网络流量检测溯源分析解决方案


运营商网络流量监测溯源分析解决方案

1488098780430279.png


随着全业务竞争的展开,中国移动在增值应用、信息服务领域以及Internet接入方面进行了稳步扩展。而越来越多的网络威胁已经严重影响了移动客户的安全。为保证客户数据、公司资料的安全性,提高服务质量,对CMNET安全系统检测溯源能力提升是十分必要的。


在上述背景和需求下,某省移动需整合现有的CMNET安全防护手段,形成一套完善的CMNET防护体系,实现对CMNET网可监、可控、可溯源的全方位的防护能力,进一步提高网络安全水平,以减少网络威胁造成的损失。


wps2066.tmp.png


随着网络技术的飞速发展,越来越多的传统运作方式正在被低耗、开放、高效的分布式网络应用所替代,网络已经成为人们日常生活中不可缺少的一部分。但是,随之而来基于网络的计算机攻击也愈演愈烈,攻击者利用网络的快速和广泛的互联性,使传统意义上的安全措施基本丧失作用,严重威胁着社会和国家的安全;而且网络攻击者大都使用伪造的IP地址,使被攻击者很难确定攻击的位置,从而不能实施有针对性地防护策略。


这些都使得逆向追踪攻击源的追踪技术成为网络主动防御体系中的重要一环,它对于最小化攻击的当前效果、威慑潜在的网络攻击都有着至关重要的作用。


中新网安采用基于大数据技术网络安全事件分析的统一安全防护平台架构,采集各类子系统flow流量和日志,通过万兆交换机将数据分析内容传输至大数据分析及存储系统。采集范围包括:各类子系统关键网络汇聚节点流量、攻击检测设备的日志、统一流量检测平台中的异常流量攻击信息等关键数据传送至大数据分析及存储系统,通过针对攻击事件类型、IP地址等特征进行关联检索分析,从不同纬度呈现当前网络各类安全事件状态。


通过采集分析实现对网络安全事件的分析检测后,实现对检测发现安全事件的处置——将流量清洗系统、入侵防御等具体安全事件处理模块加入处置流程,对于发现的网络安全事件,根据事件类型向流量清洗系统或入侵防御系统发送处置指令,并跟踪处置过程及处理结果。


通过整体方案为用户提供CMNET统一安全防护能力,包括CMNET整体安全事态感知、CMNET网络安全攻击数据溯源、CMNET攻击源分析、策略执行中心、安全漏洞管理、威胁预警、异常行为分析、通用报表功能、通用管理功能九大功能。



客户价值

1488098780430279.png


  • 综合展示统一安全防护平台整体风险状态,有助于了解CMNET整体安全水平,形成风险趋势,并与后台数进行对接;

  • 发布网内资产视角的实施违规行为;

  • 发布最新被控主机列表,并给出详细连接信息;

  • 查看风险详情详细风险统计及趋势分析,进行异常事件管理、安全通告管理;

  • 从流量分析系统接收DDOS攻击的结果,并根据结果中的DDOS攻击的目的地址和起始/结束时间,对接收的

    netflow原始数据进行过滤和存储,并对DDOS攻击进行详细的分析,根据攻击的目的地址和起始时间结束

    时间,在全部netflow原始数据中查询符合条件的攻击流量并进行分析,统计全部攻击原始数据;


在攻击过程中,从流量的占比视角来看,溯源的攻击类型,如:DDoS攻击,Web类、软件漏洞攻击、以及其他任何触发规则的攻击,针对每个攻击,系统能够根据省网/城域网路由器端口统计每个运营商/省网/城域网的攻击流量,并计算每个IP地址/C类网段的发包数量、总字节数、起始时间、结束时间、bps和pps,并按运营商/省网/城域网进行分类;


根据大数据平台的各类模型算法,从接收流量开始,即开始进行风险的大规模分析和预警,采用以事件化分析的方法,把复杂的攻击细节简单化,智能判断攻击是否成功,可视化清晰还原出攻击者的攻击过程,以攻击手法为依据,对攻击者进行判断;基于攻击行为规则库的深度检测把攻击者所有可能的攻击方法进行总结,采用广谱加智能匹配算法相结合,增加检测率的同时降低了误报率,采用流量双向检测技术,自动识别攻击是否成功;


根据攻击者的攻击路线,分析出存在的安全问题,通过对攻击行为的进行数学建模分析,总结了大量攻击模型,攻击者很难绕过检测,比如异常流量模型,文件异常访问模型等,而与此同时可根据算法再次进行弱点强化;


利用大数据分析技术,实时掌握互联网安全威胁情报数据,支持CMNET安全事件的快速响应和威胁预测。