电信数据中心僵尸木马预警处理方案

X数据中心
僵尸木马预警处理方案
X年8月
目录
一方案概述 (3)
1.1背景概述 (3)
1.2设计目标及原则 (4)
二数据中心僵尸木马预警处理设计方案 (6)
2.1部署原则 (6)
2.2预期效果 (6)
三僵尸木马预警处理系统介绍 (8)
3.1产品概述 (8)
3.2核心优势 (8)
3.3主要功能介绍及展示 (8)
3.4部署方式 (9)
一方案概述
1.1背景概述
运营商数据中心业务对网络的依赖程度很高，需要高可靠性、安全性的网络系统支撑，而僵尸网络和木马攻击给数据中心带来了极大的危害。

尤其僵尸网络，会对运营商的通信服务质量生产影响，减少运营商的投资收益，是DDOS攻击发生的主要原因；木马攻击则是针对用户端的主要攻击手段，不仅会造成重要文件和信息的泄漏，而且还会被黑客利用成为远程操控的工具，成为网络系统的安全隐患。

传统恶意代码（如病毒、蠕虫、开源木马等）可以通过杀毒软件、防火墙、IPS等传统安全产品进行防护，但对于僵尸网络、变种木马和免杀木马，传统安全产品的检测和防护能力有限。

DDOS攻击虽然可以利用流量清洗设备进行被动防护，但不能从源头上杜绝僵尸网络的形成。

X电信的业务收入占到集团的六分之一，数据中心建设和政企客户数量远远领先于其他运营商，但由此受到僵尸网络和木马攻击的危害也是最大。

7月18日，X电信在东莞东城数据中心进行僵尸网络、木马攻击的检测测试，测试带宽为1G。

从检测系统上线至今共2周时间，检测到僵尸攻击35784次，木马攻击109229次。

按照东城数据中心的300G带宽进行放大，僵尸攻击和木马攻击的数量分别达到了1073万次和3276万次。

基于东城数据中心的检测结果，可以看到X电信遭受网络攻击的危害程度是很严重的，僵尸木马预警处理系统的部署变得十分迫切和必要。

1.2设计目标及原则
僵尸木马预警处理系统可以针对僵尸网络进行检测、预警和处理，以保护运营商宝贵的带宽资源并提高数据中心的通信服务质量。

黑客针对用户端的木马攻击、网站后门和恶意域名，可以利用预警处理系统的防护功能，形成对数据中心政企客户的增值业务，或者提高客户的使用满意度和忠诚度。

通过对X电信数据中心的网络结构进行分析，根据网络系统的特点，规划安全防护的实施方案，采用新型技术提升数据中心对于僵尸木马的安全防护能力，解决在网络层面存在的安全隐患，做到及时预警、及时处理、综合分析、全面预防。

同时，本方案在设计上将秉持以下四点原则：
➢长期规划分步实施
建立针对僵尸网络和木马攻击的安全防护长期规划，按照数据中心的带宽规模以及僵尸木马的危害严重程度，分期分批进行僵尸木马预警处理系统的部署，最终实现全网的安全防护。

➢基于现状实用为主
全面研究现有网络架构，在不改变现有网络架构的基础上，所制订的解决方案要求适用于实际运行环境，具备现实性和可操作性。

➢合理部署保障业务
安全解决方案的根本目标在于为了业务的高效运行而服务。

因此在解决方案设计时，要时刻研究业务部署特点、业务运行特点、业务发展特点，采用合理的部署方式，以避免对现有业务产生不利影响。

➢统一设计引领前沿
通过对网络现状和未来发展趋势的深入研究，搭建稳定、可靠、可扩展系统。

设计方案要保持在技术前沿，尽量使用目前成熟、高效的产品和解决方案，保证一次建设长久使用。

二数据中心僵尸木马预警处理设计方案
2.1部署原则
充分考虑僵尸网络和木马的通信行为特征，以及对网络的渗透，因此选择在数据中心的互联网出入口位置部署僵尸木马预警处理系统，使之能够全面覆盖数据中心网络拓扑的全部数据处理系统，并且能检测通过核心网络的全部数据流量。

僵尸木马预警处理系统分为预警子系统和处理子系统两部分。

为避免产生网络单点故障以及影响网络通信质量，预警子系统和处理子系统（可选）全部是以旁路方式接入网络。

处理子系统的数据流控制软件安装在需要进行安全防护的服务器或终端上。

预警子系统定位感染源主机后，处理子系统通过与预警子系统的联动，处理子系统把感染源主机的定位信息发送到相应的数据流控制软件，通过引流技术实现对僵尸网络和木马攻击阻断功能。

2.2预期效果
通过方案的部署实施，可以提升数据中心网络系统针对僵尸网路、木马的防范能力，一旦网络中出现恶意攻击，预警子系统可以精确的对攻击源主机和感染源主机进行定位和预警。

网络管理人员可以根据预警内容进行人工处理，也可以利用处理子系统通过引流方式对僵尸网络和木马攻击进行自动处理，在DDOS攻击、数据篡改、失窃密等危害发生以前，及时消除安全隐患，防范造成更大范围的危害。

➢实时检测处理网络恶意攻击，建立一体化防御体系，提高全局防护能力
利用独特的网络通信特征、网络通信行为分析技术以及先进的协议解析引擎技术，对进出双向网络流量进行实时检测，能够迅速准确地识别网络内部发生的威胁事件。

通过网关和终端的联动，实施引流技术手段，对当前网络中恶意攻击行为的数据流量进行处理，形成
了预警、处理一体化的安全防护体系。

实现在终端上对恶意攻击代码的精确定位和分级处理，形成了对网络恶意代码族的全局检测防护能力。

➢交互式威胁事件分析，提供详细事件报告
通过高危事件、受害主机排行、攻击源排行等元素，形成动态的、交互式的网络内部威胁聚类关系网，对威胁源和感染源进行交叉分析并提供详细的威胁事件报告，精准定位威胁源、评估威胁事件的危险程度及可能造成的影响范围，同时针对威胁事件提供相应处置措施。

降低网络内部威胁隐患，提高网络整体安全。

➢集中式威胁趋势分析，实现网X全趋势可度量
通过日、周、月的网络内部威胁差异分析，让用户客观掌握网络内部威胁度的变化，变被动安全为主动安全，真正使用户网X全变得成熟、可视、可管理。

➢“长效化”威胁管理服务，可持续性地有效检测新威胁
借助一体化安全服务平台，对最新出现的威胁进行识别和分析，并向全网推送，为用户提供连续性的威胁检测和管理服务，帮助用户清晰定位网络整体安全态势，提升网络威胁的应急响应能力和管理水平。

三僵尸木马预警处理系统介绍
3.1产品概述
僵尸木马预警处理系统能够针对僵尸网络和木马等网络攻击行为，为网络提供动态的、集成式的安全保护，最大程度保证对网络内潜伏的僵尸网络和木马一旦激活运行就会被发现及处置。

该系统提供了从网络层到应用层的检测能力，能够为个人PC、移动终端和各级应用服务器提供保护。

3.2核心优势
该系统集成了传统的黑IP、黑域名以及端口检测技术，还运用了两项独特的关键检测技术、一项成熟的处理技术和一项先进的分析技术：
●基于网络通信特征，针对已知攻击行为的检测技术。

●基于网络通信行为分析，针对已知攻击行为的检测技术。

●采用黑洞引流技术，切断黑客与受控主机之间的通信联系，终止恶意代
码的运行。

●采用时间序列和攻击五元组（攻击源IP、感染源IP和端口、感染源
MAC、攻击方式、危害程度分级）的安全事件分析技术。

3.3主要功能介绍及展示
➢网络恶意攻击预警功能
通过通信特征匹配、通信行为分析、特征库匹配等技术手段，对网络中所有数据流量进行监听解析，对僵尸网络、木马攻击、网站后门、恶意域名等网络恶意攻击进行实时预警。

➢僵尸木马处理功能
采用引流技术，改变僵尸网络和木马等网络攻击行为的通信数据流向，将其引入在本地终端或网络所构造的黑洞环境，在不增加网络负载的情况下终止恶意代码的运行。

同时将检测出的恶意地址、恶意代码特征向其他终端推送，确保网络内部所有的终端保持统一的安全基准。

处理子系统运行示意图
➢网络攻击综合统计、趋势分析功能
提供基于时间序列和攻击五元组的安全事件记录。

可以按照实时、日、周、月等检测时间展示，也可以按照危害程度分级、攻击源排行、感染源排行等攻击元素展示。

提供文档、报表等多种检测结果输出格式，为网络管理人员处置安全事件提供参考依据，为安全审计提供全面准确的基础记录。

3.4部署方式
设备采用旁路方式接入网络，可以挂接在交换机或路由器链路上，系统分析所需要的数据由交换机或路由器通过镜像端口或分光形式提供。

旁路接入方式无需改变现有网络架构，不会增加单点故障，不会对通信质量产生影响，同时检测的结果能够以安全的方式进行浏览和存储。