2015年5月18日至19日,“2015全球未来网络暨SDN技术大会”在北京隆重召开。本届会议围绕未来网络、开源、SDN、NFV等网络构架前沿技术展开深入讨论,通过“设备测试、主题演讲、高峰对话、展览展示”四个维度诠释SDN开放网络产业发展动态及技术融合趋势。本次会议在中国首次举办了SDNFV的测试活动,绿盟科技携手云杉网络参与其中并在大会ShowCase环节展示Demo方案。
云数据中心利用虚拟化技术,使得资源利用率得到大幅提升,但同时也造成了网络环境的复杂化。一套物理网络承载着所有租户的流量,租户的业务多种多样,租户自身行为和网络特性也迥然有异,过硬的云端安全监控和防护刻不容缓。
绿盟科技的SDN云安全方案包括两个方向:SDN与云环境下WEB安全防护和基于流量的威胁情报分析。云杉网络2Cloud云平台以WAF服务和监控统计功能,为用户云端业务提供安全保障。
WEB安全防护,包含多层次可定制的防护手段,可提供系统监控、安全管理、日志报表以及系统管理功能,能够在SDN的网络应用环境中通过开放接口和SDN平台进行交互,给用户提供攻防对抗的核心能力。同时,云安全运营中心提供规则升级、代维服务和联合防护API,集云端智慧,助力WEB安全防护。
基于流量的威胁情报分析,可通过网络可视化带动深度态势感知,所见即所得,让用户能够直观感受网络的使用状况和异常安全事件的整体态势;其次,根据用户的网络应用环境主动式地自适应异常检测,结合业务和安全运维,发现未知安全威胁和非常规行为;同时,通过大数据分析平台,对全局数据流进行实时检测和大周期地回溯分析,为安全或运维人员提供实时流与历史数据的多维度审视功能,加速安全事件的应急响应,提升整体运维能力。
基于流量的威胁情报分析是以网络流量为基础,因此,获得实时、丰富和准确的流量统计至关重要。云杉网络的深度流探测(DFI®, Deep Flow Inspection)技术,应用于复杂的云环境中,实现全方位和细粒度的网络监控。
DFI运行于虚拟交换机内核层面,能够高效无损地统计租户的公网流量和私有网络流量。基于统计数据,上层应用利用大数据流式计算技术,实时绘制出租户业务的当前状态,并基于历史记录给出业务报表。相比其他网络探针,DFI技术直接在虚拟机出口进行统计,租户的所有内网流量也能纳入分析,从而能细粒度展现租户私有网络内的网络状况,例如及时发现热点链路,分析热点业务的网络特性等。
基于DFI技术的典型应用包括:对租户的公网流量进行业务层面的分析,展现业务的带宽消耗、时延、时频和热点等特性。如下图所示,用户可查看到按年、按月或实时的访问者地图,以及不同ISP访问者的数量和流量的访问者网络。
基于DFI的实时统计数据流,绿盟科技利用实时流式计算技术进行深度挖掘,实时展现租户内部,以及租户和互联网之间的流量型攻击。
如上图所示的DDoS攻击分析,通过对流量、包数量、包长、TCP标志位、地理位置和访问客户端数量等维度进行分析,分析用户服务器或者业务的日常访问基线。当流量行为大幅度异于以上维度的基线,则有证据判定为DDoS攻击;通过攻击流的发起方向判断攻击源,从而检测出用户是否被DDoS攻击或被作为“肉鸡”攻击外部网络。
“扫描探测行为”是大部分恶意攻击的第一步,如上图所示的Scan攻击分析,展现一定时间范围内对主机集群的多台主机或者多个端口的扫描探测行为,通过分析这种行为来发现攻击行为,判断具有窥探用户虚拟机集群意图的客户端IP或者尝试窥探外部网络的恶意内部用户。
将上述基于DFI技术的流量分析运用在云服务中,可加强数据中心及租户对网络状况的洞察能力,加强对网络态势的预判能力,为高效和准确地防御和清洗攻击提供有效手段。