王 帅，金华敏，沈 军

（中国电信股份有限公司广州研究院 广州510630）

1 引言

随着社会信息化进程的加速以及云计算、大数据等技术及应用的规模发展，宽带战略受到各国重视，加快建设宽带、融合、安全、泛在的下一代国家信息基础设施也成为我国“十二五”规划的重要目标之一。与此同时，国家对网络和信息安全的重视程度日益提升，“十二五”规划明确提出“加强网络与信息安全保障”为重要目标，时任国务院总理温家宝在国务院常务会议中也提出，将加强网络与信息安全保障、全面提升下一代互联网安全性和可信性作为重点任务。

宽带网络作为国家信息化基础设施，其网络和信息安全保障至关重要，一旦发生安全问题，将影响社会和谐稳定，甚至危及国家安全，因此在宽带战略的建设发展中，全方位的网络和信息安全保障成为其不可或缺的重要组成部分。构建高可信的端到端一体化网络安全保障体系，实现纵深、自适应、协同、可视化的高效网络和信息安全保障，不仅可满足超宽带网络发展的需要，也能进一步满足国家信息化安全发展的要求。

本文从超宽带网络大带宽接入、融合承载等特点和需求出发，提出了高可信网络基础设施架构、一体化全风险感知及抑制、覆盖全网的协同安全防御的递进式纵深安全设计理念，探讨了基于该理念构建的超宽带网络安全体系架构及其特点，并对一体化安全管控、多维关联分析及资源调度等关键技术进行了深入研究。

2 超宽带网络安全体系架构

网络安全体系强调以安全风险为核心，通过安全评估、检测、响应和恢复等生命周期各环节的措施使网络安全水平得到螺旋式提高，同时信息安全保障框架（information assurance technology frame，IATF）认为，为达到网络安全保障的目标，应采用多层次、纵深的安全保障措施实现对网络的多层保护。随着技术发展和市场需求的进一步演进，网络安全技术和应用呈现出主动化、智能化、服务化和云化等特点，全方位、一体化、纵深防御的可信安全防护趋势不断加强。超宽带网络具有融合开放和高效能的特点，开放性在带来用户便利性的同时也使得互联网每个层面都成为可能的安全风险点，高效能对安全防御效率也提出更高要求。因此，超宽带网络安全体系在传统网络安全体系构建思路的基础上，应着重体现纵深防御的特点，通过网络基础设施架构的分层分域设计及实施、安全风险一体化管控、全方位防御措施部署，构建递进式纵深安全体系架构，实现开放式网络环境下网络和用户行为的可知可管可控；同时注重提升安全管控及防御的精度和性能，通过安全风险管控、防御能力等的动态调度及高效协同，实现海量用户接入环境下安全风险全面预防、快速响应。

超宽带网络安全体系特征具体表现在以下几点。

图1 超宽带网络SAFES

·纵深防御：即安全防御体系具有层次性、等级性，任意安全措施的失效不影响整体安全性。

·主动防护：即能主动发现未知安全威胁，主动地、有针对性地动态调整安全策略，并大规模部署实施安全策略，保证安全问题得到及时的自动化处理。

·快速响应：即及时发布有效告警，具备统一安全视图和集中控制平台，具有完善的应急响应机制和手段，实现快速、高效的安全事件处理。

·安全可信：即网络本身具备顽健性，对网络资源状态及用户行为具备可管可控能力，实现用户身份可信、网络通道可信、业务行为可信。

·一体协同：即具有全网联动的分析及处理能力，利用分布式资源调度协同防御机制和手段的完善，实现安全事件精确感知及定位，安全资源高效复用。

从上述特征出发，本文提出超宽带网络SAFES（self adaptive framework of effective security system）如图1所示，包括高可信网络基础设施、一体化安全管控平台、全方位专业安全系统3部分，实现用户—业务—网络的端到端一体化安全，为打造洁净、可信、可靠的超宽带服务提供安全保障。

（1）高可信网络基础设施架构

IP网与传统电信网络相比之所以安全问题频发，究其根本在于互联网络开放性的设计，业务、管理、控制流量同平面承载，这种开放性使得用户不仅可以方便地进行信息的传递，而且可以方便地进行网元、系统、应用的远程操作和管理，但在这种架构下，一旦网元、系统和应用出现安全漏洞，则攻击者完全可以通过业务平面渗透进入管理平面，进而控制整个IP网。因此在超宽带网络安全体系中，首先考虑的是如何在网络基础设施架构中将业务平面尽量与管理平面及控制平面实施隔离管控，同时采用安全可信的方式实现平面间的互访，从而提高网络基础设施的可用性和顽健性，强化网络抗攻击能力。同时依据不同安全防护需求，在对超宽带承载网及其所承载的业务系统、支撑系统进行安全域划分及边界访问控制的基础上，对各业务系统、支撑系统实施分等级保护，重点解决信令可信传递、关键引擎检测与保护、业务分域控制及审计、用户鉴别及通信保密等问题，提升网络纵深防御能力。

（2）一体化安全管控平台

超宽带网络用户、业务成倍增长，网络规模不断扩大，如何对超大规模网络环境下的设备、系统及应用及数据多层面进行全方位安全监控、分析，并对检出的安全风险进行及时处理和响应，是超宽带网络安全体系构建的重点。一体化安全管控平台作为超宽带网络安全体系的中枢管理单元，一方面面向超宽带网络、用户、业务全面感知及预测安全态势，对网络攻击类型、来源、目标、危害、风险分布、等级、潜在的安全威胁等进行识别及评估，实现网络安全状态、安全风险、安全事件以及安全态势演化的统一可视化呈现；另一方面，结合资源状态、风险等级和分布等因素实现综合智能决策，并基于与流量攻击防御、垃圾邮件防护、蜜罐等专业安全系统的协同调度，实现一体化安全风险控制。从架构上看，一体化安全管控平台分为以下几个层次。

·感知层：基于分布式架构对安全对象的脆弱性、威胁、资源状态等信息实时采集。

·数据分析层：一体化安全管控平台核心，通过与专业安全系统、网络基础设施、业务应用系统等的交互，采用分布式数据计算实现对多源大容量数据统一关联分析。

·智能决策层：结合状态感知，结合专家分析技术，智能判断可采取的安全措施及可协调的资源，提高安全风险主动应对能力。

·安全服务层：将安全风险管理、安全事件管理、脆弱性管理、安全策略管理、安全预警管理等功能模块化，为超宽带网络提供高效安全运营服务能力，并实现安全信息的可视化。

（3）全方位专业安全系统

尽管在超宽带网络中实施了安全风险感知及控制的中枢管理平台，但对异常流量、僵尸网络、恶意代码等外部威胁来说，依靠安全信息采集分析手段无法进行深入识别，同时在对威胁的控制上也需辅以专业的技术手段。因此在超宽带网络安全体系中还需构建全方位的专业安全系统，重点突破网络异常流量攻击防御以及有害信息内容防护等关键问题，形成对超宽带网络异常流量的监控、分析、调度、阻拦、限制、清洗及追踪溯源等能力以及用户接入信息内容安全识别、过滤等能力。同时针对网络引擎、DNS等关键基础设施进行深度安全监控及分析，有效保护网络核心资产的安全。此外，对僵尸网络进行监控，追踪控制僵尸网络主控端，有效检测及抑制异常流量攻击源头。

3 超宽带网络安全体系关键技术

3.1 一体化安全管控引擎

一体化安全管控引擎如图2所示，是一体化安全管控平台的核心部分。其基于“全网检测、集中分析、高效协同、自主抑制”的理念，构建闭环安全风险管理。通过系统日志收集、agent、接口等方式实现对网络设备、防火墙/IDS/IPS等安全设备、异常流量监控/流量攻击防御等安全系统、数据库/Web服务器等应用系统安全信息的全面采集，并采用多源多级安全风险分析方法，通过安全信息的范式化、过滤、合并、存储及聚类处理，进行多维矩阵关联分析，实现网络/设备/应用安全风险一体化管理。同时结合状态感知与风险及态势分析结果，对安全策略、调度策略及协同策略进行智能决策，并基于可靠性评估的安全策略自分配，提升安全风险一体化控制能力。

在一体化安全管控引擎中最为关键的问题是如何在收集到的海量安全信息中挖掘出真正值得关注的高价值安全信息，降低无用或低价值信息的干扰。本文提出了多元矩阵关联分析方法，结合漏洞、威胁、资产等信息深度挖掘安全风险、判断安全风险等级及分布，重构整个攻击场景，提高安全事件检测精度，降低误报率，及时定位网络中潜在的安全隐患。在关联分析中首先要建立可能的攻击场景模型，但由于安全风险和威胁检测要考虑的风险特征维度多达几十种，因此在攻击场景模型建立过程中，如何降低要考虑的风险维度，提取最关键的特征是重要问题。本文采用了多元递归建模方法，基于基本模式识别方式，在通过大量样本训练分类器时，为区分分类器中的非关键特征量，采用一个递归过程：

（1）选择某一特征；

图2 一体化安全管控引擎

（2）降低特征量数目（减去所选择特征）；

（3）继续用原样本训练分类器；

（4）用测试集测定准确率

（5）准确率变化不大，则返回步骤（1）（说明所选择特征为非关键特征）；准确率变化大，则回退特征集数量，返回步骤（1）（说明所选择特征为关键特征）。

最后，得到一个能保持高识别率和精简特征向量的分类器，即精简的攻击场景模型，从而提高关联分析效率。在建立攻击场景模型后，将经标准化等处理后的安全信息按攻击特征（包括攻击来源、攻击目的、攻击类型、攻击时间等）划分维度，采用协方差算法对安全信息矩阵及攻击场景模型矩阵进行相关性计算，从而分析出可能的安全事件。

3.2 异常流量协同防御

异常流量攻击已成为IP网面临的最严重安全威胁之一。对异常流量攻击的防御包括异常流量的检测、过滤、溯源等技术。

在超宽带网络安全体系中，为了实现异常流量的精确感知，利用一体化安全管控的统一调度能力，对异常流量进行两层深度分析。第一层基于流信息，通过“源IP地址、目的IP地址、源端口、目的端口、协议号”五元组，初步分析流量中可能包含的攻击流量特征，根据流量特征判断最适合做该类异常流量深度分析的安全系统，如DDoS攻击防御、僵尸网络监控、垃圾邮件防护等系统；第二层基于3～7层信息，在各专业安全系统中进行深度分组检测，从而有效提高检测精度。

在大规模异常流量防御中，目前通常采用部署异常流量清洗设备，进行异常流量牵引、清洗和正常流量回注的方式。超宽带网络安全体系的流量攻击防御系统采用了“近源牵引、分域处理、弹性防御”的方案，在全网部署多个流量清洗节点，流量牵引采用任播技术，即每个清洗中心建立相同的IP Loopback地址，并宣告到网络中；攻击发生时，将根据接入地点的不同，由网络IGP自动优选出最近的路由，把流量导到最近的清洗节点，实现近源清洗，从而避免攻击流量全网穿越，节省网络资源，也减少了攻击目标出口的流量规模，避免攻击目标出口带宽拥塞，保障攻击目标的业务连续性。但在这种流量近源清洗的架构下，当清洗完的正常流量由清洗节点向攻击目标回注时，如按原路径返回，则将产生路由环路问题，因此本文基于分立流量域设计，采用GRE隧道等方式实现跨域流量回注。此外，为了应对超宽带环境下日益增长的异常流量规模，本文方案从以下几个层面实现清洗资源“池化”和按需服务：

（1）当一个清洗节点过载时，任播技术自动将流量牵引到次近清洗节点；

（2）为清洗节点设置几组Loopback地址，当Loopback1地址的所有清洗节点过载时，流量攻击防御控制中心（可作为一体化安全管控平台的一个功能模块）将宣告Loopback2的路由，将所有异常流量牵引到设置Loopback2地址的清洗节点；

（3）在重要清洗节点间通过私有协议建立连接，结合流量攻击防御控制中心对清洗节点防御资源能力的感知，将流量调度到一个或多个互联的清洗节点；

（4）各清洗节点通过智能集群方式实现多设备间资源协同调度。通过以上几个层面显著提升资源利用效率，提高异常流量攻击防御性能。

监控及抑制僵尸网络能从根本上防范异常流量攻击。目前通常采用蜜罐、IDS等方式监控僵尸网络，但检测的效率和效果较差。超宽带网络安全体系采用IP流量特征和DNS深入挖掘技术相结合的方法，通过流量分析得到僵尸网络“肉鸡”IP地址，然后将“肉鸡”IP导入DNS分析系统；通过现有DNS的关联查询和统计分析功能，自动分析“肉鸡”IP地址所共同访问的域名；在找到僵尸域名后，根据DNS访问记录，找出网内访问僵尸域名的“肉鸡”；最后根据“肉鸡”IP地址进行僵尸网络的清理。

4 结束语

随着国家层面对实施“宽带中国”工程的明确及推动，信息网络宽带升级将加速发展。作为下一代承载的超宽带网络具有融合开放、高效能、高体验的特点和需求，对网络安全提出更高要求。在这一背景下，本文针对超宽带网络安全需求，提出了基于高可信网络基础设施、一体化安全管控、全方位安全防御的三位一体的递进式超宽带网络安全体系架构，分析了超宽带网络安全体系所具备的纵深防御、主动防护、快速响应、安全可信、一体协同等特点，并对超宽带网络安全体系架构各组成要素进行了详细阐述。在此基础上，针对超宽带网络安全体系中核心中枢管控引擎、异常流量防控等关键技术进行了深入研究和探讨。在超宽带网络发展中，采用本文所提出的安全体系架构进行同步配套建设，不仅可以有效提升超宽带网络的顽健性、可用性，还可为实现高体验网络服务、业务应用提供全面安全保障，促进国家和社会信息化发展。

1 金华敏，王帅.电信运营商如何应对网络安全新挑战.人民邮电报，2012-08-09

2 蔡康，唐宏，朱永庆.超宽带城域网架构设计思路和关键技术浅析.电信科学，2012（1）

3 叶建成.DDoS攻击及其防御技术研究.现代计算机：下半月版，2008（1）