论文部分内容阅读
摘 要:随着计算机及通信技术的飞速发展,网络在给人们带来方便快捷的同时,网络安全事件不断地增多,其中网络恶意代码(包括僵尸网络、木马、病毒、蠕虫)给网络系统带来的危害和损失也在不断升级,尤其是僵尸网络、木马和蠕虫。
(1)僵尸网络:对通信服务质量产生影响,同时也是DDOS攻击发生的主要原因;
(2)木马:木马攻击不仅会造成目标服务器上重要文件和信息的泄漏,而且还会造成感染主机被黑客利用成为远程操控的工具;
(3)蠕虫:早期的蠕虫仅仅是恶意代码的传播手段,但新型的蠕虫(如飞客蠕虫等)已经具备了攻击特征,成为网络系统的安全隐患。
面对木马、蠕虫及僵尸网络可能造成的严重危害,作为网络的建设者和运营者,需要通过必要的手段建设予以应对,履行保障网络基础设施的重任:
(4)保障客户合法权益,是金牌服务的终极目标,通过手段建设,防范木马、蠕虫等有害代码给客户带来的安全风险,确保客户隐私不被泄露、客户账户不被操作、客户资金不被窃取,保障客户合法权益;
(5)维护业务健康发展,是持续发展的内在动力,通过手段建设,防范木马、蠕虫、僵尸网络对于基础电信资源的违规使用和干扰破坏,提供可靠网络传输保障和服务质量,支撑业务健康发展;
(6)遵循监管合规要求,是遵循的强制要求,使企业避免不必要的法律风险,同时也是电信践行社会责任、梳理企业形象的必然选择。
关键词:互联网;网络安全;木马;防范
引言:为解决网络日益突出的网络安全威胁,特别是网络恶意代码(包括僵尸网络、木马、病毒、蠕虫)给网络系统带来的危害和损失,在数据网工程建设中,应考虑对木马和僵尸网络监测系统的建设,逐步实现对湖北电信互联网中木马和僵尸网络的实时监测预警、趋势分析功能,是网络具备监测、防范功能。木马与僵尸网络监测系统性能还应考虑到高效扩展性,需要增加多种协议的识别、解析、过滤、监控等能力,完善系统功能,提升系統的可用性和价值,满足对木马与僵尸网络事件监测需求。
一、系统建设方案
根据平台硬件现状分析,其系统建设方案应通过建设增加若干一体化监测封堵设备,实现网络安全预警及防范。根据数据网络情况,省会城域网出口链路的流量采集模型暂定为上行占比20%,下行占比80%。分流设备根据端口号将需进行采集分析的HTTP/FTP/POP3/SMTP等协议流量复制镜像到僵木蠕监测设备,需采集协议流量占总流量比例提升为50%。其平台系统建设拓扑图如下:
系统应以新增100GE链路监控为主流,出口链路的上行负载为20%,下行负载为80%,需采集协议占比为40%的原则,同时木马和僵尸网络监测系统覆盖链路与应于城域网出口DPI设备协同建设,需要DPI系统增加城域网出口100GE下行链路的覆盖,并配置10GE分流板卡,将HTTP FTP POP3 SMTP 等协议流量复制镜像通过10GE链路接到僵木蠕监测设备,可通过DPI如下配置清单实现上述设计:
二、系统建成后实现效果
通过上述工程设计,可实现对网络安全威胁的监测和封堵。其建设设备可实现的软件功能主要包含:
(1)对SMB、NFS协议的识别、解析过滤以及对协议中僵木蠕控制指令的监测功能;对web攻击类事件的监测功能,支撑集团后续攻击事件溯源分析等能力;增加数据备份缓存功能,除数据上报及故障恢复上报外,增加本地额外数据和样本存储功能;增加自拨测功能,支持在检查前通过集团平台进行系统封堵功能拨测验证;增加对固网传播移动恶意程序的监测功能及监测特征库,支撑集团固移融合分析功能;完善监测特征库升级日志及展示。
(2)汇聚分流设备等的管理功能,包括对设备连接状态的监测管理,可通过新增加接口,对接实现对僵木蠕监测与处置设备的采集口、上传网口的流量情况及状态监测,可辅助支撑网络链路的排查和故障快速定位。
(3)对于往期扩容新增部分僵木蠕监测和处置设备,需要扩展处置设备接口功能,包括但不限于封堵策略库的管理、封堵策略下发心跳接口保证策略下发到指定设备并生效反馈,封堵结果数据上报功能,以及统计封堵的结果情况进行展示。
(4)对多种类型封堵策略的管理支持,支持不同类别异厂商封堵策略的转发功能,同时接口增加灰名单策略的下发功能。
(5)针对链路的流量异常状态监控及监测处置设备的负载监控,对异常状态进行告警,告警形式包括但不限于邮件告警。
通过对上述软件功能的实现,可基本保障网络对于僵尸、木马、蠕虫病毒的监测、预警及防范功能,能较好提升网络安全能力。
参考文献
[1]张远望.100G以太网技术和应用.中兴通讯技术.2009:18
[2]杨光,李非非,杨洋.浅析计算机网络安全防范措施.科技信息.2011:28
[3]秋心.用户选用防火墙面面通.网络与信息.2007:32.
[4]阎慧等.防火墙原理与技术.机械工业出版社.2004:85.
[5]徐国爱.信息安全管理.北京邮电大学出版社.2008:69.
[6]柳祝辉.智能提速平台工程技术规范.电信技术.2015
作者简介
蔡靖,男,湖北省武汉市人,民族:汉,职业:工程师,学历:工程硕士。研究方向:互联网技术。单位:湖北省电信有限公司。
(作者单位:湖北省电信有限公司)
(1)僵尸网络:对通信服务质量产生影响,同时也是DDOS攻击发生的主要原因;
(2)木马:木马攻击不仅会造成目标服务器上重要文件和信息的泄漏,而且还会造成感染主机被黑客利用成为远程操控的工具;
(3)蠕虫:早期的蠕虫仅仅是恶意代码的传播手段,但新型的蠕虫(如飞客蠕虫等)已经具备了攻击特征,成为网络系统的安全隐患。
面对木马、蠕虫及僵尸网络可能造成的严重危害,作为网络的建设者和运营者,需要通过必要的手段建设予以应对,履行保障网络基础设施的重任:
(4)保障客户合法权益,是金牌服务的终极目标,通过手段建设,防范木马、蠕虫等有害代码给客户带来的安全风险,确保客户隐私不被泄露、客户账户不被操作、客户资金不被窃取,保障客户合法权益;
(5)维护业务健康发展,是持续发展的内在动力,通过手段建设,防范木马、蠕虫、僵尸网络对于基础电信资源的违规使用和干扰破坏,提供可靠网络传输保障和服务质量,支撑业务健康发展;
(6)遵循监管合规要求,是遵循的强制要求,使企业避免不必要的法律风险,同时也是电信践行社会责任、梳理企业形象的必然选择。
关键词:互联网;网络安全;木马;防范
引言:为解决网络日益突出的网络安全威胁,特别是网络恶意代码(包括僵尸网络、木马、病毒、蠕虫)给网络系统带来的危害和损失,在数据网工程建设中,应考虑对木马和僵尸网络监测系统的建设,逐步实现对湖北电信互联网中木马和僵尸网络的实时监测预警、趋势分析功能,是网络具备监测、防范功能。木马与僵尸网络监测系统性能还应考虑到高效扩展性,需要增加多种协议的识别、解析、过滤、监控等能力,完善系统功能,提升系統的可用性和价值,满足对木马与僵尸网络事件监测需求。
一、系统建设方案
根据平台硬件现状分析,其系统建设方案应通过建设增加若干一体化监测封堵设备,实现网络安全预警及防范。根据数据网络情况,省会城域网出口链路的流量采集模型暂定为上行占比20%,下行占比80%。分流设备根据端口号将需进行采集分析的HTTP/FTP/POP3/SMTP等协议流量复制镜像到僵木蠕监测设备,需采集协议流量占总流量比例提升为50%。其平台系统建设拓扑图如下:
系统应以新增100GE链路监控为主流,出口链路的上行负载为20%,下行负载为80%,需采集协议占比为40%的原则,同时木马和僵尸网络监测系统覆盖链路与应于城域网出口DPI设备协同建设,需要DPI系统增加城域网出口100GE下行链路的覆盖,并配置10GE分流板卡,将HTTP FTP POP3 SMTP 等协议流量复制镜像通过10GE链路接到僵木蠕监测设备,可通过DPI如下配置清单实现上述设计:
二、系统建成后实现效果
通过上述工程设计,可实现对网络安全威胁的监测和封堵。其建设设备可实现的软件功能主要包含:
(1)对SMB、NFS协议的识别、解析过滤以及对协议中僵木蠕控制指令的监测功能;对web攻击类事件的监测功能,支撑集团后续攻击事件溯源分析等能力;增加数据备份缓存功能,除数据上报及故障恢复上报外,增加本地额外数据和样本存储功能;增加自拨测功能,支持在检查前通过集团平台进行系统封堵功能拨测验证;增加对固网传播移动恶意程序的监测功能及监测特征库,支撑集团固移融合分析功能;完善监测特征库升级日志及展示。
(2)汇聚分流设备等的管理功能,包括对设备连接状态的监测管理,可通过新增加接口,对接实现对僵木蠕监测与处置设备的采集口、上传网口的流量情况及状态监测,可辅助支撑网络链路的排查和故障快速定位。
(3)对于往期扩容新增部分僵木蠕监测和处置设备,需要扩展处置设备接口功能,包括但不限于封堵策略库的管理、封堵策略下发心跳接口保证策略下发到指定设备并生效反馈,封堵结果数据上报功能,以及统计封堵的结果情况进行展示。
(4)对多种类型封堵策略的管理支持,支持不同类别异厂商封堵策略的转发功能,同时接口增加灰名单策略的下发功能。
(5)针对链路的流量异常状态监控及监测处置设备的负载监控,对异常状态进行告警,告警形式包括但不限于邮件告警。
通过对上述软件功能的实现,可基本保障网络对于僵尸、木马、蠕虫病毒的监测、预警及防范功能,能较好提升网络安全能力。
参考文献
[1]张远望.100G以太网技术和应用.中兴通讯技术.2009:18
[2]杨光,李非非,杨洋.浅析计算机网络安全防范措施.科技信息.2011:28
[3]秋心.用户选用防火墙面面通.网络与信息.2007:32.
[4]阎慧等.防火墙原理与技术.机械工业出版社.2004:85.
[5]徐国爱.信息安全管理.北京邮电大学出版社.2008:69.
[6]柳祝辉.智能提速平台工程技术规范.电信技术.2015
作者简介
蔡靖,男,湖北省武汉市人,民族:汉,职业:工程师,学历:工程硕士。研究方向:互联网技术。单位:湖北省电信有限公司。
(作者单位:湖北省电信有限公司)