异常流量检测技术与功能介绍.

2011.2异常流量检测与分析网络操作维护中心CNCERT/CC总结近年网络攻击特点1.攻击组织严密化。网络黑客逐步形成了较为严密的组织，并在组织内部有明确的分工，从恶意代码的制作，恶意代码的散布到最终敏感信息的窃取都有专人来负责。不同组织之间既有竞争也有合作，网络攻击按照计划有组织的进行，致使网络攻击的效率有明显的提高。2.攻击行为趋利化。网络黑客发动攻击的目的从最开始的技术炫耀转向获得经济利益，网络攻击的针对性和定向性进一步加强，针对商业竞争对手的攻击和用于窃取用户帐号、密码等敏感数据的网络攻击逐步增多，随着网络行为同社会行为联系的进一步密切，网络攻击的最终目的越来越多地落在获取具体的经济利益上。3.攻击目标直接化。网络黑客针对攻击目标的特点，设计特定的攻击代码，绕过网络防御体系入侵有价值的目标主机，或者通过僵尸网络对于目标发起直接的大规模网络攻击，使得针对特定目标的网络攻击具有更大的威胁和破坏性。网络操作维护中心ChinaNET网络中DDOS攻击特点（1）ChinaNET网络中DDOS攻击情况ChinaNET网络中存在大量的DDOS攻击大部分攻击为各省网间的攻击从8月1日到8月8日，系统记录共1218个IP地址受到不同程度、不同频度的攻击很多DDOS攻击已经达到较大的规模，很多DDOS攻击的峰值流量达到400－500Mbps，最大的攻击流量达到10Gbps攻击来源主要来自电信各地IDC的服务器大量的IDC服务器被黑客控制IDC服务器的特点拥有良好的网络资源长期在线缺乏维护和安全防护网络操作维护中心ChinaNET网络中DDOS攻击特点（2）DDOS攻击的行为分析专业的黑客行为攻击的目的为敲诈或受竞争对手雇佣DDOS攻击对网络的影响占用大量网络带宽，包括国际、互联互通等网络带宽攻击一旦针对网络设备，后果将非常严重DDOS攻击对用户的影响DDOS攻击严重占用了用户的带宽DDOS攻击造成用户服务器瘫痪，无法在攻击发生时提供服务DDOS攻击对用户的互联网业务开展造成了很大的影响用户目前大多没有防范攻击的能力和手段网络操作维护中心各省网入方向DDOS攻击排名序号省网高级告警中级告警初级告警总计比率1北京217173827215.4%2江苏129368224714.2%3浙江160184822613.0%4广东9418391518.7%5重庆1256181498.6%6上海10710231408.1%7四川7015321176.7%8福建56512734.2%9湖南31418533.1%10湖北211010412.4%11河南20811392.2%12山东51317352.0%13安徽18410321.8%14天津1079261.5%15海南1751231.3%*统计时间：8月1日－8月8日网络操作维护中心各省网入方向DDOS攻击排名序号省网高级告警中级告警初级告警总计比率16广西1282221.3%17黑龙江1137211.2%18陕西1362211.2%19江西909181.0%20吉林647171.0%21辽宁51390.5%22宁夏70180.5%23贵州31370.4%24云南41270.4%25河北70070.4%26甘肃41050.3%27新疆20130.2%28内蒙古10010.1%29山西10010.1%30青海10010.1%*统计时间：8月1日－8月8日网络操作维护中心各省网出方向DDOS攻击排名序号省网高级告警中级告警初级告警总计比率1辽宁3610210824615.8%2浙江138257623915.3%3湖北140212518611.9%4江苏85265216310.5%5重庆12210221549.9%6广西611620976.2%7甘肃48208764.9%8湖南24721523.3%9四川27516483.1%10黑龙江25614452.9%11陕西19137392.5%12河南13512301.9%*统计时间：8月1日－8月8日网络操作维护中心各省网出方向DDOS攻击排名序号省网高级告警中级告警初级告警总计比率13河北1819281.8%14广东1832231.5%15新疆1191211.3%16青海1513191.2%17安徽675181.2%18贵州2105171.1%19天津628161.0%20内蒙古1104151.0%21山东715130.8%22云南31260.4%23福建10230.2%24江西20130.2%25吉林01010.1%*统计时间：8月1日－8月8日网络操作维护中心异常流量攻击地址TOP10情况统计序号地址地址所属攻击类型高级告警中级告警初级告警总计1219.142.78.113北京TCPSYN13724171782219.142.78.77北京TCPSYN103771173219.142.78.147北京TCPSYN661512934221.203.76.45网通集团TCPSYN74329795221.203.79.148网通集团TCPSYN43435736221.203.76.97网通集团TCPSYN33428657219.142.78.108北京TCPSYN355343858.215.76.190江苏TCPSYN0635419219.142.78.151北京TCPSYN244103810218.56.111.254网通集团TCPSYN206935•本次统计到的4902次异常流量攻击，共分布在1218个目标IP地址上。所有被攻击地址按攻击次数排名的TOP10情况如下表（其中最严重的攻击目标为sina）：*统计时间：8月1日－8月8日网络操作维护中心系统能力具备发现网络中各种DDOS攻击的能力具备防范网络中各种DDOS攻击的能力防范针对北京电信网络和系统的DDOS攻击为大客户提供DDOS防范服务为市场人员提供潜在用户的信息网络操作维护中心Netflow技术介绍Cisco提出的基于路由器的流量分析技术目前路由器支持的唯一流量分析方式支持的厂家Cisco/Juniper/Foundry/Alcatel/华为等IETF标准IPFIX(InternetProtocolFlowInformationeXport)RFC3917RFC3955分析内容IP地址/协议类型/应用/端口/包长Tcpflag/ASN/TOS…网络操作维护中心Netflow与SNMP技术的对比SNMP轮询NETFLOW采集采集端口流量统计是否采集端到端流量否是采集业务层流量否是采集完整用户业务流量否是消耗网络设备资源较小较多（但对高端设备性能影响不大）适用电路各种速率各种速率适用范围网络各个层次网络汇聚层和核心层采集数据全面程度较少较全面网络操作维护中心Netflow与串接/分光系统对比Netflow1－4层流量分析没有端口速率限制不影响网络的运行分析流量大准确性差（抽样、假冒）分析的结果有限汇聚层/核心层在核心网络部属成本低正在标准化，不断发展串接/分光1－7层流量分析固定端口类型，通常GE影响网络运行和性能性能有限准确性高分析内容完善接入层/关键业务网段在核心网络部属成本高将会被下一代路由器取代网络操作维护中心异常流量检测系统功能异常流量检测异常流量告警异常流量分析异常流量防范异常流量记录网络操作维护中心异常流量检测能够针对网络流量的目标地址按照异常流量的特点进行检测，从网络中的流量中检测出异常流量能够检测网络中常见的DDOS攻击，包括：TCPSYN、ICMP、TCPRST、Fragment、IPPrivate、IPNULL、TCPNULL对于系统未知的其它DDOS攻击，系统能够通过IP地址、端口、应用、TCPFlag、ICMPTYPE等流量特征等进行定义，并产生Fingerprint（指纹）。系统能够将Fingerprint下发到系统内的所有采集器，并由采集器根据Fingerprint的定义对网络中的异常流量进行分析和检测能够将从城域网中多个节点进入城域网的针对同一目的地址的DDOS攻击进行统一的关联检测网络操作维护中心异常流量告警系统应能设置告警的阀值，包括告警的触发时间、触发门限等，只有满足条件的的异常流量才会产生报警。系统能够针对不同的告警类型和系统监控的不同对象定义不同的阀值系统能够判断异常流量的类型、严重程度、流量和攻击目标IP在系统中直观地用醒目的颜色（不同的风险等级用不同的颜色）进行告警系统应能对城域网大客户的流量进行分析和告警，并能够针对每个用户设置不同的阀值告警信息的内容包括异常流量告警ID、告警开始时间、持续时间、严重程度、告警类型、异常流量源IP地址及属地、异常流量目的IP地址及属地、异常流量速率（BPS/PPS）、异常流量经过的路由器端口等信息系统能够通过SNMPTRAP、syslog、Email等方式将告警信息通知网管人员网络操作维护中心异常流量分析系统能判断异常流量的类型系统能判断异常流量的来源和目的系统能记录异常流量途径各网络设备的端口情况系统能记录异常流量的速率和流量变化情况系统能记录异常流量的包特征（包长、TCPFlag等）系统能记录异常流量的起始和结束时间系统能进行关联分析网络操作维护中心异常流量过滤访问控制列表（ACL）带宽限制（CAR）黑洞路由（BlackholeRouting）FlowSpecification（Juniper）与流量过滤设备配合，对流量进行智能过滤网络操作维护中心蠕虫流量分析用户可以根据蠕虫病毒的特征和变化定义多种蠕虫病毒系统能分析各种蠕虫病毒的总体情况系统能发现感染每种蠕虫病毒的IP地址系统能发现蠕虫病毒经各网络设备的转发情况和对网络资源的占用情况系统能发现每个大客户感染蠕虫病毒的情况网络操作维护中心历史告警查询功能查询类别告警ID严重程度持续时间开始时间/结束时间告警类型地址段路由器/Peer/Customer/Profile方向历史告警的管理网络操作维护中心大客户异常流量分析系统能对大客户的异常流量进行告警、分析和记录系统能对设置大客户的异常流量告警阀值系统能查询大客户的异常流量历史统计情况系统能监控大客户感染蠕虫病毒的情况系统能对针对大客户的异常流量进行防范网络操作维护中心Fingerprint（指纹）技术Fingerprint特点用FCAP语句定义Fingerprint对符合Fingerprint特征的流量进行过滤和告警适应网络中不断发生的新病毒和攻击Fingerprint添加系统可根据捕捉到的DDOS攻击或病毒信息自动生成fingerprint可通过网管人员的经验来手工添加病毒信息同步全球FingerprintServer根据ATF自动生成网络操作维护中心系统状态流量分析设备运行情况各台设备的CPU/Memory/Disk/Flow/SerialNumber路由器情况路由器CPU/Memory/Flow路由器端口情况端口描述/端口类型/端口流量（SNMP）系统日志Netflow/SNMP结果对比网络操作维护中心系统其它功能路由器端口自动分类数据备份/数据恢复配置备份/回退/保存Radius/Tacacs+认证SNMPTrap/syslog/Email告警通知32种用户管理权限自由组合字典功能（应用/AS/TOS）在线帮助网络操作维护中心城域网内DDOS攻击特点和分类攻击分类：城域网内发起的针对城域网外的DDoS攻击城域网外发起的针对城域网用户的DDoS攻击防御策略出城域网异常流量防御策略入城域网异常流量防御策略网络操作维护中心出城域网异常流量防御策略访问控制列表（ACL）带宽限制（CAR）黑洞路由（BlackholeRouting）FlowSpecification网络操作维护中心入城域网异常流量防御策略过滤异常流量的同时保障正常业务