异常流量检测技术与功能介绍

DDOS攻击对网络的影响
占用大量网络带宽，包括国际、互联互通等网络带宽 攻击一旦针对网络设备，后果将非常严重
DDOS攻击对用户的影响
DDOS攻击严重占用了用户的带宽 DDOS攻击造成用户服务器瘫痪，无法在攻击发生时提供服务 DDOS攻击对用户的互联网业务开展造成了很大的影响 用户目前大多没有防范攻击的能力和手段
网络操作维护中心
异常流量检测系统功能
异常流量检测 异常流量告警 异常流量分析
异常流量防范 异常流量记录
网络操作维护中心
异常流量检测
能够针对网络流量的目标地址按照异常流量的特点进行检测 ，从网络中的流量中检测出异常流量 能够检测网络中常见的DDOS攻击，包括：TCP SYN、 ICMP、TCP RST、Fragment、IP Private、IP NULL、TCP NULL 对于系统未知的其它DDOS攻击，系统能够通过IP地址、端 口、应用、TCP Flag、ICMP TYPE等流量特征等进行定义， 并产生Fingerprint（指纹）。系统能够将Fingerprint下发到系 统内的所有采集器，并由采集器根据Fingerprint的定义对网 络中的异常流量进行分析和检测 能够将从城域网中多个节点进入城域网的针对同一目的地址 的DDOS攻击进行统一的关联检测
网络操作维护中心
异常流量分析
系统能判断异常流量的类型 系统能判断异常流量的来源和目的 系统能记录异常流量途径各网络设备的端口 情况 系统能记录异常流量的速率和流量变化情况 系统能记录异常流量的包特征（包长、TCP Flag等） 系统能记录异常流量的起始和结束时间 系统能进行关联分析
网络操作维护中心
Netflow与SNMP技术的对比
SNMP 轮询 采集端口流量统计 采集端到端流量 采集业务层流量 采集完整用户业务流量 消耗网络设备资源 是 否 否 否 较小 否 是 是 是 较多（但对高端设备性能 影响不大） 适用电路 适用范围 采集数据全面程度 各种速率 网络各个层次 较少 各种速率 网络汇聚层和核心层 较全面 NETFLOW 采集
*统计时间：8月1日－8月8日
网络操作维护中心
各省网出方向DDOS攻击排名
序号 13 14 15 16 17 18 19 20 21 22 23 24 25 省网 高级告警 中级告警 初级告警 河北 18 1 9 广东 18 3 2 新疆 1 19 1 青海 15 1 3 安徽 6 7 5 贵州 2 10 5 天津 6 2 8 内蒙古 11 0 4 山东 7 1 5 云南 3 1 2 福建 1 0 2 江西 2 0 1 吉林 0 1 0 总计 28 23 21 19 18 17 16 15 13 6 3 3 1 比率 1.8% 1.5% 1.3% 1.2% 1.2% 1.1% 1.0% 1.0% 0.8% 0.4% 0.2% 0.2% 0.1%
*统计时间：8月1日－8月8日
网络操作维护中心
系统能力
具备发现网络中各种DDOS攻击的能力 具备防范网络中各种DDOS攻击的能力 防范针对北京电信网络和系统的DDOS攻击
为大客户提供DDOS防范服务 为市场人员提供潜在用户的信息
网络操作维护中心
Netflow技术介绍
Cisco提出的基于路由器的流量分析技术 目前路由器支持的唯一流量分析方式 支持的厂家
攻击来源
主要来自电信各地IDC的服务器 大量的IDC服务器被黑客控制 IDC服务器的特点
拥有良好的网络资源 长期在线 缺乏维护和安全防护
网络操作维护中心
ChinaNET网络中DDOS攻击特点（2 ）
DDOS攻击的行为分析
专业的黑客行为 攻击的目的为敲诈或受竞争对手雇佣
网络操作维护中心
ChinaNET网络中DDOS攻击特点（1）
ChinaNET网络中DDOS攻击情况
ChinaNET网络中存在大量的DDOS攻击 大部分攻击为各省网间的攻击 从8月1日到8月8日，系统记录共1218个IP地址受到不同程度、不同 频度的攻击 很多DDOS攻击已经达到较大的规模，很多DDOS攻击的峰值流量达 到400－500M bps，最大的攻击流量达到10G bps
网络操作维护中心
各省网入方向DDOS攻击排名
序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 省网 北京 江苏 浙江 广东 重庆 上海 四川 福建 湖南 湖北 河南 山东 安徽 天津 海南 高级告警 中级告警 初级告警 217 17 38 129 36 82 160 18 48 94 18 39 125 6 18 107 10 23 70 15 32 56 5 12 31 4 18 21 10 10 20 8 11 5 13 17 18 4 10 10 7 9 17 5 1 总计 272 247 226 151 149 140 117 73 53 41 39 35 32 26 23 比率 15.4% 14.2% 13.0% 8.7% 8.6% 8.1% 6.7% 4.2% 3.1% 2.4% 2.2% 2.0% 1.8% 1.5% 1.3%
网络操作维护中心
*统计时间：8月1日－8月8日
异常流量攻击地址TOP10情况统计
• 本次统计到的4902次异常流量攻击，共分布在1218个目 标IP地址上。所有被攻击地址按攻击次数排名的TOP10 情况如下表（其中最严重的攻击目标为sina）：
序号 1 2 3 4 5 6 7 8 9 10 地址 219.142.78.113 219.142.78.77 219.142.78.147 221.203.76.45 221.203.79.148 221.203.76.97 219.142.78.108 58.215.76.190 219.142.78.151 218.56.111.254 地址所属 北京 北京 北京 网通集团 网通集团 网通集团 北京 江苏 北京 网通集团 攻击类型 高级告警 中级告警 初级告警 TCP SYN 137 24 17 TCP SYN 103 7 7 TCP SYN 66 15 12 TCP SYN 7 43 29 TCP SYN 4 34 35 TCP SYN 3 34 28 TCP SYN 35 5 3 TCP SYN 0 6 35 TCP SYN 24 4 10 TCP SYN 20 6 9 总计 178 117 93 79 73 65 43 41 38 35
网络操作维护中心
*统计时间：8月1日－8月8日
各省网入方向DDOS攻击排名
序号 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 省网 广西 黑龙江 陕西 江西 吉林 辽宁 宁夏 贵州 云南 河北 甘肃 新疆 内蒙古 山西 青海 高级告警 中级告警 初级告警 12 8 2 11 3 7 13 6 2 9 0 9 6 4 7 5 1 3 7 0 1 3 1 3 4 1 2 7 0 0 4 1 0 2 0 1 1 0 0 1 0 0 1 0 0 总计 22 21 21 18 17 9 8 7 7 7 5 3 1 1 1 比率 1.3% 1.2% 1.2% 1.0% 1.0% 0.5% 0.5% 0.4% 0.4% 0.4% 0.3% 0.2% 0.1% 0.1% 0.1%
网络操作维护中心
*统计时间：8月1日－8月8日
各省网出方向DDOS攻击排名
序号 1 2 3 4 5 6 7 8 9 10 11 12 省网 高级告警 中级告警 初级告警 辽宁 36 102 108 浙江 138 25 76 湖北 140 21 25 江苏 85 26 52 重庆 122 10 22 广西 61 16 20 甘肃 48 20 8 湖南 24 7 21 四川 27 5 16 黑龙江 25 6 14 陕西 19 13 7 河南 13 5 12 总计 246 239 186 163 154 97 76 52 48 45 39 30 比率 15.8% 15.3% 11.9% 10.5% 9.9% 6.2% 4.9% 3.3% 3.1% 2.9% 2.5% 1.9%
网络操作维护中心
异常流过滤
访问控制列表（ACL） 带宽限制（CAR） 黑洞路由（Blackhole Routing） Flow Specification（Juniper）
与流量过滤设备配合，对流量进行智能过滤
网络操作维护中心
蠕虫流量分析
用户可以根据蠕虫病毒的特征和变化定义多 种蠕虫病毒 系统能分析各种蠕虫病毒的总体情况 系统能发现感染每种蠕虫病毒的IP地址 系统能发现蠕虫病毒经各网络设备的转发情 况和对网络资源的占用情况 系统能发现每个大客户感染蠕虫病毒的情况
网络操作维护中心
历史告警查询功能
查询类别
告警ID 严重程度 持续时间 开始时间/结束时间 告警类型 地址段 路由器/Peer/Customer/Profile 方向
历史告警的管理
网络操作维护中心
大客户异常流量分析
系统能对大客户的异常流量进行告警、分析 和记录 系统能对设置大客户的异常流量告警阀值 系统能查询大客户的异常流量历史统计情况 系统能监控大客户感染蠕虫病毒的情况 系统能对针对大客户的异常流量进行防范
Cisco/Juniper/Foundry/Alcatel/华为等 IETF标准 IPFIX (Internet Protocol Flow Information eXport) RFC 3917 RFC 3955
分析内容
IP地址/协议类型/应用/端口/包长 Tcpflag/ASN/TOS…
网络操作维护中心
Netflow与串接/分光系统对比
Netflow
1－4层流量分析 没有端口速率限制 不影响网络的运行 分析流量大 准确性差（抽样、假冒） 分析的结果有限 汇聚层/核心层 在核心网络部属成本低 正在标准化，不断发展
串接/分光
1－7层流量分析 固定端口类型，通常GE 影响网络运行和性能 性能有限 准确性高 分析内容完善 接入层/关键业务网段 在核心网络部属成本高 将会被下一代路由器取代
网络操作维护中心
异常流量告警
系统应能设置告警的阀值，包括告警的触发时间、触发门限 等，只有满足条件的的异常流量才会产生报警。系统能够针 对不同的告警类型和系统监控的不同对象定义不同的阀值 系统能够判断异常流量的类型、严重程度、流量和攻击目标 IP在系统中直观地用醒目的颜色（不同的风险等级用不同的 颜色）进行告警 系统应能对城域网大客户的流量进行分析和告警，并能够针 对每个用户设置不同的阀值 告警信息的内容包括异常流量告警ID、告警开始时间、持续 时间、严重程度、告警类型、异常流量源IP地址及属地、异 常流量目的IP地址及属地、异常流量速率（BPS/PPS）、异 常流量经过的路由器端口等信息 系统能够通过SNMP TRAP、syslog、Email等方式将告警信 息通知网管人员
异常流量检测与分析
2011.2
CNCERT/CC总结近年网络攻击特点
1. 攻击组织严密化。网络黑客逐步形成了较为严密的组织，并在组织内 部有明确的分工，从恶意代码的制作，恶意代码的散布到最终敏感信息 的窃取都有专人来负责。不同组织之间既有竞争也有合作，网络攻击按 照计划有组织的进行，致使网络攻击的效率有明显的提高。 2. 攻击行为趋利化。网络黑客发动攻击的目的从最开始的技术炫耀转向 获得经济利益，网络攻击的针对性和定向性进一步加强，针对商业竞争 对手的攻击和用于窃取用户帐号、密码等敏感数据的网络攻击逐步增多 ，随着网络行为同社会行为联系的进一步密切，网络攻击的最终目的越 来越多地落在获取具体的经济利益上。 3. 攻击目标直接化。网络黑客针对攻击目标的特点，设计特定的攻击代 码，绕过网络防御体系入侵有价值的目标主机，或者通过僵尸网络对于 目标发起直接的大规模网络攻击，使得针对特定目标的网络攻击具有更 大的威胁和破坏性。