中國移動集團(tuán)重點 /聯(lián)合研發(fā)項目結(jié)題匯報報告 項目名稱： 項目編號： 第 2頁 研究背景 目 錄 系統(tǒng)組網(wǎng)結(jié)構(gòu)圖 海量 模擬實驗情況匯報 第 3頁 研究背景 1、 旦被攻擊，將產(chǎn)生重大通信阻斷問題： 2009年電信 519暴風(fēng)攻擊事件導(dǎo)致 電信 6省互聯(lián)網(wǎng) 省受到不同程度影響；聯(lián)通、鐵通各有 14省 動由于互聯(lián)網(wǎng)用戶較少， 6個省 0%左右。 2、緩存投毒、域名劫持安全問題越發(fā)突出： 2010年 1月 12日晨 7時起，至 12時之間網(wǎng)絡(luò)出現(xiàn)百度出現(xiàn)無法訪問的情況。官方事故原因說明為：致全球多處用戶不能正常訪問百度。 針對 要一個系統(tǒng)能夠?qū)崿F(xiàn)對 依靠策略對于所有的訪問進(jìn)行監(jiān)控，對于可能出現(xiàn)的安全事件（如大規(guī)模攻擊、網(wǎng)站欺詐等）及時作出判斷，并可采取相應(yīng)的措施進(jìn)行封堵。 第 4頁 研究背景 目 錄 系統(tǒng)組網(wǎng)結(jié)構(gòu)圖 海量 模擬實驗情況匯報 第 5頁 四川移動針對 一 ) 一、 建立應(yīng)用層網(wǎng)絡(luò)攻擊自動防御機(jī)制，當(dāng) 效消除 確保 預(yù)警環(huán)節(jié) ： （ 三項關(guān)系為或） 1、單位時間 能為遭受海量請求攻擊 2、單位時間域名解析失敗量達(dá)到設(shè)定條件，可能遭受畸形報文攻擊，以及構(gòu)造虛擬域名進(jìn)行海量請求攻擊； 3、某域名單位時間請求量達(dá)到設(shè)定條件，可能某網(wǎng)站被攻擊 啟動環(huán)節(jié)： 智能化封堵環(huán)節(jié)： 建立單位時間“ 系模型，并動態(tài)更新。封堵機(jī)制啟用時，系統(tǒng)將用戶側(cè) 滿足設(shè)定條件的 序添加 智能化保護(hù)環(huán)節(jié)： 當(dāng) 止僵尸 止防火墻過載退服。 智能化還原環(huán)節(jié)： 當(dāng) 序自動解封。 第 6頁 二、建立 遭受緩存投毒攻擊以及域名劫持攻擊時，自動清理緩存服務(wù)器域名數(shù)據(jù)， 確保 1、有效識別緩存投毒攻擊，實時預(yù)警并自動修復(fù) 在 于發(fā)往同一個遞歸 常的情況只產(chǎn)生 1個回應(yīng)包。當(dāng)在 10秒內(nèi)收到來自該 明這個請求鏈路之間被緩存投毒，系統(tǒng)將實時告警，并自動登陸緩存服務(wù)器進(jìn)行數(shù)據(jù)清除。 2、有效識別域名劫持，實時預(yù)警并自動修復(fù) 建立第三方域名庫（部分熱點域名、重點域名），將 域名解析錯誤時，自動登陸授權(quán)服務(wù)器進(jìn)行數(shù)據(jù)修復(fù)。 3、對于域名異常情況進(jìn)行半自動分析，生成釣魚網(wǎng)站庫，并自動同步 施釣魚網(wǎng)站攔截，加強(qiáng)用戶關(guān)懷，提升客戶感知。 （該功能的完善，還需要結(jié)合網(wǎng)頁數(shù)據(jù)比對分析，計劃下階段開展） 四川移動針對 ） 第 7頁 研究背景 目 錄 系統(tǒng)組網(wǎng)結(jié)構(gòu)圖 海量 模擬實驗情況匯報 第 8頁 系統(tǒng)組網(wǎng)結(jié)構(gòu)圖 四川公司 端采用兩臺 550防火墻作為 過鏡像數(shù)據(jù)方式抓取前端 8508上所有數(shù)據(jù)包進(jìn)行分析，監(jiān)測平臺根據(jù)預(yù)設(shè)規(guī)則加以處理，對監(jiān)控的異常 這種部署結(jié)構(gòu)適用于不同網(wǎng)絡(luò)的 影響 第 9頁 研究背景 目 錄 系統(tǒng)組網(wǎng)結(jié)構(gòu)圖 海量 模擬實驗情況匯報 第 10頁 海量 預(yù)警環(huán)節(jié)： 分析海量 立一套對異常請求攻擊的預(yù)警模型，包括 單個域名解析請求增量模型 。 啟動環(huán)節(jié)： 系統(tǒng)實時關(guān)注 統(tǒng)設(shè)定適當(dāng)?shù)膯訔l件，當(dāng) 動 發(fā)起攻擊的 封堵環(huán)節(jié)： 系統(tǒng)建立單一 過模型可判斷提取發(fā)起異常解析請求的 某 入僵尸庫，根據(jù)請求總量大小，按序封堵。 保護(hù)環(huán)節(jié)： 在封堵過程中，系統(tǒng)同時實時關(guān)注防火墻負(fù)載情況，當(dāng)防火墻符合達(dá)到一定壓力時，停止添加阻斷策略，防止防火墻因過載導(dǎo)致退服風(fēng)險，對防火墻及整個網(wǎng)絡(luò)起到智能保護(hù)作用。 還原環(huán)節(jié)： 當(dāng)攻擊結(jié)束， 統(tǒng)根據(jù)智能化策略老化機(jī)制，撤除防火墻上的阻斷策略，使得整個網(wǎng)絡(luò)運行狀態(tài)恢復(fù)到攻擊發(fā)生前的原始正常狀態(tài)。 預(yù)警 啟動 封堵 保護(hù) 還原 第 11頁 海量 第 12頁 預(yù)警環(huán)節(jié)單位時間 通過較長時間對四川移動 ：白天平均每分鐘訪問量通常在 26間，夜晚高峰也不會 超過 34萬 。我們據(jù)此建立了 5分 鐘 5分 鐘累計請求量超過 170萬 時，系統(tǒng)將進(jìn)行實時告警，并給出 5分鐘內(nèi)請求的客戶端 目前根據(jù)此策略，日均告警量在 15條左右，而且在短時間內(nèi)都能恢復(fù)正常，基本排除人為攻擊，通常是網(wǎng)站促銷等秒殺活動，或熱點事件。 正常情況下 短時間內(nèi)域名訪問請求突然大幅增高，則有可能發(fā)生了 們以此建立了 第 13頁 通過較長時間對四川移動 ：白天平均每分鐘失敗量通常 間，夜晚高峰也不會超過 我們據(jù)此建立了 5分鐘 敗量的模型，當(dāng) 5分鐘累計請求量超過 15萬 時，系統(tǒng)將進(jìn)行實時告警，并給出 5分鐘內(nèi)失敗請求的發(fā)起端 目前根據(jù)此策略，日均告警量在 25條左右，僅在 11月 30日晚上 22： 100表現(xiàn)異常， 5分鐘內(nèi)最大失敗次數(shù)最高達(dá)到了 22萬，經(jīng)查是 確認(rèn)此 P，故沒進(jìn)行封堵，監(jiān)控 40分鐘后，恢復(fù)正常。 正常情況下 短時間內(nèi)域名訪問失敗返回突然大幅增高，則有可能發(fā)生了 們以此建立了 預(yù)警環(huán)節(jié)單位時間 第 14頁 通過對單一域名的解析請求話務(wù)模型的分析，建立了兩種攻擊發(fā)現(xiàn)機(jī)制：單一域名解析總量模型和但以域名解析增量模型。分別適用于點擊量小的非熱點域名和點擊量大的熱點域名。因此，我們建立了 “訪問量滑動平均值”計算模型 ：系統(tǒng)會針對單個域名在 5倍單位時間內(nèi)的解析請求平均值作為判定基數(shù)，以智能化的適應(yīng)每天訪問量的自然波峰和波谷計算，有效提高判斷的準(zhǔn)確性。 此策略可針對不同數(shù)量級的點擊量的域名，設(shè)定響應(yīng)的告警閥值。 預(yù)警環(huán)節(jié)單一域名解析請求增量設(shè)定條件研究 正常情況下同一域名的解析量應(yīng)該保持在相對平穩(wěn)的變化范圍內(nèi)，當(dāng)短時間內(nèi)該域名訪問請求突然大幅增高，則該域名可能被攻擊。我們以此建立了單個域名解析總量和增量話務(wù)模型。 單個域名解析總量話務(wù)模型 單個域名解析增量話務(wù)模型 滑動均值： 86 峰值： 2507 滑動均值： 606 峰值： 5103 第 15頁 啟動環(huán)節(jié) 啟動環(huán)節(jié)： 系統(tǒng)實時關(guān)注 統(tǒng)設(shè)定適當(dāng)?shù)膯訔l件，當(dāng) 動 發(fā)起攻擊的 通過近一個月對我省 現(xiàn)在正常情況下它們的狀態(tài)值都很穩(wěn)定，當(dāng)出現(xiàn)大量的攻擊事件時， 下圖所示： 根據(jù)這些統(tǒng)計值，我們將 %， 內(nèi)存使用率設(shè)置為 35%，即能夠作為系統(tǒng)運行狀態(tài)是否正常的重要判定依據(jù)。 當(dāng) 啟動自動封堵處理流程，對事件源 第 16頁 封堵環(huán)節(jié)智能化封堵設(shè)定條件研究 通過較長時間的觀察，我們發(fā)現(xiàn)除開 公網(wǎng)出口等這些內(nèi)部 一 00次 /分鐘 以內(nèi)，即便是夜間峰值也很難超過 1500次 /分鐘 ；請求失敗率通常穩(wěn)定在 10%以下，峰值不會超過 20%。因此，我們分別建立了單一 5000次 /5分鐘，較話務(wù)模型增長倍數(shù)超過 2倍 / 5分鐘及 5分鐘單一 000/次的異常 封堵環(huán)節(jié)： 系統(tǒng)建立單一 過模型可判斷提取發(fā)起異常解析請求的某 列入僵尸庫，根據(jù)請求總量大小，按序封堵。 正常情況下單一 短時間內(nèi)某個 該 們以此建立了單一 第 17頁 封堵環(huán)節(jié)封堵實施環(huán)節(jié) 通過這兩個話務(wù)模型的應(yīng)用，平均每天能夠發(fā)現(xiàn) 610個 經(jīng)觀察，均為短時間請求異常，未對 當(dāng) 啟動自動封堵機(jī)制，即對事件源 封堵方式：系統(tǒng)通過 事件源 實現(xiàn)對該 第 18頁 保護(hù)環(huán)節(jié)防火墻過載保護(hù)設(shè)定條件研究 保護(hù)環(huán)節(jié)： 在封堵過程中，系統(tǒng)同時實時關(guān)注防火墻負(fù)載情況，當(dāng)防火墻符合達(dá)到一定壓力時，停止添加阻斷策略，防止防火墻因過載導(dǎo)致退服風(fēng)險，對防火墻及整個網(wǎng)絡(luò)起到智能保護(hù)作用。 我省系統(tǒng)采用的防火墻是 550，雖然它對策略條數(shù)無限制，但是當(dāng)封堵策略中的 使防火墻的性能明顯下降。 當(dāng)防火墻處理負(fù)載達(dá)到設(shè)定條件時，停止僵尸 止防火墻過載退服。 通過 防火墻 是否過載 否 封堵 不做處理 是 過載設(shè)定： 第 19頁 還原環(huán)節(jié)解封設(shè)定條件研究 還原環(huán)節(jié)： 當(dāng)攻擊結(jié)束， 統(tǒng)根據(jù)智能化策略老化機(jī)制，撤除防火墻上的阻斷策略，使得整個網(wǎng)絡(luò)運行狀態(tài)恢復(fù)到攻擊發(fā)生前的原始正常狀態(tài)。 智能還原機(jī)制： 當(dāng)防火墻上對應(yīng) 過如下兩種方式進(jìn)行自動老化： （ 1）定時老化機(jī)制： 根據(jù)設(shè)定的封堵時長，能夠定時將已經(jīng)超過封堵時長的 此之外，還可以手動將未到達(dá)封堵時長的 （ 2）智能老化機(jī)制：實時檢測 照封堵順序，自動排序退化老化策略，結(jié)束封堵。 通過 防火墻解除封堵 不作任何處理 恢復(fù)正常 防火墻中標(biāo)是否 明顯下降限 是 是 否 否 第 20頁 研究背景 目 錄 系統(tǒng)組網(wǎng)結(jié)構(gòu)圖 海量 模擬實驗情況匯報 第 21頁 緩存投毒保護(hù)模型： 在 于發(fā)往同一個遞歸 常的情況只產(chǎn)生 1個回應(yīng)包。當(dāng)在 10秒內(nèi)收到來自該 明這個請求鏈路之間被緩存投毒，系統(tǒng)將實時告警，并自動登陸緩存服務(wù)器進(jìn)行數(shù)據(jù)清除。由于緩存數(shù)據(jù)清理后， 到域名保護(hù)作用。 解析 與回應(yīng)包 否 緩存清理 回應(yīng)包的數(shù)量 大于 1 是 對每一請求包的 回應(yīng)包計數(shù) 不做處理 否 第 22頁 研究背景 目 錄 系統(tǒng)組網(wǎng)結(jié)構(gòu)圖 海量 模擬實驗情況匯報 第 23頁 域名劫持保護(hù)模型： 在 取 立第三方熱點 /重點域名庫，以此為標(biāo)準(zhǔn)進(jìn)行域名解析正確性判斷，發(fā)現(xiàn)解析錯誤時，借助人工判斷確定是否發(fā)生域名劫持。當(dāng)解析結(jié)果判定為正確時，可同步更新域名庫。當(dāng)解析結(jié)果判定為錯誤時，系統(tǒng)同步告警，并按照設(shè)定自動登錄 除域名劫持。 響應(yīng)數(shù)據(jù) 第三方重點 / 熱點域名庫 是否匹配 否 實時告警 不做處理 是 人工審核 錯誤 正常 更新域名庫 自動登錄授權(quán)服務(wù)器修復(fù)錯誤解析信息 第 24頁 釣魚網(wǎng)站發(fā)現(xiàn)機(jī)制： 疑似釣魚網(wǎng)站域名 緩存投毒攻擊監(jiān)測 域名相似度 分析 網(wǎng)頁相似度 分析 人工審核 策略老化機(jī)制 將現(xiàn)有系統(tǒng)緩存投毒和域名劫持模塊所告警的域名，進(jìn)行域名相似度的分析，對十分相似的域名以組的方式形成報表。 對報表內(nèi)的域名，利用我公司現(xiàn)有的網(wǎng)頁爬蟲系統(tǒng)進(jìn)行網(wǎng)頁數(shù)據(jù)的爬取，并對網(wǎng)頁進(jìn)行結(jié)構(gòu)和內(nèi)容相似度分析。 對域名相似度和網(wǎng)頁相似度都很高的網(wǎng)站加入到疑似釣魚網(wǎng)站庫。 再由人工撥測的方式對疑似釣魚網(wǎng)站庫中的網(wǎng)站進(jìn)行審核確認(rèn)，找出釣魚網(wǎng)站，加入釣魚網(wǎng)站庫。 對存在于疑似釣魚網(wǎng)站庫的域名，可通過時向客戶端 一步提高移動 一步研究方向） 第 25頁 研究背景 目 錄 系統(tǒng)組網(wǎng)結(jié)構(gòu)圖 海量 模擬實驗情況匯報 第 26頁 模擬實驗情況匯報 搭建與現(xiàn)網(wǎng)環(huán)境相同的模擬環(huán)境，采集點部署在 接入真實 具體拓?fù)鋱D如下： I n t e r n e tQ u i d w a y 6 5 0 6后 臺 處 理 服 務(wù) 器數(shù) 據(jù) 采 集 器D N S 異 常 監(jiān) 測 及 應(yīng) 急 處 理 系 統(tǒng)緩 存 D N S 服 務(wù)器C i s c o 4 5 0 3I P 阻 斷域 名 阻 斷域 名 劫 持 恢 復(fù)集 中 監(jiān) 控 服 務(wù) 器局 域 網(wǎng) 交 換 機(jī)P i x 5 2 5C i s c o 4 5 0 3測 試 環(huán) 境第 27頁 實驗?zāi)康模?單一 證系統(tǒng)告警和阻斷。 實驗過程： 添加【監(jiān)測策略管理】【 略，如 5分鐘單一 0000次 ； 測試人員利用請求工具由公網(wǎng)發(fā)起 3萬次以上包含正常域名的循環(huán)請求，系統(tǒng)產(chǎn)生單一 點擊阻斷，登錄防火墻查看是否存在阻斷策略記錄，并由攻擊發(fā)起端 點擊取消阻斷，登錄防火墻查看是否已取消阻斷，并由攻擊發(fā)起端 實驗結(jié)果： 單一 點擊添加阻斷 點擊取消阻斷 阻斷成功。 模擬實驗情況匯報 第 28頁 實驗?zāi)康模?單一 實驗過程： 添加【監(jiān)測策略管理】【 略，如 5分鐘單一 000次 ； 利用請求工具由公網(wǎng)發(fā)起 5000次以上包含錯誤域名的請求，系統(tǒng)產(chǎn)生單一 點擊阻斷，登錄防火墻查看是否存在阻斷策略記錄，并由攻擊發(fā)起端 點擊取消阻斷，登錄防火墻查看是否已取消阻斷，并由攻擊發(fā)起端 實驗結(jié)果： 單一 點擊添加阻斷 點擊取消阻斷 阻斷成功。 模擬實驗情況匯報 第 29頁 實驗?zāi)康模?域名訪問絕對流量超過閥值告警阻斷。 實驗過程： 添加【域名流量攻擊】策略，如 5分鐘請求次數(shù) 從 100 到 1000 (即原訪問數(shù)在 100到 1000內(nèi)級別 ) 增加到 5000 以上 ，并選擇自動阻斷選項為“不阻斷” ； 通過請求工具發(fā)起 5000次以上針對測試域名的循環(huán)請求，系統(tǒng)產(chǎn)生域名絕對流量告警； 點擊阻斷，登錄 確認(rèn)是否可繼續(xù)打開網(wǎng)址； 點擊取消阻斷，登錄 確認(rèn)是否可打開網(wǎng)址。 實驗結(jié)果： 域名絕對流量請求次數(shù)告警 點擊添加阻斷 點擊取消阻斷 阻斷成功。 模擬實驗情況匯報 第 30頁 實驗?zāi)康模?域名訪問相對增量超過閥值告警阻斷。 實驗過程： 添加【域名流量攻擊】策略，如 5分鐘請求次數(shù) 從 1000 到 10000 增加百分之 150 以上（即在原訪問數(shù)基礎(chǔ)上增量超過 150%）以上 ，并選擇自動阻斷選項為“不阻斷” ； 通過請求工具發(fā)起