绿盟科技

首页->解决方案->运营商行业解决方案->绿盟威胁分析溯源解决方案

解决方案

绿盟威胁分析溯源解决方案

1、业务挑战


纵观2015全年DDoS威胁态势,DDoS攻击峰值流量不断上升,甚至出现1Tbps超大流量攻击事件,全年的攻击总量276531.562Tbytes,大流量乃至超大流量攻击更易于在运营商层面发现及治理。同时攻击形式发生改变,具有多维度两极分化的特征,数据来自绿盟科技发布《2015 DDoS威胁报告》


多年来,绿盟科技致力于协助运营商实现业务的安全顺畅运行。在长期的安全攻防中,绿盟科技与运营商同时面临着众多挑战,例如:

• DDoS监控与溯源

DDoS攻击愈演愈烈,近源清洗无疑是运营商的优势领地,然而分布式攻击如同溪流汇聚,源头隐藏在细小的正常流量中不易感知,汇聚后又具有巨大的杀伤力。并且运营商在着力发展云计算的同时,公有云IDC往往容易成为僵尸主机的温床,虽然国家、集团对自营IDC做出了这方面的严格要求甚至加入考核指标,但治理外发攻击仍然困难重重。

• 查找网络攻击源

与DDoS并存的还有黑客的网络攻击。在近年来重点关注的公民隐私信息泄露事件以及时刻威胁着运营商业务与基础设施的常见攻击中,黑客利用如跳板技术、伪造地址等技术手段隐藏在公网的阴暗处如同颗颗毒瘤,常规治疗(攻防)往往治标不治本,黑客攻击失败后隐藏起来随时准备着下一次入侵。

• 如何长期追溯取证

运营商骨干网有着流量巨大,客户群体巨大的先天因素。面对着每秒天文量级的数据传输量,传统的记录手段要么需要指定极小量的监控目标,要么记录无法长期存储。一旦发现问题,往往数字证据已经湮灭无从查找,导致事故责任无法追溯,只能由运营商蒙冤承担。

• 网络故障无法定位

运营商骨干网以及延伸网络,网络环境十分复杂,每次故障必须依赖经验丰富的运维人员在大量的辅助信息进行排错,处理的速度往往与运营商分秒必争的目标背道而驰。

• 结果是否可视化

在运营商的安全运维中,时刻产生大量文本型信息并以此为主。既不方便运维人员分析与应对、消耗了运维人员大量精力的同时无法为决策者提供足够的决策支撑。

 

2、解决方案

为此,绿盟专项开发了针对运营商行业的威胁分析溯源解决方案。结合绿盟成熟的异常流量分析技术以及世界前沿的大数据技术,针对性解决以上挑战。针对每秒数以亿计的全网流量采样数据进行实时的处理、分析、存储、呈现等。并将原始数据保留超过6个月甚至1年以上,并基于大数据分析平台,实现威胁事件分析、业务异常排障、事件溯源取证。


3、方案亮点


大网数据实时处置

• 全网实时监控、双向流量监测

  突破传统设备性能限制,无需设定采集目标而直接对整个网络进行双向全流量采样。对全网异常流量进行实时监控,从业务角度、设备角度等不同层面进行趋势分析。尤其关注外发的异常流量。

• 全网全流量采样,实时处置

  利用大数据技术,每分钟千万级数据实时入库,同步进行分析并接受查询。

• 原始数据长期保存,支持系统与人工按需查询

  支持长达数月的全网流量数据进行查询匹配。配合定制工具可进行针对恶意行为或网络故障进行定位和追溯。


可视化全呈现

• 告警分级分时统计,流量、告警实时呈现。

  根据风险标准,分析事件并进行总结性呈现,同时支持针对性实时呈现。

• 地图模式大屏展示。

  支持在多种展示情景下,以不同颗粒度实时展示攻击流量。


流量行为建模

• 攻防行为建模

  通过对数据流行为建模自主判断、匹配僵木蠕乃至跳板攻击、CC主机等,摆脱传统安全系统只能通过指纹或者样本库的方式发现已知恶意行为。

• 机器学习建立认知,精准匹配与智能触发

  通过引入机器学习配合调优的学习模型与训练模型,不断校准行为模型。


4、应用场景


• 运营商骨干网多级监控

在运营商骨干网络进行部署,同时接受骨干网设备与城域网设备的流量数据。结合相应的SNMP信息,除了重点监控对内与外发的DDoS攻击,同时兼顾恶意攻击源的追溯与故障点排错。


• 企业内网、IDC全域流量监控

将系统部署在内网,接收出口、核心层至接入层设备以及虚拟化网络设备提供的流量数据以及相应SNMP信息,帮助企业及时发现如入侵、病毒木马、APT恶意攻击以及内部网络故障。