联想网御运营商级异常流量监测与控制解决方案

　　近年来，随着互联网在全球的迅速发展和各种互联网应用的快速普及，互联网已成为人们日常工作生活中不可或缺的信息承载工具。然而，伴随着互联网的正常应用流量，网络上形形色色的异常流量也随之而来，影响到互联网的正常运行，威胁到电信运营商的基础网络安全。因此，电信运营商在网络规模日益庞大的同时，迫切需要一套完整的网络安全方案对全网流量进行监测与控制。当网络攻击或病毒发生时，从网络层面对异常流量攻击实施有效监控和定位，并做出及时响应，保证基础网络的安全稳定运行，实现网络和服务可用性、稳定性的安全目标。

　　行业背景

　　近年来，随着互联网在全球的迅速发展和各种互联网应用的快速普及，互联网已成为人们日常工作生活中不可或缺的信息承载工具。然而，伴随着互联网的正常应用流量，网络上形形色色的异常流量也随之而来，影响到互联网的正常运行，威胁到电信运营商的基础网络安全。

　　因此，电信运营商在网络规模日益庞大的同时，迫切需要一套完整的网络安全方案对全网流量进行监测与控制。当网络攻击或病毒发生时，从网络层面对异常流量攻击实施有效监控和定位，并做出及时响应，保证基础网络的安全稳定运行，实现网络和服务可用性、稳定性的安全目标。

　　联想网御解决方案

　　面对电信运营商网络流量大、范围广的特点，联想网御科技有限公司推出了异常流量监测与控制解决方案。对异常流量的监测主要采用Netflow技术以及分布式监测方式，支持联想网御LeadSec-Detector、Arbor Peakfolw等。通过异常流量监测系统的流量自学习功能掌握正常流量模型，同时利用异常流量特征库技术，及时发现和定位来自网络内部或外部的蠕虫攻击、DDOS攻击、网络滥用行为等安全问题，分析和判断异常流量、病毒或攻击类型(例如SQL Slammer等大量占用链路资源的蠕虫病毒攻击)。在部署异常流量监测系统的同时，配合联想网御异常流量过滤系统LeadSec-Guard，在发现异常流量的同时，采取必要的防护和过滤手段，提高响应速度。

　　异常流量监测

　　联想网御LeadSec-Detector、Arbor Peakfolw采用Netflow分析技术，积极主动地检测和追踪网络范围的异常现象，如：分布式拒绝服务攻击(DDoS)和蠕虫。能为网络维护人员在网络还没受影响，服务还没发生问题和用户还没投诉前快速提供这些安全威胁所需的信息资料，为维护基础网络安全提供有效的帮助。

　　异常流量监测系统采用二层分布式结构，分为控制器(Controller)和采集器(Collector)两种模式，采集器(collector)负责收集各被监测设备的流量数据，对收集的流量数据做本地分析处理;控制器(Controller)能够将所有采集设备的数据进行统一的汇总、处理和关联分析;用户可以通过一个统一的WEB界面了解所有的数据分析结果，并管理系统内部所有设备。

　　如下图所示：

异常流量控制

　　为真正降低网络中异常流量对基础网络的影响，提高应急响应的效率和自动化程度，电信运营商应同时部署异常流量监测系统和流量过滤系统，通过两个设备的联动，对用户重点关心的网段或大客户实现特殊保护。一旦发现有异常流量行为，立即将异常流量引入异常流量过滤系统进行“清洗”，以保护重要系统或重要客户网络资源，降低异常流量对这些系统的冲击。

　　方案效益

　　该解决方案适应了电信运营商网络流量大、网络设备多的特点，采用分布式的体系结构，具有良好的扩展性，能够支持大型电信运营商对网络中异常流量监测和安全控制，能够为电信运营商网络提供网络维护和业务增值上的帮助。主要表现在：

　　在网络发生DDoS或蠕虫攻击时给安全管理人员提供迅速排除故障的手段。当网络中发现大规模的安全攻击时，安全管理人员可以通过异常流量分析系统对异常流量的实时监控发现异常流量和攻击的类型和来源。

　　发现恶意发出攻击的用户以及被病毒/蠕虫感染的用户。在异常流量分析中，能够发现一些用户恶意发出攻击或用户设备被感染而发出攻击。

　　预先警觉未知的DDoS或病毒/蠕虫攻击。异常流量监测系统是采用寻找与正常网络行为比较有偏差地方的模式，因此任何类型的攻击，无论是已知的还是新生的，都因为它对网络正常行为的影响而被检测到。

　　一旦异常流量行为被发现，网管人员可以立即做出响应，异常流量监测系统可触发异常流量过滤系统的保护机制;异常流量过滤系统根据预先指定的保护策略对访问目标对象的流量进行引流，该流量在异常流量过滤系统将被再次进行分析，流量成份中的异常行为将被过滤，从而缩短针对异常流量告警的响应时间。