超宽带网络异常流量检测与防治技术探析

刘国荣，刘东鑫，沈 军，金华敏

(中国电信股份有限公司广东研究院 广州510630)

1 引言

国家“十二五”规划明确提出“全面提高信息化水平”、“加快建设宽带、融合、安全、泛在的下一代国家信息基础设施”，宽带建设成为“十二五”期间我国信息化发展的主要任务之一，超宽带时代即将开启。

随着网络接入带宽的不断提升，异常流量对网络的威胁日益严重，防治的需求更为紧迫。网络安全和管理解决方案供应商Arbor发布的2010年网络基础设施安全调查报告（如图1所示）显示，分布式拒绝服务（DDoS）攻击流量呈逐年递增的趋势，2010年最大单次攻击规模甚至超过了100 Gbit/s，源自僵尸网络的容量耗尽攻击和应用层DDoS攻击仍然是网络运营人员面临的最重大威胁。

2 异常流量检测与防治技术的现状及应用

网络流量异常指网络的流量行为偏离其正常行为，其特点是发作突然，先兆特征未知，可以在短时间内给网络或网络上的计算机带来极大的危害[1]。

2.1 异常流量防治技术

异常流量防治技术包括异常流量检测、非法流量检测过滤和流量牵引与注入技术。

2.1.1 异常流量检测技术

主要用于实时监控网络中的流量状况，及时检测网络中突发的异常流量，如 SYN-flood、UDP-flood、ICMP-flood、Smurf等类型的DoS/DDoS攻击流量，第一时间对攻击来源和攻击目标进行准确的定位，并做出及时而准确的流量异常报警和响应。

图1 Arbor发布的2010年网络基础设施安全调查报告

根据网络异常流量的采集方式，可将网络异常流量检测技术分为基于网络流量全镜像、SNMP和Netflow的检测技术3种[2]。其中，基于Netflow的异常流量检测技术信息量适中，采集效率比较高，可满足网络流量异常分析的需要；同时目前主流网络设备均实现了对Netflow技术的支持，适用范围广。基于Netflow实现的数据采集分析技术已逐渐成为主流的异常流量检测技术。

在该技术的具体实现中，如何准确地定义并及时更新“异常流量”的行为特征模型、有效地建立正常的网络流量模型、有效地界定异常流量的类型、对监控分析结果进行有效呈现和管理、将流量监控应用给设备性能造成的影响降至最低等，都是必须认真考虑的关键问题。

2.1.2 非法流量的清洗过滤技术

主要用于对混杂了正常流量和非法攻击流量的混合流量进行处理，以达到清除非法流量的目的。

传统DDoS防范手段主要有黑洞路由、ACL过滤、流量限制、DNS跳变、QoS等方式。这些手段在抑制DDoS攻击流的同时，也会经常影响正常用户的网络访问，因此无法满足客户的DDoS攻击防范需求。随着微电子技术的发展及NP性能的提高，出现了多种新的DDoS防范技术并得到广泛应用。总的来说，当前新的DDoS防范机制主要有两类：异常流量特征识别过滤和反向探测识别过滤。

异常流量特征识别过滤的主要机制是通过分析学习正常用户的网络流量，对异常攻击流量进行识别及过滤。由于网络攻击者攻击手法日益提高，基于DDoS攻击流量的特征识别越来越困难，因为攻击者完全可以依据TCP/IP协议簇伪造与用户访问internet完全一样的数据流。因此，异常流量特征识别过滤技术不是当前防范DDoS产品的主要应用机制。

反向探测识别过滤的主要机制是用户行为分析，针对用户发起的网络访问请求，DDoS产品拦截并返回特殊的应答分组，通过分析用户端应用程序（如Internet Explorer）的反应，判断用户访问是否合法。其在当前主流的防范DDoS产品中得到了广泛的应用。

在实际应用中，异常流量清洗系统将各种验证、分析和实施技术结合在一起，通过设置防御策略、违规阈值识别和恶意流量分离，实现流量清洗。常用的清洗过程包括启动Anti-Spoofing阻挡恶意流量、动态增加访问列表阻挡攻击、检测恶意动作和发现攻击流量的源/目的地址、限制速率等步骤。

2.1.3 网络流量的牵引和注入技术

网络流量的牵引和注入技术主要应用于对混合流量和清洁流量的转移。其中，牵引是指将被攻击目标的流量重路由到清洗设备,以便对其进行处理,丢弃攻击流量并留存正常流量；注入主要是指正常业务流量经过 “清洁”后,被重新注入网络,到达原本的目的地。目前针对流量的牵引和注入有较多的实现方式，如2/3层IP网牵引、MPLS VPN核心网牵引、PBR（策略路由）注入、GRE隧道注入、MPLS VPN注入等。

2.2 已应用的关键设备

针对异常流量的检测与过滤，业界已有应用案例，网络架构如图2所示。整个系统涉及以下两类关键设备。

2.2.1 异常流量检测设备

提供对DDoS攻击行为的深入分析。检测设备被动检测网络业务，搜寻与“正常”行为出现偏差或DDoS攻击的基本行为。攻击被识别后，检测设备发警报给过滤设备，触发清洗设备启动，清洗设备对正常流量中的攻击流量进行清洗，同时提供攻击报警通知相关的维护人员，以手工启动清洗设备以及相关的快速响应措施。异常流量检测设备主要负责监控所有发往目标保护区域的网络流量，一般需要部署在流量过滤设备的下游和任何防火墙的上游。

2.2.2 异常流量清洗设备

图2 网络架构

是DDoS攻击防护解决方案的关键部件。该设备是一个高性能DDoS攻击缓解设备，当被通知有一个目标主机或网段处于被攻击状态 （无论通知是来自监控设备还是其他诸如入侵检测系统或防火墙等安全监测设备）时，指向目标的业务流量将被转移到与该目标设备相匹配的流量过滤设备。然后，业务流量将通过分析和过滤，清洗恶意攻击流量，同时保证合法的数据分组能不间断地继续传送。

3 基于云计算的异常流量清洗方案

上节所提的异常流量清洗方案将异常流量检测、过滤技术结合，可实现自动化的异常流量清洗。然而，基于管理、投资等方面的考量，ISP一般针对重点保护对象 （以省、城域网、或IDC为单位）单独建设异常流量清洗系统，这种模式虽然保护对象明确、管理方便，但在清洗能力和资源利用方面明显存在不足。

·无法满足清洗能力。单台流量清洗设备处理能力不超过10 Gbit/s，由于投资成本较高，单节点一般建设几吉比特到几十吉比特，面对动辄几十吉比特的DDoS攻击，无法满足清洗要求。

·设备使用效率低下。DDoS攻击虽然发生较频繁，但在单个城域网或者IDC的发生次数仍比较有限，清洗设备一年只使用十几或几十次，大部分时候处于闲置状态，设备利用率低下。

·资源浪费严重。DDoS攻击来源分散、攻击流量大，针对目标的保护模式在大流量抵达攻击目标时才启动防御，大部分流量流经骨干网，由于不能实现就近清洗，长途资源严重浪费。

此外，针对目标分散的部署不便于专业人才的集中以及运维的统一管理。

为解决上述问题，全面提升DDoS攻击防护能力，需采用云计算模式，全网范围内统一调度计算资源、并行处理、就近清洗，全面满足大流量清洗的要求。基于云计算的异常流量清洗示意如图3所示。

本方案在骨干网络统一部署DDoS攻击防御系统，为全网提供防护服务。DDoS攻击防御的实现流程如下。

·流量检测。在骨干路由器上启用Netflow，使网络具备对异常流量、潜在安全威胁流量的监控和分析能力；同时在网管中心部署流量分析设备，对基于Netflow输出的流量信息进行分析和判断后，对异常流量和攻击流量进行识别和判断。

·流量牵引。利用云计算技术在骨干核心节点和关键省出口部署清洗中心，各清洗中心设置相同的地址，协同运作，分布式完成流量清洗。网管中心通过流量分析设备发现异常流量后，通过RR宣告给骨干路由器，宣告被保护目标地址的BGP路由下一条地址为全网唯一的清洗中心地址，各清洗中心通过单播方式实现流量的自动分担。

·流量清洗。各清洗中心对DDoS攻击流量进行就近清洗，在靠近攻击源头处阻断攻击流量，极大地减少DDoS攻击流量对网络造成的影响。

·流量回注。在骨干网络上预先建立一个DDoS清洁流量回送VPN，清洗后的正常访问流量通过该VPN回送至相应城域网的ASBR，通过预先部署好的静态路由表送入城域网，到达最终用户。

图3 基于云计算的异常流量清洗

基于云计算的集中调度分布处理实现方案具有以下优点。

·业务处理能力极大增强。并行处理极大地增强了业务处理能力，可以阻断当前上万兆比特级的DDoS攻击，同时，计算资源可根据网络和流量的扩容相应地提升性能，抵御未来海量的攻击。

·设备利用率大大提高，综合投资大大降低。通过统一调度、统计复用，所有清洗设备可以阻断整个网络内部任何DDoS攻击。

·节省网络资源。实现了对DDoS攻击流量的就近清洗，在靠近攻击源头处阻断攻击流量，极大地减少DDoS攻击流量造成的网络资源消耗。

可见，基于云计算模式的异常流量清洗系统，可以实现全网范围内的集中调度、并行处理、就近清洗，是解决异常流量清洗问题的有效途径。

4 结束语

以DDoS攻击为代表的异常流量是超宽带网络面临的一大威胁，异常流量攻击的防范，除应用流量清洗系统外，还应综合运用多种技术手段，包括在网络边缘采用严格的urpf技术防范虚假源地址、在接入或汇聚层对常见的网络蠕虫端口及DDoS工具端口进行过滤、通过CAR功能对部分flood类型流量进行控制等。同时，应在接入层完善可信接入和溯源机制，包括用户间安全隔离、物理位置的可溯源，通过AAA系统实现用户账户与物理位置的捆绑、用户上网信息的审计等。

通过相应的技术和管理手段，对恶意攻击行为进行IP地址、实体溯源追踪、取证，定位最终攻击、传播的来源，从而对非法者起到震慑作用。然而，异常流量攻击的发生与僵尸网络有密切关系，实施攻击的多是被黑客控制的肉机，通过溯源基本只能定位到这些无辜主机，真正的发起者很难被发现。因此，对僵尸网络的发现、治理等相关研究，将是下一步研究的重点。

1 裴唯,袁小坊,王东等.城域网应用层流量异常检测与分析.计算机应用研究,2010(6)

2 金华敏，庄一嵘.网络异常流量监测技术在电信IP网的应用.通信世界,2005(5)

3 唐宏，朱永庆.超宽带城域网建设思路探讨.广东通信技术,2011(6)

4 庄一嵘.异常流量疏导技术的研究及其在电信IP网的应用.电信科学,2007(2)

5 ArborNetworks.Worldwide Infrastructure Security Report,2010