浅谈电信网络环境下的DDOS攻击防护技术

“数字技术与应用安全技术浅谈电信网络环境下的ＤＤＯＳ攻击防护技术刘智宏李宏昌李东垣（中华通信系统有限责任公司北京１０００７０）摘要：近年来，随着网络技术的快速发展及广泛普及，网络安全问题面临的形势愈加严重，网络攻击防护越来越受人们的重视，而电信运营商网络几乎成为拒绝服务攻击（ＤＤＯＳ）的首选攻击对象。本文主要以中华通信系统研发的基于ＩＳＰ网络的拒绝服务攻击防御系统为例简要分析ＤＤＯＳ攻击以及在电信网络环境下的ＤＤＯＳ攻击防护技术。关键词：ＤＤＯＳ攻击安全防范中图分类号：TP393文献标识码：A文章编号：1007-9416(2012)07-0165-02１、ＤＤＯＳ攻击现状分析１．１运营商网络面临的ＤＤＯＳ攻击威胁当前，运营商骨干网和各地市城域网，宽带用户多、网络结构复杂、业务流量大，ＤＤＯＳ攻击导致的网络安全问题时有发生，导致ＩＰ网络整体服务质量下降，已经严重威胁到运营商ＩＰ网络的正常业务；当３Ｇ商用，智能化终端和宽带化３Ｇ网络与互联网接轨，无线网络也将面对诸多互联网安全问题，这将会使缺乏固网ＤＤＯＳ防范经验的电信运营商面临巨大挑战。１．２电信运营商对ＤＤＯＳ攻击防护需求目前各大电信运营商只部署有过滤垃圾短信这种传统无线业务的网关设备，尚未对３Ｇ移动互联网的到来做好骨干流量和城域网流量管控、清洗方面的准备，运营商急需使用高效、成熟ＤＤＯＳ防御产品，能够实现对ＤＤＯＳ攻击安全防护的高端网络安全产品市场需求空间巨大，主要表现在如下方面：（１）应用于全国各省、市级电信运营商ＩＤＣ、增值业务部。（２）应用于移动、联通等移动运营商的３Ｇ网络接入，为３Ｇ网络拒绝服务攻击防御提供可靠的防御工具。（３）应用于大型企业及大型网络服务商，这些企业通常涉及跨区域的网络通信及网上业务。２、主要厂家拒绝服务攻击防御产品介绍２．１主流厂家产品简介２．１．１ＪＵＮＩＰＥＲＮｅｔＳｃｒｅｅｎ－５０００系列Ｊｕｎｉｐｅｒ主推一体化模块式解决方案，路由器、业务部署系统（ＳＤＸ）和入侵检测与防护（ＩＤＰ）产品结合在一起。２．１．２ＮｏｋｉａＳＣ６６００信息安全网关ＳＣ６６００安装简易，管理方便。采用包括多重扫毒技术、宏摘除、层次式过滤的复合防护（ＳｔａｔｉｓｔｉｃａｌＰｒｏｔｅｃｔｉｏｎＴＭ）技术，采用专用安全操作系统。２．１．３ＣＩＳＣＯＧｕａｒｄＸＴ采用分布部署方式，多级检测采用集成式动态过滤和主动核查、杀手”技术等多种检测技术，支持独特的集群体系结构，多级监控和报告。２．１．４绿盟Ｄｅｆｅｎｄｅｒ４０００作为异常流量清洗设备，与监测中心、监控管理中心共同构建异常流量净化系统。采用了多个并行的专业高性能网络处理器，高效处理ＤＤＯＳ攻击，通过集群部署，可以轻松应对１０Ｇ＋海量拒绝服务攻击。２．２华通产品说明中华通信系统有限责任公司研发的基于ＩＳＰ网络的分布式拒绝服务攻击防御系统（ＣｈｉｎａＣｏｍｍＩＤＰＳ１００）为软硬件结合产品，产品包括流量检测组件和流量牵引清洗组件，根据ＩＳＰ网络应用需求和网络规模，系统可部署为流量检测设备或检测清洗一体化设备。产品能够实现电信级ＩＳＰ网络的流量采集和流量分析，具有ＩＳＰ网络异常流量与拒绝服务攻击检测告警、网络异常流量与拒绝服务攻击流量牵引、清洗防御、各类流量报表、系统安全日志审计、系统安全管理控制等主要的功能。本产品属于分布式设计模式，即系统是由探测器设备和流量牵引设备共同组成的防御系统。系统的流量探测器在旁路方式外还提供串联接入方式，具备入侵检测、防火墙、流量监控功能，流量牵引设备支持集群工作方式。３、华通产品（ＣｈｉｎａＣｏｍｍＩＤＰＳ１００）技术性能３．１产品功能特点３．１．１流量探测器功能特点（１）采用双子系统架构。为防止过大流量对系统的冲击造成系统超载、运行缓慢甚至当机，系统采用独创的双子系统架构。该架构将入侵检测模块和流量侦测模块分为两个完全独立的系统，通过总线相连，在互不影响的同时又能够保证信息的共享及功能联动。（２）采用针对拒绝服务攻击特别优化的入侵检测模块。入侵检测模块采用中华通信自主研发的针对ＤＤＯＳ攻击的入侵监测模块。能够对流量进行深层检测。能够发现并抵御多数ＤｏＳ攻击、以及蠕虫、木马等恶意代码，并对流量侦测模块提交的可疑流量进行检测，进一步判断是否为攻击流量。（３）采用先进的检测算法。流量探测器采用中华通信自主开发的基于自相似性模型的动态异常流量监测算法，能够在ＤＤＯＳ攻击的初始阶段甄别攻击。３．１．２流量牵引器功能特点（１）高速的攻击处理能力。流量牵引器接入运营商骨干网络，系统能够有效鉴别攻击流量和正常流量，对异常攻击流量进行清洗，有效保证用户正常业务流量的传输。该流量牵引设备支持集群工作模式，通过集群化部署可以有效地提高系统的处理能力，使系统能够满足大型ＩＳＰ网络的需要。（２）高效的软硬件平台。在硬件方面，流量牵引器采用了嵌入式系统设计，在系统核心实现拒绝服务攻击的防御算法，并且创造性地将算法实现在网络协议栈的最底层，完全避免了ＴＣＰ、ＵＤＰ和ＩＰ等高层系统网络堆栈的处理，将整个运算代价大大降低，大大提高了运算速率。・・・・・・下转第１６７页165．．．数字技术与应用以在寻得攻击模式或其他的违反规则的活动时发出控制台子系统警告、记录攻击事件的数据、适时阻断网络的连接，还可以根据不同的需要对系统进行相应的拓展，联动防火墙等其他的安全设备。信息获取子系统、分析机子系统子系统、控制台子系统三者之间相互配合完成整个工作过程：２．４．１实现主机报警当程序启动后，其所在的主机数据库的安全监控也将启动，信息获取获得与数据库操作的相关数据（数据库主机的名称、操作的ＳＱＬ语言、登陆的用户名、用户登录密码、当前的系统用户、操作的结果等）后，将所得信息格式化并传送到分析机子系统。分析机子系统通过自带的信息安全规则对所收到的信息进行分析、核实与筛选，从中分离出对数据库有威胁的操作信息并向控制台子系统发出警告。控制台子系统在收到警告信息后，由管理员对攻击源的ＩＰ地址发出进行阻断的命令，并由分析机子系统传达给探头的部分，再由探头所在主机系统调动自带的ＡＰＩ实现对指定ＩＰ地址试行拦截的操作命令，从而避免了被侵犯的可能，实现对数据库的安全性的保护。２．４．２命令的有效下达处于数据库最上层的控制台子系统对分析机子系统与信息获取子系统进行控制、维护更新，并经由查询以获得它们的运行状态的信息。命令从控制台子系统发出以后迅速传达至分析机子系统或信息获取部分，然后由它们的相应模块响应指令，以实现命令的完成。控制台子系统下达的所有命令都将通过特定窗口进行传达，并且分析机子系统与信息获取部分接受命令与完成命令以后的反馈信息也是经由同一端口进行传递的。２．４．３数据的传递从信息获取子系统获取的相关的信息数据，在经过二次筛选过滤后实现数据的完整性，然后根据数据的内容向相应的分析机子系・・・・・・上接第１６５页３．２产品技术创新３．２．１实现基于自相似性模型的动态异常流量监测自相似性（ｓｅｌｆ－ｓｉｍｉｌａｒｉｔｙ）是指一个随机过程在各个时间规模上具有相同的统计特性。系统在进入防护ＤＤＯＳ攻击之前，要对网络中正常的流量进行相应的记录，用以检测攻击的存在，尤其对ＤＤＯＳ攻击所利用的报文进行检测和分析。系统分别对各个协议的流量（或连接数）最大的ＩＰ地址（源ＩＰ和目的ＩＰ）的流量（或连接数）进行记录。而通常不同时间段网络流量也相差很大，简单的计算平均流量无法做快速可靠地发现攻击。因此需要按照时间段的不同对流量生成表项。通过大量测试分析在表项细度和系统性能之间找到一个平衡点。３．２．２扫描检测算法扫描检测模块采用一个基于贝叶斯网络进行ＴＣＰ包头异常分析的扫描检测方法（ＰＳＤＢ）。贝叶斯网络模块学习ＴＣＰ报文到达每个目的主机和相应目的端口的概率。ＰＳＤＢ使用贝叶斯网络来学习保存被检测子网内主机端口的概率分布。然后概率异常检测操作依据ＴＣＰＦｌａｇ和报文到达的概率计算每个报文的异常度，并针对个别协议本身的特点对异常值计算进行修正，将判别为异常报文的信息发送到分析模块。３．３产品应用本产品通常布置于运营商网络中高带宽节点，如核心交换机等高速转发设备，通常采用网关接入模式或路接入模式。在大型网络应用时，可采用牵引器集群工作方式，可通过部署牵引器集群增强系统处理能力及可靠性。４、结语安全技术统进行传递，分析机子系统在完成数据的筛选和审核工作以后，拦截并处理掉可疑信息，将正确的信息传达给控制台子系统，以保证数据的有效传递。信息获取子系统、分析机子系统、控制台子系统三者间通过特定的数据端口进行数据的传送，所有发送的数据都是进行了统一的格式换处理的，以固定的格式进行传送。２．４．４终端信息的输出从信息获取子系统，经由分析机子系统，再到控制子系统这一系列的信息传递过程中，不仅完成了数据的过滤、筛选、核实、拦截和传递，还对具有威胁性的数据进行了报警，切断了可疑数据的进一步传递通道，最终准确无误地把需要的信息完整的从指定端口传出，完成了整个ＳＱＬＳｅｒｖｅｒ数据库的信息传递。但即使是这样，也不能完全保证数据输出的绝对正确，还需要通过在输出端口进行再次地过滤、筛选、核实与拦截等安全监控系统的安全监控措施，才能更好的保证输出的信息的可靠性和安全性。现代的通信技术迅猛发展，为计算机网络的智能化提供了新的环境与新的机遇，但与此同时也带来了新的问题，如何有效地维护信息的安全与完整，已经成为社会关注的热点。本文着重对如何实现ＳＱＬＳｅｒｖｅｒ数据库安全监控系统提出一些见解，阐述了ＳＱＬＳｅｒｖｅｒ数据库安全监控系统是如何构建、如何运作的，希望能够为数据库的安全维护起到一些作用。参考文献［１］张颖．关于ＳＱＬＳｅｒｖｅｒ数据库安全监控系统的设计的探讨［Ｊ］．数字技术与应用，２０１１．（１１）．［２］李殿勋．浅谈ＳＱＬＳｅｒｖｅｒ数据库安全监控系统结构和工作原理［Ｊ］．科技信息，２０１１．（２４）．［３］马慧．基于ＳＱＬＳｅｒｖｅｒ数据库安全监控系统的研究［Ｊ］．微计算机信息，２００９．（１８）．随着我国信息化的快速发展，各行业对提高整体信息系统的安全防护水平和保障能力提出了更高的要求，对信息安全技术和产品的需求越来越大。基于ＩＳＰ网络的拒绝服务攻击防御系统产品的投放市场，能够填补运营商急需使用高效、成熟ＤＤＯＳ防御产品的需求空间；可以极大地提高电信运营商、ＩＳＰ、政府的整体网络ＤＤＯＳ防御能力本文来源于（ddos攻击器）。系统创新的技术实现模式可以为用户提供更优化的ＤＤＯＳ防御解决方案，通过建设更安全的ＤＤＯＳ防御系统，用户可有效降低大规模ＤＤＯＳ类攻击所带来的社会和经济风险，为我国经济高速发展提供安全的网络环境。参考文献［１］李德全《拒绝服务攻击》．北京：电子工业出版社，２００７年１月．［２］阳莉《电信网络分析与设计》．西安：西安电子科技大学出版，２００８年１月．［３］郝永清《网络安全攻防实用技术深度案例分析》．北京：科学出版社，２０１０年１月．［４］加拿大．克劳斯《网络安全保护》．北京：科学出版社，２００９年３月．［５］孙玉《电信网络安全总体防卫讨论》．北京：人民邮电出版社，２００８年８月．［６］ＳｔｅｖｅＭａｎｚｕｉｋ《网络安全评估：从漏洞到补丁》．北京：科学出版社，２００９年１月．［７］王秀利《网络拥塞控制及拒绝服务攻击防范》．北京：北京邮电大学出版社，２００９年６月．［８］王梦龙《网络信息安全原理与技术》．北京：中国铁道出版社，２００９年１１月．167