重要一環，它對于最小化攻擊的當前效果、威懾潛在的網絡攻擊都有著至關重要的作用。

中新網安采用基于大數據技術網絡安全事件分析的統一安全防護平臺架構，采集各類子系統flow流量和日志，通過萬兆交換機將數據分析內容傳輸至大數據分析及存儲系統。采集范圍包括：各類子系統關鍵網絡匯聚節點流量、攻擊檢測設備的日志、統一流量檢測平臺中的異常流量攻擊信息等關鍵數據傳送至大數據分析及存儲系統，通過針對攻擊事件類型、IP地址等特征進行關聯檢索分析，從不同緯度呈現當前網絡各類安全事件狀態。

通過采集分析實現對網絡安全事件的分析檢測后，實現對檢測發現安全事件的處置——將流量清洗系統、入侵防御等具體安全事件處理模塊加入處置流程，對于發現的網絡安全事件，根據事件類型向流量清洗系統或入侵防御系統發送處置指令，并跟蹤處置過程及處理結果。

通過整體方案為用戶提供CMNET統一安全防護能力，包括CMNET整體安全事態感知、CMNET網絡安全攻擊數據溯源、CMNET攻擊源分析、策略執行中心、安全漏洞管理、威脅預警、異常行為分析、通用報表功能、通用管理功能九大功能。

客戶價值

• 綜合展示統一安全防護平臺整體風險狀態，有助于了解CMNET整體安全水平，形成風險趨勢，并與后臺數據進行對接；

• 發布網內資產視角的實施違規行為；

• 發布最新被控主機列表，并給出詳細連接信息；

• 查看風險詳情詳細風險統計及趨勢分析，進行異常事件管理、安全通告管理；

• 從流量分析系統接收DDOS攻擊的結果，并根據結果中的DDOS攻擊的目的地址和起始/結束時間，對接收的

  netflow原始數據進行過濾和存儲，并對DDOS攻擊進行詳細的分析，根據攻擊的目的地址和起始時間結束

  時間，在全部netflow原始數據中查詢符合條件的攻擊流量并進行分析，統計全部攻擊原始數據；

在攻擊過程中，從流量的占比視角來看，溯源的攻擊類型，如：DDoS攻擊，Web類、軟件漏洞攻擊、以及其他任何觸發規則的攻擊，針對每個攻擊，系統能夠根據省網/城域網路由器端口統計每個運營商/省網/城域網的攻擊流量，并計算每個IP地址/C類網段的發包數量、總字節數、起始時間、結束時間、bps和pps，并按運營商/省網/城域網進行分類；

根據大數據平臺的各類模型算法，從接收流量開始，即開始進行風險的大規模分析和預警，采用以事件化分析的方法，把復雜的攻擊細節簡單化，智能判斷攻擊是否成功，可視化清晰還原出攻擊者的攻擊過程，以攻擊手法為依據，對攻擊者進行判斷；基于攻擊行為規則庫的深度檢測把攻擊者所有可能的攻擊方法進行總結，采用廣譜加智能匹配算法相結合，增加檢測率的同時降低了誤報率，采用流量雙向檢測技術，自動識別攻擊是否成功；

根據攻擊者的攻擊路線，分析出存在的安全問題，通過對攻擊行為的進行數學建模分析，總結了大量攻擊模型，攻擊者很難繞過檢測，比如異常流量模型，文件異常訪問模型等，而與此同時可根據算法再次進行弱點強化；

利用大數據分析技術，實時掌握互聯網安全威脅情報數據，支持CMNET安全事件的快速響應和威脅預測。