第 1 章 緒 論

 

1.1 ISMS 系統應用背景

隨著國家信息化建設，互聯網基礎設施的不斷完善，加上近年移動互聯網、物聯網等的迅猛發展，應用內容極大豐富。原來限制網絡信息化發展的用戶接入問題和帶寬問題已不復存在，用戶對網絡服務的體驗性要求越來越高，對延遲、卡頓等問題幾乎是零容忍，導致在互聯網同業競爭白熱化的今天，所有應用服務商都在盡一切所能來提高業務質量。而與用戶側帶寬快速提升不同，內容運營商面對海量的互聯網連接服務請求，需要更高的網絡資源來承載其巨大的業務流量，同時還需要一個更加穩定可靠的機房配套環境來保證其設備和業務的穩定，一般的支撐能力顯然無法滿足需要，這時 IDC（互聯網[1]數據中心[2]）作為重要的互聯網基礎設施就突顯出來。目前國內大部分主流 IDC 機房都是由三大電信運營商所經營，他們依托自身強大網絡資源和高質量的機房資源，向以互聯網內容服務商、政府和大型企業為主要代表的各類 IDC 用戶提供專業化的 IDC 運營服務。近年來隨著云計算、大數據、物聯網等新興互聯網領域的迅猛發展，更是離不開以數據中心為核心的基礎設施的保障。而隨著互聯網產業的飛速發展，其業態也日趨多樣化，儼然已經形成了一個虛擬的社會，使信息安全[3]管控方面面臨著極大的挑戰。IDC 機房是互聯網上各種應用及資源的集散地，是互聯網業務發展的重要基礎設施之一，也是各類網絡信息安全[4]事件的多發地。目前基礎電信企業和 IDC運營企業對 IDC 機房的管理主要集中在對機房內 IP 地址、網站、設備、接入等靜態信息的管理，對于 IDC 的進出流量、各種數據內容則沒有過多的分析。而通信管理部門出于對互聯網基礎資源管理和行業監管的要求，需要加強對 IDC 機房網絡信息安全的管理，通過建立一定的技術手段，實時監控 IDC 機房網絡流量中包含的內容，及時發現違規信息并進行有效的管控，實現“實時化、智能化、全自動”的互聯網安全審計及信息監管體系，既能保證 IDC 業務能夠穩定、健康、快速地發展，又能滿足國家網絡監管部門對網絡信息進行安全管控的需求。

..........

 

1.2 DPI 發展起源和現狀

由于互聯網應用的迅猛發展，數據中心所承載業務多樣性和巨大的網絡流量的特點越來越突出，傳統的基于 IP、端口和協議的識別方式已不能滿足 IDC/ISP信息安全管理工作的需要，而深度包檢測（Deep Packet Inspection，DPI）技術能夠實現對應用層[15]的數據內容進行深層解析[16]。隨著 DPI 技術的不斷成熟完善，硬件性能和處理能力的不斷提高，使其能夠被應用在高速率、大帶寬的網絡中，以及如入侵檢測[17]、流量識別、內容監測等實際場景中。IDC/ISP 信息安全管理系統（ISMS）正是以 DPI 技術為基礎，實現對網絡流量報文進行深層檢測。深度包檢測（DPI）技術，通俗的講就是一種能夠實現流量深層檢測和控制網絡通信內容的技術。其“深度”的意思[18]是因為它在傳統報頭的基礎上，還包括對應用數據內容的檢測。當網絡報文流經應用了 DPI 的設備時，最先提取出 IP層的內容，然后對應用層數據進行重組，在完成對應用層信息的提取后，按事先制定好的解析方式對流量進行比對及管理。其實在分組過濾式防火墻（即第一代防火墻）時代[19]，就己經出現了對網絡連接進行管控的技術。通過分析報文 IP 地址、網絡連接的端口等信息來檢查通過網絡的數據報文，然后按制定好的管控流程執行，最終一個數據包的放行還是阻斷都要取決于這些參數。在發展之初，流量檢測技術沒有太大的突破，很長的時間內，端口識別一直是流量管控的主要技術方式。2004 年，研究人員 Suabrata Sen 等研究以服務協議的內容規則來對網絡流量進行檢測的辨識方法[20]，即 DPI 技術。解析常見服務協議的關鍵信息，通過對服務特征的提取，再將其與收集到的網絡報文進行比對，來確認該網絡報文的具體應用類型。經實際檢驗，相對于普通的“IP+端口”檢測的方法，該方法對網絡流量的識別效果更準確，分析結果的準確率可以達到 95%以上。我國對 DPI 技術的研究在 2006 年開始，興起和使用要比國外稍晚一些，金婷等人以 DPI 技術為主，配合其他技術，總結出 QQ 語音的識別方法[22]。在這年，境外廠商的 DPI 產品開始進入國內市場，傳統 DPI 技術公司 Allot[23]為新浪網進行了流量數據的展示。接下來的幾年時間里，國內的 DPI 技術的研究和應用都獲得很大的發展，不同服務廠商的各類產品也呈現多樣化。如提供 DPI 解決方案的Qosmos[24]和派網軟件[25]；提供嵌入 DPI 功能設備的 Cisco[26]和華為[27]；提供獨立 DPI設備的深信服[28]和寬廣電信[29]等。目前看來，由于對 DPI 技術研究較早，國外廠商的產品和方案相對來說比較成熟，有一定的技術優勢。而我國廠商針對國內應用的特點，DPI 設備檢測更具針對性，也比較準確，更貼近實際需要。

..........

 

第 2 章 相關技術研究

 

報文識別作為應用層數據檢測的基礎，流量采集和報文分析是流量檢測技術的主要兩個方面，都直接決定著識別實時性和識別效果的優劣，普遍使用的檢測方法包括深度包檢測（DPI）、深度流檢測（DFI）以及端口識別等[33]。DPI 技術是用于對網絡流量數據檢測的主流方式，通過特征串匹配來對網絡流量進行檢測，特征串的表示通常以精確字符串和正則表達式來進行，表示方式的不同所對應的特征串比對算法也會有所不同。

 

2.1 網絡流量采集相關技術

主動網絡采集方式是指通過對目標發送試探性報文，并等待目標反饋的方式進行數據的收集。此方法多用于早期，采集者主要以分析被測目標的反饋中所含有的信息，及各個目標反饋內容的差異來進行判定。采集者所發出的試探內容不同，被測目標反饋的不同的信息；就算發出的試探內容相同，但目標屬性不同所反饋的內容也不同。速度快，目的性強是主動收集的主要優勢。采集者根據目標的反饋內容，能夠對其屬性進行快速判斷。但存在明顯不足：首先，需要采集者向目標主動進行試探，其行為很容易被發現；其次，在探測目標和網絡結構無法確定的復雜情形下，采集者需發送大量的探測數據，很可能會被網絡中的防火墻或其他安全防護設備欄截；另外如果目標對探測不做反饋的話，此方式也就沒任何意義了。

.........

 

2.2 網絡流量識別相關技術

與流量分析相關的主要概念：流：指兩個網絡上的主機之間，在指定時間段內所傳輸的所有報文，它們都有著一樣的報文的五元組信息[35]。協議：所有網絡的設備之間在建立通信時都必須要嚴格執行的規則總稱，是通信各方的信息格式和規范。如果網絡中的主機間想要建立通信，只有在遵守協議規范的前提下，才能進行數據傳輸[36]。協議分為標準和非標準，標準協議如SNMP 協議、NTP 協議、TCP/IP 協議等；非標準協議多為個別軟件自身所使用，如 RealPlayer、CDP、EIGRP 等。流量識別是指通過技術手段對網絡流量及其使用的協議進行識別，目前在實際應用中對流量數據識別的常用技術手段有：端口識別技術、DFI、DPI 等，按照實際需要，也可以進行組合應用。[38]識別能力強弱與否的評價項有：全面性、識別率和錯誤率。全面性主要指兩部分：一是能夠識別的網絡協議的多少，二是識別百分比（即能夠識別出的部分與總流量之比）。識別率是指識別出的某服務流量與該服務實際全部流量之比。是識別個體服務的重要指標。錯誤率是指錯誤的把已屬于某服務的流量識別成其他服務協議，此種錯誤流量占該服務所有流量之比。但是此種情況一般都要由人工判定，就一個合格的系統而言，由于會嚴重影響流量控制的準確性，錯誤率是不允許存在。

........

 

第 3 章 IDC/ISP 信息安全管理系統架構設計...... 19

3.1 ISMS 系統需求分析 ........ 19

3.2 上級接口.... 21

3.3 ISMS 總體架構...... 21

3.4 ISMS 網絡部署...... 23

3.5 本章小節....25

第 4 章 IDC/ISP 信息安全管理系統設計與實現 .....26

4.1 ISMS 接入方式.....26

4.2 EU 的部署 ....26

4.3 DPI 流量處理 .........27

4.3 系統關鍵模塊詳細設計與實現 .........27

4.4 前臺模塊的設計與實現 .......... 33

第 5 章 系統測試............. 40

5.1 測試環境..... 40

5.2 測試目標選取...... 40

5.3 系統功能測試...... 40

5.4 系統性能測試...... 42

5.5 測試結果.... 44

 

第 5 章 系統測試

 

5.1 測試環境

測試環境采用串接方式搭建，為盡量接近實際應用場景，特選擇 IDC 機房的一條鏈路進行實際測試，覆蓋的目標鏈路帶寬為 10Gbps，串接點位置為網絡上行出口鏈路處，配合靜態路由實現對測試目標的訪問路由控制。在頁面中填入所選關鍵字（多個關鍵字用“&”號分隔），并將所有標紅字段填全，如過濾名稱、過濾原因、過期時間（策略失效時間），并選擇該條策略下發到哪個機房，也就是該策略的生效范圍，點擊頁面上的“確定”按紐，完成封堵策略的下發。經分別以 32 字節和 1500 字節數據包對目標主機進行 ping 測試，本系統在對 10Gbps 鏈路的網絡流量內容進行過濾時，對網絡的運行質量基本沒有影響。

..........

 

總結

 

隨著近年來移動互聯網爆發式發展，互聯網的新應用不斷涌現，尤其以云計算、大數據、物聯網等為代表的新興互聯網領域的迅猛發展，互聯網數據中心（IDC）機房作為重要的網絡和信息服務基礎設施之一，匯集了大量的網絡和信息資源，正因為這樣，也使它成為網絡信息安全的重點管控對象。國家為此下發了一系列文件及規范要求 IDC 運營企業切實做好信息安全管理工作。針對此種情況，本文結合IDC信息安全工作的實際情況和要求，提出基于DPI技術的方式對網絡流量中的報文數據進行實時過濾，將其與機房現有網絡有效的整合，實現敏感信息的及時發現和處理。通過實際測試達到了系統設計目標。系統可以對關鍵字信息實時發現并有效處理，有效防止敏感信息的擴散和傳播，減少對用戶和社會的危害。本文主要完成了 IDC/ISP 信息安全管理系統的設計，基于 DPI 技術實現網絡信息安全的管理，實時監控 IDC 機房流量的進出情況，及時發現 IDC 機房內的違規信息，并進行有效的管控，既能保證 IDC 業務能夠穩定、健康、快速地發展，又能滿足政府部門對互聯網基礎資源和網絡信息安全管理的需求。本系統目前只能實現對網絡流量中明文報文的監測和封堵，如何對網絡流量中加密數據報文的內容進行監測和處理將是下一步研究的目標。

..........

參考文獻（略）