异常流量借路  管理亟需创新

援引中国移动通信集团公司某工作人员的话说，在如今P2P、IM盛行的时代，对于局域网的流量管理，抑制、监测、溯源可谓六字箴言；而对于骨干网络流量的管理，其精髓在于监测和溯源。

而如何追本溯源，应对和管理网络异常流量呢？该内部人士介绍，对于异常流量管理这场遭遇战，可以说最早即在电信行业打响，可以追溯到2004年前后。经过近5年的发展，攻防的招术也几经变化，对于我们来说，从最初的串接式设备，诸如防火墙、DDoS过滤器；到网络设备管理手段，如ACL列表、手动调整QoS流量整形策略，都不能很好的对网络流量以及异常流量进行抑制、监测和溯源。

东软网络安全产品营销中心副总经理李青山在回忆他多年来对抗网络异常流量，进而有效管理网络流量的工作经验时，不无感慨的说，网络流量管理的根本就在于能够对网络中传输的流量进行细粒度分析，并可以进行宏观和微观溯源，部署合理的策略，进而制定相应的应对计划，不再担心异常流量的发生；其次，还可以帮助运维者掌握带宽的利用效率，制定合理的购买计划，节省成本。

同时，相关业内人士同样认为，高端网络骨干链路在应对异常流量威胁时所需要的既不是脆弱的传统DDoS过滤设备，也不能是简单粗暴的网络层ACL访问控制机制；高端网络需要的是一种既可保持网络系统健壮性又能提供较高检测命中率的新颖思路。

据笔者了解，针对网络流量管理问题的新颖思路，目前，国内外只有少数几家产品和解决方案提供商具备多年的经验积累、掌握了相对成熟的技术。

技术适时更新  异常流量减缩

串接式设备举步维艰

普通企业网络通常会采用类似于防火墙、IPS、DDoS过滤器等设备，通过在企业网边界点上的部署防止异常流量由低等级区域向关键区域渗透。

然而，这种解决思路并不适合高端网络，主要表现如下：

1．防火墙、DDos过滤器等串接设备显著降低高端网络的稳定性

大家知道，诸如防火墙或DDoS过滤器等设备工作重点在于提高系统安全性而非稳定性，其系统MTBF指标比主流网络设备要逊色许多。在高端网络区域边界点上部署此类设备将直接造成两个负面影响：一是人为增加了单一故障点，二是把高端网络整体稳定性直接拉低为DDoS过滤器设备本身的稳定性。因此，在高端网络上部署串联式设备是得不偿失的；

2．串接设备难以提供足够的处理性能

高端网络动辄采用的万兆以上链路是现有串接设备难以望之项背的。一般FW、DDoS过滤器通常针对普通企业用户进行设计，其系统处理性能往往局限在10000M bps以下，因此无法提供与保护目标相称的处理能力；

3．串接设备无法提供对应的接口类型

防火墙等过滤设备主要面向下游接入网络提供服务，网络接口基本局限为100/1000M以太链路，而作为中间互连通道的高端网络骨干链路中却广泛采用了10GE、OC-192 POS等规程，这对于构建在通用硬件平台上的DDoS过滤设备来难以配置相应接口板卡。正是由于传统串接防护设备显而易见的局限性，决定了其无法在高端网络中进行应用部署。

网络设备捉襟见肘

当寻求传统DDoS解决方案受挫后，高端网络运维部门转而在网络设备管理维护体系中进行尝试，采取的方式通常包括在网络路由设备中增加静态ACL、手动调整QoS流量整形策略等。但这似乎由一个极端走向了另一个极端，完全忽略了一个现实问题——以DDoS、蠕虫为代表的异常流量本质上是一种人VS人对垒的网络安全斗争，而非人VS机之间刻板的流量管理配置。这主要是由于以下原因造成的：

1．ACL列表不可能事前得到异常流量特征

DDoS流量的源IP地址是极为分散的（这主要取决于Botnet），目的IP地址也并不固定（这是因为DDoS的真正目标并不在于目的IP所指向的网络单元，而是迫使DDoS流经的骨干链路遭受“池鱼之灾”即可），因此静态ACL过滤无法准确命中DDoS流量；

2．异常流量无法通过简单的流量统计数字进行识别

一个简单的例子可以说明：同样是10K bps/s的ICMP ECHO流量，在5G bps/s背景负载情况下并不能说明什么问题，而对于5M bps/s的背景负载则几乎等同于一次Flooding攻击。因此，通过人工调整的流量整形策略无法在链路瞬息万变的各种流量比例关系中快速定位异常流量的发生；

3．网络设备难以识破异常流量的伪装

部分DDoS、蠕虫、P2P通信具备良好的伪装能力，能够混杂在正常业务应用中而使网络设备无法通过传输层以下的表象特征进行识别，这种应用层伪装能力已远远超出网络设备的能力范围。

创新思路  曙光初现

专门针对网络流量管理的产品和解决方案，需要定位于运营商骨干等高端网络的检测分析，通过对骨干流量信息的提取、分析，实时检测网络中DoS/DDoS攻击、P2P通信、Worm、Spam等网络滥用事件，进而驱动响应系统进行阻断防御。同时，面向管理员提供流量图式、趋势预警、关键应用服务质量等各类关于骨干网络运行状况的统计分析数据，帮助管理员监控和掌握骨干链路及关键资源的运行情况。

1．旁路接入设计

其技术机制需要通过旁路接入方式实现对监控网络的分析采集，能够彻底排除串联式DDoS防护机制给原有网络稳定性所引入的负面影响，同时还利用现有设备内嵌的各类Agent自动完成数据提取，可无缝支持各种物理/链路层规程接口，如POS、MPLS、万兆以太等；

2．高度复合的数据采集能力

相关技术所支持的各种采集方式不再是简单的并列平行运作，而是能够按照检测策略要求在彼此之间进行智能化的复合关联，一种数据采集方式所产生的分析结果能够智能驱动其他数据采集方式的启用，自动引导数据进入不同层次的分析引擎中。

3．疏密有致的检测作业分工

多种采集方式直接对应到设备不同的分析引擎，各分析引擎提供针对不同层面的专项作业分工。通过不同引擎的配合，不仅可以成功发现分布在传输层以下的DDoS流量，并且还有能力对应用层内部的DDoS行为进行准确检测。各引擎之间既分工独立又可智能协同，能够广泛适用于网络性能分析、异常流量检测、服务质量监控、应用层安全过滤等多种环境中。

合理应对异常  提高服务质量

某网通公司工作人员介绍到，用户依赖信息化平台程度越高，会越发关心网络带宽的有效利用率，而网络流量分析的必要性就会越强。以我们自身为例，作为电信运营商，一方面为用户提供服务，另一方面需要重视自身内部网络带宽的有效利用率。再有，如果相关带宽还是以租用方式获得时，带宽使用的有效性就会备受关注。