面向高端网络的DDoS攻击一直是业内的一个难题。东软NetEye异常流量分析与检测系统( NTARS)是东软公司面向高端网络领域推出的流量分析系统,并由于一脉相承的血统缘故,NTARS不仅具备一般网络流量分析系统的仪表功能,而且着重突出系统在异常流量分析方面的专长技能并提供多种响应处理手段。作为异常流量的常见表现形式,DDoS行为被列为NTARS系统的基本防范目标之一。
NTARS系统通过综合采用ICA复合采集机制、高效检测引擎和自动响应能力等多项技术,为高端网络DDoS流量防护给出全新的解决路线,并充分保障了目标网络的原有稳定性。
疏密有致的ICA复合采集机制
NTARS所实现的ICA复合采集机制,广泛吸取Netflow、Sflow、Cflowd、NetStream、Port Mirroring、SNMP等各项技术的综合优势,通过多种渠道获得采集对象的传输层以下各协议层特征甚至可按需获得可疑流量应用层完整信息,为准确检测海量背景压力下混杂的DDoS流量提供多元化的基础数据。ICA复合采集机制所呈现的技术优势表现在以下几方面:
a) 旁路接入设计:ICA复合采集机制完全通过旁路接入方式实现对监控网络的分析采
集,能够彻底排除串联式DDoS防护机制给原有网络稳定性所引入的负面影响,同时还利用现有设备内嵌的各类Agent自动完成数据提取,可无缝支持各种物理/链路层规程接口,如POS、MPLS、万兆以太等;
b) 高度复合的数据采集能力:ICA技术所支持的各种采集方式不再是简单的并列平行
运作,而是能够按照检测策略要求在彼此之间进行智能化的复合关联,一种数据采集方式所产生的分析结果能够智能驱动其他数据采集方式的启用,自动引导数据进入不同层次的分析引擎中。如基于Flow/SNMP的采集数据所产生的分析报告,在NTARS主控模块协调下能够自动触发SPAN、网元配置分析等操作,从而将可疑流量有选择的分流到高层分析模块中;
c) 疏密有致的检测作业分工:ICA多种采集方式直接对应到NTARS不同的分析引擎,
各分析引擎提供针对不同层面的专项作业分工。通过不同引擎的配合,NTARS不仅可以成功发现分布在传输层以下的DDoS流量,并且还有能力对应用层内部的DDoS行为进行准确检测。各引擎之间既分工独立又可智能协同,能够广泛适用于网络性能分析、异常流量检测、服务质量监控、应用层安全过滤等多种环境中。
基于统计抽样的高效基线比对
NTARS能够通过流量基线和流量阀值两种方式提供全局流量检测服务,流量基线和流量阀值分别描述了目标链路流量分布的“正常”和“异常”:
a) 基线描述了正常情况下目标链路的流量分布和变化规律。NTars既可以根据收集到的信息自动生成流量基线,也允许管理员手工调整定制,使得基线更加贴近目标链路的实际情况。基线功能可以通过对一个指定时间周期内各项流量图式指标的定义(如总体网络流量水平、流量波动、流量跳变等),建立流量异常监测的基础模型,并可在运行中不断自我修正以完成与实际运行特征的吻合,从而提高对异常流量报警的准确性;
b) 和流量基线相比,流量阀值则直接定义了目标链路中流量异常的情况。当指定范围内的流量指标超过该阀值时,系统则判定网络中出现流量异常,并作出报警和安全响应。
流量基线和流量阀值,分别从正常、异常两种视角对目标链路的健康状况进行描述,两者的结合使用有效促进NTARS及时、准确的检测和定位异常行为,并为系统自动响应机制提供有关异常流量的规范性描述。
基于样本描述的精准特征匹配
同时,为了将混杂在正常业务应用流量中、大量消耗网络带宽的类DDoS异常行为(如Worm、Spam)准确识别出来,NTARS专门增加了基于样本描述的特征匹配检测引擎,为应用层内部的异常行为进行专项检测,把DDoS防护范围从单纯的传输层以下进一步扩大到OSI所有层面。
NetEye安全实验室提供持续更新的特征规则库。NetEye特征库采用了东软公司自主产权的NEL语言对业内已知有关网络安全的异常行为进行了严格、精确的特征描述,是NTARS进行应用层异常识别的技术基础。
多种响应手段
如果说基线概念的出现代表着网络性能分析阶段与异常行为检测阶段的临界点,那NTARS系统所具备的多种响应能力则把行为检测与安全防护两大职能分类进行了有机统一。
NTARS名字中的” R”(esponse)清晰地传达出东软公司对其防护能力所寄托的厚望。尽管采用旁路部署方式,NTARS却轻松实现了对DDoS等异常行为的主动干预,从而将其与单纯的检测报警类设备泾渭分明的区别开来。
a) 黑洞路由导入:对于源目的IP或者服务类型较为确定的DDoS流量,NTARS能够通过BGP、OSPF协议与指定路由设备进行通信或直接进行CLI静态路由配置,设置Black hole黑洞路由,从而使路由设备将异常流量直接抛弃。相对于ACL访问控制规则Deny操作而言,Black hole可实现更快的处理速度,避免NTARS所加载的反响抑制措施对路由设备造成额外的处理负荷。
b) 流量牵引及净化:同时,NTARS支持与外挂安全过滤设备的协同,如FW、IPS、防病毒过滤网关等。安全过滤设备将为NTARS提供作为专业的流量过滤净化服务。为此,NTARS在对异常流量作为正确判断后,将通过BGP或CLI方式对可疑流量进行选择性牵引,诱导路由设备将可疑流量转发至特定安全过滤设备,凭借专业化检测过略机制对可疑流量进行深度分析和控制。经过滤净化后的流量将按照管理员预设策略重新进入原有路由路径中,从而实现对高带宽流量有选择、分层次的深度过滤分析作业。
几乎所有主流防火墙、IPS、防病毒过滤网关等系统都可以成为NTARS外挂设备,NTARS将根据外挂设备的具体处理能力决定牵引流量的上限带宽,从而保证外挂过滤设备的介入不会对原有网络转发能力造成负面影响。除此之外,外挂设备处理能力的上限阀值也可以被NTARS作为重要参考因素,并据此完成同类别外挂设备之间的负载分流。
a) 自动调整ACL及traffic shaping:另外,NTARS还具备通过CLI调整指定路由设备配置文件的能力。NTARS可遵循由NEL语言预设的语法规则,完成与特定路由设备的命令行交互,按照各分析引擎的检测结果自动调整路由设备的ACL和流量整形策略,迫使路由设备拒绝相应DDoS流量或按照指定阀值自动抛弃超出部分流量,对DDoS流量进行有效抑制。
通过NTARS的多种响应手段,网络运维人员得到的不再是令人眼花缭乱的空洞报警,而是系统针对DDoS流量自动采取控制机制的切实收益。
博采众长,多技傍身
东软NetEye NTARS不仅仅是网络性能/流量分析系统,而是更具网络安全特征的异常行为检测系统;NTARS也不仅仅是单纯的DDoS防护设备,而且还能够对蠕虫传播、垃圾邮件、P2P通信、应用层内容安全以及网元设备节点监控提供一站式的服务。
a) 其他网络滥用行为的检测:通过内置的样本特征库定义,NTARS可以通过行为分析、特征匹配等手段准确检测蠕虫、垃圾邮件或P2P通信的发生,并允许以此作为生成流量分析报告的过滤条件(Filter)。NetEye安全实验室为NTARS样本特征库提供在线升级服务;
b) 应用层内容监测:针对常见应用协议,如HTTP、FTP、Telnet、SMTP、POP3、NNTP、IMAP、DNS、Rlogin、Rsh、MSN、Yahoo Messenger等,NTARS均可对其进行关键指令、重要URL和敏感内容进行实时监测;
c) 网元设备监控:NTARS认为“链路”和“节点”是构成一张拓扑图的基本要素,因此“流量图式分析”和“网元状态监控”对于判断一个网络系统内部访问秩序都是必不可少的重要依据。NTARS通过内嵌的网络设备监控模块将系统分析对象从单纯的链路流量扩展到节点内部运行状态,为异常流量准确判断和定位提供了有效保证。
总之,东软NetEye NTARS是集检测与响应于一身的混合型防护设备,不仅通过旁路部署的方式避免了对高端网络稳定性的影响,而且又利用BGP/CLI等方式完成了对可疑流量的反向抑制。