超寬帶網絡安全體系及關鍵技術研究

王 帥，金華敏，沈 軍

（中國電信股份有限公司廣州研究院 廣州510630）

1 引言

隨著社會信息化進程的加速以及云計算、大數(shù)據(jù)等技術及應用的規(guī)模發(fā)展，寬帶戰(zhàn)略受到各國重視，加快建設寬帶、融合、安全、泛在的下一代國家信息基礎設施也成為我國“十二五”規(guī)劃的重要目標之一。與此同時，國家對網絡和信息安全的重視程度日益提升，“十二五”規(guī)劃明確提出“加強網絡與信息安全保障”為重要目標，時任國務院總理溫家寶在國務院常務會議中也提出，將加強網絡與信息安全保障、全面提升下一代互聯(lián)網安全性和可信性作為重點任務。

寬帶網絡作為國家信息化基礎設施，其網絡和信息安全保障至關重要，一旦發(fā)生安全問題，將影響社會和諧穩(wěn)定，甚至危及國家安全，因此在寬帶戰(zhàn)略的建設發(fā)展中，全方位的網絡和信息安全保障成為其不可或缺的重要組成部分。構建高可信的端到端一體化網絡安全保障體系，實現(xiàn)縱深、自適應、協(xié)同、可視化的高效網絡和信息安全保障，不僅可滿足超寬帶網絡發(fā)展的需要，也能進一步滿足國家信息化安全發(fā)展的要求。

本文從超寬帶網絡大帶寬接入、融合承載等特點和需求出發(fā)，提出了高可信網絡基礎設施架構、一體化全風險感知及抑制、覆蓋全網的協(xié)同安全防御的遞進式縱深安全設計理念，探討了基于該理念構建的超寬帶網絡安全體系架構及其特點，并對一體化安全管控、多維關聯(lián)分析及資源調度等關鍵技術進行了深入研究。

2 超寬帶網絡安全體系架構

網絡安全體系強調以安全風險為核心，通過安全評估、檢測、響應和恢復等生命周期各環(huán)節(jié)的措施使網絡安全水平得到螺旋式提高，同時信息安全保障框架（information assurance technology frame，IATF）認為，為達到網絡安全保障的目標，應采用多層次、縱深的安全保障措施實現(xiàn)對網絡的多層保護。隨著技術發(fā)展和市場需求的進一步演進，網絡安全技術和應用呈現(xiàn)出主動化、智能化、服務化和云化等特點，全方位、一體化、縱深防御的可信安全防護趨勢不斷加強。超寬帶網絡具有融合開放和高效能的特點，開放性在帶來用戶便利性的同時也使得互聯(lián)網每個層面都成為可能的安全風險點，高效能對安全防御效率也提出更高要求。因此，超寬帶網絡安全體系在傳統(tǒng)網絡安全體系構建思路的基礎上，應著重體現(xiàn)縱深防御的特點，通過網絡基礎設施架構的分層分域設計及實施、安全風險一體化管控、全方位防御措施部署，構建遞進式縱深安全體系架構，實現(xiàn)開放式網絡環(huán)境下網絡和用戶行為的可知可管可控；同時注重提升安全管控及防御的精度和性能，通過安全風險管控、防御能力等的動態(tài)調度及高效協(xié)同，實現(xiàn)海量用戶接入環(huán)境下安全風險全面預防、快速響應。

超寬帶網絡安全體系特征具體表現(xiàn)在以下幾點。

圖1 超寬帶網絡SAFES

·縱深防御：即安全防御體系具有層次性、等級性，任意安全措施的失效不影響整體安全性。

·主動防護：即能主動發(fā)現(xiàn)未知安全威脅，主動地、有針對性地動態(tài)調整安全策略，并大規(guī)模部署實施安全策略，保證安全問題得到及時的自動化處理。

·快速響應：即及時發(fā)布有效告警，具備統(tǒng)一安全視圖和集中控制平臺，具有完善的應急響應機制和手段，實現(xiàn)快速、高效的安全事件處理。

·安全可信：即網絡本身具備頑健性，對網絡資源狀態(tài)及用戶行為具備可管可控能力，實現(xiàn)用戶身份可信、網絡通道可信、業(yè)務行為可信。

·一體協(xié)同：即具有全網聯(lián)動的分析及處理能力，利用分布式資源調度協(xié)同防御機制和手段的完善，實現(xiàn)安全事件精確感知及定位，安全資源高效復用。

從上述特征出發(fā)，本文提出超寬帶網絡SAFES（self adaptive framework of effective security system）如圖1所示，包括高可信網絡基礎設施、一體化安全管控平臺、全方位專業(yè)安全系統(tǒng)3部分，實現(xiàn)用戶—業(yè)務—網絡的端到端一體化安全，為打造潔凈、可信、可靠的超寬帶服務提供安全保障。

（1）高可信網絡基礎設施架構

IP網與傳統(tǒng)電信網絡相比之所以安全問題頻發(fā)，究其根本在于互聯(lián)網絡開放性的設計，業(yè)務、管理、控制流量同平面承載，這種開放性使得用戶不僅可以方便地進行信息的傳遞，而且可以方便地進行網元、系統(tǒng)、應用的遠程操作和管理，但在這種架構下，一旦網元、系統(tǒng)和應用出現(xiàn)安全漏洞，則攻擊者完全可以通過業(yè)務平面滲透進入管理平面，進而控制整個IP網。因此在超寬帶網絡安全體系中，首先考慮的是如何在網絡基礎設施架構中將業(yè)務平面盡量與管理平面及控制平面實施隔離管控，同時采用安全可信的方式實現(xiàn)平面間的互訪，從而提高網絡基礎設施的可用性和頑健性，強化網絡抗攻擊能力。同時依據(jù)不同安全防護需求，在對超寬帶承載網及其所承載的業(yè)務系統(tǒng)、支撐系統(tǒng)進行安全域劃分及邊界訪問控制的基礎上，對各業(yè)務系統(tǒng)、支撐系統(tǒng)實施分等級保護，重點解決信令可信傳遞、關鍵引擎檢測與保護、業(yè)務分域控制及審計、用戶鑒別及通信保密等問題，提升網絡縱深防御能力。

（2）一體化安全管控平臺

超寬帶網絡用戶、業(yè)務成倍增長，網絡規(guī)模不斷擴大，如何對超大規(guī)模網絡環(huán)境下的設備、系統(tǒng)及應用及數(shù)據(jù)多層面進行全方位安全監(jiān)控、分析，并對檢出的安全風險進行及時處理和響應，是超寬帶網絡安全體系構建的重點。一體化安全管控平臺作為超寬帶網絡安全體系的中樞管理單元，一方面面向超寬帶網絡、用戶、業(yè)務全面感知及預測安全態(tài)勢，對網絡攻擊類型、來源、目標、危害、風險分布、等級、潛在的安全威脅等進行識別及評估，實現(xiàn)網絡安全狀態(tài)、安全風險、安全事件以及安全態(tài)勢演化的統(tǒng)一可視化呈現(xiàn)；另一方面，結合資源狀態(tài)、風險等級和分布等因素實現(xiàn)綜合智能決策，并基于與流量攻擊防御、垃圾郵件防護、蜜罐等專業(yè)安全系統(tǒng)的協(xié)同調度，實現(xiàn)一體化安全風險控制。從架構上看，一體化安全管控平臺分為以下幾個層次。

·感知層：基于分布式架構對安全對象的脆弱性、威脅、資源狀態(tài)等信息實時采集。

·數(shù)據(jù)分析層：一體化安全管控平臺核心，通過與專業(yè)安全系統(tǒng)、網絡基礎設施、業(yè)務應用系統(tǒng)等的交互，采用分布式數(shù)據(jù)計算實現(xiàn)對多源大容量數(shù)據(jù)統(tǒng)一關聯(lián)分析。

·智能決策層：結合狀態(tài)感知，結合專家分析技術，智能判斷可采取的安全措施及可協(xié)調的資源，提高安全風險主動應對能力。

·安全服務層：將安全風險管理、安全事件管理、脆弱性管理、安全策略管理、安全預警管理等功能模塊化，為超寬帶網絡提供高效安全運營服務能力，并實現(xiàn)安全信息的可視化。

（3）全方位專業(yè)安全系統(tǒng)

盡管在超寬帶網絡中實施了安全風險感知及控制的中樞管理平臺，但對異常流量、僵尸網絡、惡意代碼等外部威脅來說，依靠安全信息采集分析手段無法進行深入識別，同時在對威脅的控制上也需輔以專業(yè)的技術手段。因此在超寬帶網絡安全體系中還需構建全方位的專業(yè)安全系統(tǒng)，重點突破網絡異常流量攻擊防御以及有害信息內容防護等關鍵問題，形成對超寬帶網絡異常流量的監(jiān)控、分析、調度、阻攔、限制、清洗及追蹤溯源等能力以及用戶接入信息內容安全識別、過濾等能力。同時針對網絡引擎、DNS等關鍵基礎設施進行深度安全監(jiān)控及分析，有效保護網絡核心資產的安全。此外，對僵尸網絡進行監(jiān)控，追蹤控制僵尸網絡主控端，有效檢測及抑制異常流量攻擊源頭。

3 超寬帶網絡安全體系關鍵技術

3.1 一體化安全管控引擎

一體化安全管控引擎如圖2所示，是一體化安全管控平臺的核心部分。其基于“全網檢測、集中分析、高效協(xié)同、自主抑制”的理念，構建閉環(huán)安全風險管理。通過系統(tǒng)日志收集、agent、接口等方式實現(xiàn)對網絡設備、防火墻/IDS/IPS等安全設備、異常流量監(jiān)控/流量攻擊防御等安全系統(tǒng)、數(shù)據(jù)庫/Web服務器等應用系統(tǒng)安全信息的全面采集，并采用多源多級安全風險分析方法，通過安全信息的范式化、過濾、合并、存儲及聚類處理，進行多維矩陣關聯(lián)分析，實現(xiàn)網絡/設備/應用安全風險一體化管理。同時結合狀態(tài)感知與風險及態(tài)勢分析結果，對安全策略、調度策略及協(xié)同策略進行智能決策，并基于可靠性評估的安全策略自分配，提升安全風險一體化控制能力。

在一體化安全管控引擎中最為關鍵的問題是如何在收集到的海量安全信息中挖掘出真正值得關注的高價值安全信息，降低無用或低價值信息的干擾。本文提出了多元矩陣關聯(lián)分析方法，結合漏洞、威脅、資產等信息深度挖掘安全風險、判斷安全風險等級及分布，重構整個攻擊場景，提高安全事件檢測精度，降低誤報率，及時定位網絡中潛在的安全隱患。在關聯(lián)分析中首先要建立可能的攻擊場景模型，但由于安全風險和威脅檢測要考慮的風險特征維度多達幾十種，因此在攻擊場景模型建立過程中，如何降低要考慮的風險維度，提取最關鍵的特征是重要問題。本文采用了多元遞歸建模方法，基于基本模式識別方式，在通過大量樣本訓練分類器時，為區(qū)分分類器中的非關鍵特征量，采用一個遞歸過程：

（1）選擇某一特征；

圖2 一體化安全管控引擎

（2）降低特征量數(shù)目（減去所選擇特征）；

（3）繼續(xù)用原樣本訓練分類器；

（4）用測試集測定準確率

（5）準確率變化不大，則返回步驟（1）（說明所選擇特征為非關鍵特征）；準確率變化大，則回退特征集數(shù)量，返回步驟（1）（說明所選擇特征為關鍵特征）。

最后，得到一個能保持高識別率和精簡特征向量的分類器，即精簡的攻擊場景模型，從而提高關聯(lián)分析效率。在建立攻擊場景模型后，將經標準化等處理后的安全信息按攻擊特征（包括攻擊來源、攻擊目的、攻擊類型、攻擊時間等）劃分維度，采用協(xié)方差算法對安全信息矩陣及攻擊場景模型矩陣進行相關性計算，從而分析出可能的安全事件。

3.2 異常流量協(xié)同防御

異常流量攻擊已成為IP網面臨的最嚴重安全威脅之一。對異常流量攻擊的防御包括異常流量的檢測、過濾、溯源等技術。

在超寬帶網絡安全體系中，為了實現(xiàn)異常流量的精確感知，利用一體化安全管控的統(tǒng)一調度能力，對異常流量進行兩層深度分析。第一層基于流信息，通過“源IP地址、目的IP地址、源端口、目的端口、協(xié)議號”五元組，初步分析流量中可能包含的攻擊流量特征，根據(jù)流量特征判斷最適合做該類異常流量深度分析的安全系統(tǒng)，如DDoS攻擊防御、僵尸網絡監(jiān)控、垃圾郵件防護等系統(tǒng)；第二層基于3～7層信息，在各專業(yè)安全系統(tǒng)中進行深度分組檢測，從而有效提高檢測精度。

在大規(guī)模異常流量防御中，目前通常采用部署異常流量清洗設備，進行異常流量牽引、清洗和正常流量回注的方式。超寬帶網絡安全體系的流量攻擊防御系統(tǒng)采用了“近源牽引、分域處理、彈性防御”的方案，在全網部署多個流量清洗節(jié)點，流量牽引采用任播技術，即每個清洗中心建立相同的IP Loopback地址，并宣告到網絡中；攻擊發(fā)生時，將根據(jù)接入地點的不同，由網絡IGP自動優(yōu)選出最近的路由，把流量導到最近的清洗節(jié)點，實現(xiàn)近源清洗，從而避免攻擊流量全網穿越，節(jié)省網絡資源，也減少了攻擊目標出口的流量規(guī)模，避免攻擊目標出口帶寬擁塞，保障攻擊目標的業(yè)務連續(xù)性。但在這種流量近源清洗的架構下，當清洗完的正常流量由清洗節(jié)點向攻擊目標回注時，如按原路徑返回，則將產生路由環(huán)路問題，因此本文基于分立流量域設計，采用GRE隧道等方式實現(xiàn)跨域流量回注。此外，為了應對超寬帶環(huán)境下日益增長的異常流量規(guī)模，本文方案從以下幾個層面實現(xiàn)清洗資源“池化”和按需服務：

（1）當一個清洗節(jié)點過載時，任播技術自動將流量牽引到次近清洗節(jié)點；

（2）為清洗節(jié)點設置幾組Loopback地址，當Loopback1地址的所有清洗節(jié)點過載時，流量攻擊防御控制中心（可作為一體化安全管控平臺的一個功能模塊）將宣告Loopback2的路由，將所有異常流量牽引到設置Loopback2地址的清洗節(jié)點；

（3）在重要清洗節(jié)點間通過私有協(xié)議建立連接，結合流量攻擊防御控制中心對清洗節(jié)點防御資源能力的感知，將流量調度到一個或多個互聯(lián)的清洗節(jié)點；

（4）各清洗節(jié)點通過智能集群方式實現(xiàn)多設備間資源協(xié)同調度。通過以上幾個層面顯著提升資源利用效率，提高異常流量攻擊防御性能。

監(jiān)控及抑制僵尸網絡能從根本上防范異常流量攻擊。目前通常采用蜜罐、IDS等方式監(jiān)控僵尸網絡，但檢測的效率和效果較差。超寬帶網絡安全體系采用IP流量特征和DNS深入挖掘技術相結合的方法，通過流量分析得到僵尸網絡“肉雞”IP地址，然后將“肉雞”IP導入DNS分析系統(tǒng)；通過現(xiàn)有DNS的關聯(lián)查詢和統(tǒng)計分析功能，自動分析“肉雞”IP地址所共同訪問的域名；在找到僵尸域名后，根據(jù)DNS訪問記錄，找出網內訪問僵尸域名的“肉雞”；最后根據(jù)“肉雞”IP地址進行僵尸網絡的清理。

4 結束語

隨著國家層面對實施“寬帶中國”工程的明確及推動，信息網絡寬帶升級將加速發(fā)展。作為下一代承載的超寬帶網絡具有融合開放、高效能、高體驗的特點和需求，對網絡安全提出更高要求。在這一背景下，本文針對超寬帶網絡安全需求，提出了基于高可信網絡基礎設施、一體化安全管控、全方位安全防御的三位一體的遞進式超寬帶網絡安全體系架構，分析了超寬帶網絡安全體系所具備的縱深防御、主動防護、快速響應、安全可信、一體協(xié)同等特點，并對超寬帶網絡安全體系架構各組成要素進行了詳細闡述。在此基礎上，針對超寬帶網絡安全體系中核心中樞管控引擎、異常流量防控等關鍵技術進行了深入研究和探討。在超寬帶網絡發(fā)展中，采用本文所提出的安全體系架構進行同步配套建設，不僅可以有效提升超寬帶網絡的頑健性、可用性，還可為實現(xiàn)高體驗網絡服務、業(yè)務應用提供全面安全保障，促進國家和社會信息化發(fā)展。

1 金華敏，王帥.電信運營商如何應對網絡安全新挑戰(zhàn).人民郵電報，2012-08-09

2 蔡康，唐宏，朱永慶.超寬帶城域網架構設計思路和關鍵技術淺析.電信科學，2012（1）

3 葉建成.DDoS攻擊及其防御技術研究.現(xiàn)代計算機：下半月版，2008（1）