近年來，隨著互聯網在全球的迅速發展和各種互聯網應用的快速普及，互聯網已成為人們日常工作生活中不可或缺的信息承載工具。然而，伴隨著互聯網的正常應用流量，網絡上形形色色的異常流量也隨之而來，影響到互聯網的正常運行，威脅到電信運營商的基礎網絡安全。因此，電信運營商在網絡規模日益龐大的同時，迫切需要一套完整的網絡安全方案對全網流量進行監測與控制。當網絡攻擊或病毒發生時，從網絡層面對異常流量攻擊實施有效監控和定位，并做出及時響應，保證基礎網絡的安全穩定運行，實現網絡和服務可用性、穩定性的安全目標。

　　行業背景

　　近年來，隨著互聯網在全球的迅速發展和各種互聯網應用的快速普及，互聯網已成為人們日常工作生活中不可或缺的信息承載工具。然而，伴隨著互聯網的正常應用流量，網絡上形形色色的異常流量也隨之而來，影響到互聯網的正常運行，威脅到電信運營商的基礎網絡安全。

　　因此，電信運營商在網絡規模日益龐大的同時，迫切需要一套完整的網絡安全方案對全網流量進行監測與控制。當網絡攻擊或病毒發生時，從網絡層面對異常流量攻擊實施有效監控和定位，并做出及時響應，保證基礎網絡的安全穩定運行，實現網絡和服務可用性、穩定性的安全目標。

　　聯想網御解決方案

　　面對電信運營商網絡流量大、范圍廣的特點，聯想網御科技有限公司推出了異常流量監測與控制解決方案。對異常流量的監測主要采用Netflow技術以及分布式監測方式，支持聯想網御LeadSec-Detector、Arbor Peakfolw等。通過異常流量監測系統的流量自學習功能掌握正常流量模型，同時利用異常流量特征庫技術，及時發現和定位來自網絡內部或外部的蠕蟲攻擊、DDOS攻擊、網絡濫用行為等安全問題，分析和判斷異常流量、病毒或攻擊類型(例如SQL Slammer等大量占用鏈路資源的蠕蟲病毒攻擊)。在部署異常流量監測系統的同時，配合聯想網御異常流量過濾系統LeadSec-Guard，在發現異常流量的同時，采取必要的防護和過濾手段，提高響應速度。

　　異常流量監測

　　聯想網御LeadSec-Detector、Arbor Peakfolw采用Netflow分析技術，積極主動地檢測和追蹤網絡范圍的異常現象，如：分布式拒絕服務攻擊(DDoS)和蠕蟲。能為網絡維護人員在網絡還沒受影響，服務還沒發生問題和用戶還沒投訴前快速提供這些安全威脅所需的信息資料，為維護基礎網絡安全提供有效的幫助。

　　異常流量監測系統采用二層分布式結構，分為控制器(Controller)和采集器(Collector)兩種模式，采集器(collector)負責收集各被監測設備的流量數據，對收集的流量數據做本地分析處理;控制器(Controller)能夠將所有采集設備的數據進行統一的匯總、處理和關聯分析;用戶可以通過一個統一的WEB界面了解所有的數據分析結果，并管理系統內部所有設備。

　　如下圖所示：

　　異常流量控制

　　為真正降低網絡中異常流量對基礎網絡的影響，提高應急響應的效率和自動化程度，電信運營商應同時部署異常流量監測系統和流量過濾系統，通過兩個設備的聯動，對用戶重點關心的網段或大客戶實現特殊保護。一旦發現有異常流量行為，立即將異常流量引入異常流量過濾系統進行“清洗”，以保護重要系統或重要客戶網絡資源，降低異常流量對這些系統的沖擊。

　　方案效益

　　該解決方案適應了電信運營商網絡流量大、網絡設備多的特點，采用分布式的體系結構，具有良好的擴展性，能夠支持大型電信運營商對網絡中異常流量監測和安全控制，能夠為電信運營商網絡提供網絡維護和業務增值上的幫助。主要表現在：

　　在網絡發生DDoS或蠕蟲攻擊時給安全管理人員提供迅速排除故障的手段。當網絡中發現大規模的安全攻擊時，安全管理人員可以通過異常流量分析系統對異常流量的實時監控發現異常流量和攻擊的類型和來源。

　　發現惡意發出攻擊的用戶以及被病毒/蠕蟲感染的用戶。在異常流量分析中，能夠發現一些用戶惡意發出攻擊或用戶設備被感染而發出攻擊。

　　預先警覺未知的DDoS或病毒/蠕蟲攻擊。異常流量監測系統是采用尋找與正常網絡行為比較有偏差地方的模式，因此任何類型的攻擊，無論是已知的還是新生的，都因為它對網絡正常行為的影響而被檢測到。

　　一旦異常流量行為被發現，網管人員可以立即做出響應，異常流量監測系統可觸發異常流量過濾系統的保護機制;異常流量過濾系統根據預先指定的保護策略對訪問目標對象的流量進行引流，該流量在異常流量過濾系統將被再次進行分析，流量成份中的異常行為將被過濾，從而縮短針對異常流量告警的響應時間。

文章作者：張菲林