第 1 章 緒 論

 

1.1 ISMS 系統(tǒng)應(yīng)用背景

隨著國(guó)家信息化建設(shè)，互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的不斷完善，加上近年移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等的迅猛發(fā)展，應(yīng)用內(nèi)容極大豐富。原來(lái)限制網(wǎng)絡(luò)信息化發(fā)展的用戶接入問(wèn)題和帶寬問(wèn)題已不復(fù)存在，用戶對(duì)網(wǎng)絡(luò)服務(wù)的體驗(yàn)性要求越來(lái)越高，對(duì)延遲、卡頓等問(wèn)題幾乎是零容忍，導(dǎo)致在互聯(lián)網(wǎng)同業(yè)競(jìng)爭(zhēng)白熱化的今天，所有應(yīng)用服務(wù)商都在盡一切所能來(lái)提高業(yè)務(wù)質(zhì)量。而與用戶側(cè)帶寬快速提升不同，內(nèi)容運(yùn)營(yíng)商面對(duì)海量的互聯(lián)網(wǎng)連接服務(wù)請(qǐng)求，需要更高的網(wǎng)絡(luò)資源來(lái)承載其巨大的業(yè)務(wù)流量，同時(shí)還需要一個(gè)更加穩(wěn)定可靠的機(jī)房配套環(huán)境來(lái)保證其設(shè)備和業(yè)務(wù)的穩(wěn)定，一般的支撐能力顯然無(wú)法滿足需要，這時(shí) IDC（互聯(lián)網(wǎng)[1]數(shù)據(jù)中心[2]）作為重要的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施就突顯出來(lái)。目前國(guó)內(nèi)大部分主流 IDC 機(jī)房都是由三大電信運(yùn)營(yíng)商所經(jīng)營(yíng)，他們依托自身強(qiáng)大網(wǎng)絡(luò)資源和高質(zhì)量的機(jī)房資源，向以互聯(lián)網(wǎng)內(nèi)容服務(wù)商、政府和大型企業(yè)為主要代表的各類 IDC 用戶提供專業(yè)化的 IDC 運(yùn)營(yíng)服務(wù)。近年來(lái)隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興互聯(lián)網(wǎng)領(lǐng)域的迅猛發(fā)展，更是離不開(kāi)以數(shù)據(jù)中心為核心的基礎(chǔ)設(shè)施的保障。而隨著互聯(lián)網(wǎng)產(chǎn)業(yè)的飛速發(fā)展，其業(yè)態(tài)也日趨多樣化，儼然已經(jīng)形成了一個(gè)虛擬的社會(huì)，使信息安全[3]管控方面面臨著極大的挑戰(zhàn)。IDC 機(jī)房是互聯(lián)網(wǎng)上各種應(yīng)用及資源的集散地，是互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展的重要基礎(chǔ)設(shè)施之一，也是各類網(wǎng)絡(luò)信息安全[4]事件的多發(fā)地。目前基礎(chǔ)電信企業(yè)和 IDC運(yùn)營(yíng)企業(yè)對(duì) IDC 機(jī)房的管理主要集中在對(duì)機(jī)房?jī)?nèi) IP 地址、網(wǎng)站、設(shè)備、接入等靜態(tài)信息的管理，對(duì)于 IDC 的進(jìn)出流量、各種數(shù)據(jù)內(nèi)容則沒(méi)有過(guò)多的分析。而通信管理部門出于對(duì)互聯(lián)網(wǎng)基礎(chǔ)資源管理和行業(yè)監(jiān)管的要求，需要加強(qiáng)對(duì) IDC 機(jī)房網(wǎng)絡(luò)信息安全的管理，通過(guò)建立一定的技術(shù)手段，實(shí)時(shí)監(jiān)控 IDC 機(jī)房網(wǎng)絡(luò)流量中包含的內(nèi)容，及時(shí)發(fā)現(xiàn)違規(guī)信息并進(jìn)行有效的管控，實(shí)現(xiàn)“實(shí)時(shí)化、智能化、全自動(dòng)”的互聯(lián)網(wǎng)安全審計(jì)及信息監(jiān)管體系，既能保證 IDC 業(yè)務(wù)能夠穩(wěn)定、健康、快速地發(fā)展，又能滿足國(guó)家網(wǎng)絡(luò)監(jiān)管部門對(duì)網(wǎng)絡(luò)信息進(jìn)行安全管控的需求。

..........

 

1.2 DPI 發(fā)展起源和現(xiàn)狀

由于互聯(lián)網(wǎng)應(yīng)用的迅猛發(fā)展，數(shù)據(jù)中心所承載業(yè)務(wù)多樣性和巨大的網(wǎng)絡(luò)流量的特點(diǎn)越來(lái)越突出，傳統(tǒng)的基于 IP、端口和協(xié)議的識(shí)別方式已不能滿足 IDC/ISP信息安全管理工作的需要，而深度包檢測(cè)（Deep Packet Inspection，DPI）技術(shù)能夠?qū)崿F(xiàn)對(duì)應(yīng)用層[15]的數(shù)據(jù)內(nèi)容進(jìn)行深層解析[16]。隨著 DPI 技術(shù)的不斷成熟完善，硬件性能和處理能力的不斷提高，使其能夠被應(yīng)用在高速率、大帶寬的網(wǎng)絡(luò)中，以及如入侵檢測(cè)[17]、流量識(shí)別、內(nèi)容監(jiān)測(cè)等實(shí)際場(chǎng)景中。IDC/ISP 信息安全管理系統(tǒng)（ISMS）正是以 DPI 技術(shù)為基礎(chǔ)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量報(bào)文進(jìn)行深層檢測(cè)。深度包檢測(cè)（DPI）技術(shù)，通俗的講就是一種能夠?qū)崿F(xiàn)流量深層檢測(cè)和控制網(wǎng)絡(luò)通信內(nèi)容的技術(shù)。其“深度”的意思[18]是因?yàn)樗趥鹘y(tǒng)報(bào)頭的基礎(chǔ)上，還包括對(duì)應(yīng)用數(shù)據(jù)內(nèi)容的檢測(cè)。當(dāng)網(wǎng)絡(luò)報(bào)文流經(jīng)應(yīng)用了 DPI 的設(shè)備時(shí)，最先提取出 IP層的內(nèi)容，然后對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行重組，在完成對(duì)應(yīng)用層信息的提取后，按事先制定好的解析方式對(duì)流量進(jìn)行比對(duì)及管理。其實(shí)在分組過(guò)濾式防火墻（即第一代防火墻）時(shí)代[19]，就己經(jīng)出現(xiàn)了對(duì)網(wǎng)絡(luò)連接進(jìn)行管控的技術(shù)。通過(guò)分析報(bào)文 IP 地址、網(wǎng)絡(luò)連接的端口等信息來(lái)檢查通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)報(bào)文，然后按制定好的管控流程執(zhí)行，最終一個(gè)數(shù)據(jù)包的放行還是阻斷都要取決于這些參數(shù)。在發(fā)展之初，流量檢測(cè)技術(shù)沒(méi)有太大的突破，很長(zhǎng)的時(shí)間內(nèi)，端口識(shí)別一直是流量管控的主要技術(shù)方式。2004 年，研究人員 Suabrata Sen 等研究以服務(wù)協(xié)議的內(nèi)容規(guī)則來(lái)對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測(cè)的辨識(shí)方法[20]，即 DPI 技術(shù)。解析常見(jiàn)服務(wù)協(xié)議的關(guān)鍵信息，通過(guò)對(duì)服務(wù)特征的提取，再將其與收集到的網(wǎng)絡(luò)報(bào)文進(jìn)行比對(duì)，來(lái)確認(rèn)該網(wǎng)絡(luò)報(bào)文的具體應(yīng)用類型。經(jīng)實(shí)際檢驗(yàn)，相對(duì)于普通的“IP+端口”檢測(cè)的方法，該方法對(duì)網(wǎng)絡(luò)流量的識(shí)別效果更準(zhǔn)確，分析結(jié)果的準(zhǔn)確率可以達(dá)到 95%以上。我國(guó)對(duì) DPI 技術(shù)的研究在 2006 年開(kāi)始，興起和使用要比國(guó)外稍晚一些，金婷等人以 DPI 技術(shù)為主，配合其他技術(shù)，總結(jié)出 QQ 語(yǔ)音的識(shí)別方法[22]。在這年，境外廠商的 DPI 產(chǎn)品開(kāi)始進(jìn)入國(guó)內(nèi)市場(chǎng)，傳統(tǒng) DPI 技術(shù)公司 Allot[23]為新浪網(wǎng)進(jìn)行了流量數(shù)據(jù)的展示。接下來(lái)的幾年時(shí)間里，國(guó)內(nèi)的 DPI 技術(shù)的研究和應(yīng)用都獲得很大的發(fā)展，不同服務(wù)廠商的各類產(chǎn)品也呈現(xiàn)多樣化。如提供 DPI 解決方案的Qosmos[24]和派網(wǎng)軟件[25]；提供嵌入 DPI 功能設(shè)備的 Cisco[26]和華為[27]；提供獨(dú)立 DPI設(shè)備的深信服[28]和寬廣電信[29]等。目前看來(lái)，由于對(duì) DPI 技術(shù)研究較早，國(guó)外廠商的產(chǎn)品和方案相對(duì)來(lái)說(shuō)比較成熟，有一定的技術(shù)優(yōu)勢(shì)。而我國(guó)廠商針對(duì)國(guó)內(nèi)應(yīng)用的特點(diǎn)，DPI 設(shè)備檢測(cè)更具針對(duì)性，也比較準(zhǔn)確，更貼近實(shí)際需要。

..........

 

第 2 章 相關(guān)技術(shù)研究

 

報(bào)文識(shí)別作為應(yīng)用層數(shù)據(jù)檢測(cè)的基礎(chǔ)，流量采集和報(bào)文分析是流量檢測(cè)技術(shù)的主要兩個(gè)方面，都直接決定著識(shí)別實(shí)時(shí)性和識(shí)別效果的優(yōu)劣，普遍使用的檢測(cè)方法包括深度包檢測(cè)（DPI）、深度流檢測(cè)（DFI）以及端口識(shí)別等[33]。DPI 技術(shù)是用于對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)檢測(cè)的主流方式，通過(guò)特征串匹配來(lái)對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測(cè)，特征串的表示通常以精確字符串和正則表達(dá)式來(lái)進(jìn)行，表示方式的不同所對(duì)應(yīng)的特征串比對(duì)算法也會(huì)有所不同。

 

2.1 網(wǎng)絡(luò)流量采集相關(guān)技術(shù)

主動(dòng)網(wǎng)絡(luò)采集方式是指通過(guò)對(duì)目標(biāo)發(fā)送試探性報(bào)文，并等待目標(biāo)反饋的方式進(jìn)行數(shù)據(jù)的收集。此方法多用于早期，采集者主要以分析被測(cè)目標(biāo)的反饋中所含有的信息，及各個(gè)目標(biāo)反饋內(nèi)容的差異來(lái)進(jìn)行判定。采集者所發(fā)出的試探內(nèi)容不同，被測(cè)目標(biāo)反饋的不同的信息；就算發(fā)出的試探內(nèi)容相同，但目標(biāo)屬性不同所反饋的內(nèi)容也不同。速度快，目的性強(qiáng)是主動(dòng)收集的主要優(yōu)勢(shì)。采集者根據(jù)目標(biāo)的反饋內(nèi)容，能夠?qū)ζ鋵傩赃M(jìn)行快速判斷。但存在明顯不足：首先，需要采集者向目標(biāo)主動(dòng)進(jìn)行試探，其行為很容易被發(fā)現(xiàn)；其次，在探測(cè)目標(biāo)和網(wǎng)絡(luò)結(jié)構(gòu)無(wú)法確定的復(fù)雜情形下，采集者需發(fā)送大量的探測(cè)數(shù)據(jù)，很可能會(huì)被網(wǎng)絡(luò)中的防火墻或其他安全防護(hù)設(shè)備欄截；另外如果目標(biāo)對(duì)探測(cè)不做反饋的話，此方式也就沒(méi)任何意義了。

.........

 

2.2 網(wǎng)絡(luò)流量識(shí)別相關(guān)技術(shù)

與流量分析相關(guān)的主要概念：流：指兩個(gè)網(wǎng)絡(luò)上的主機(jī)之間，在指定時(shí)間段內(nèi)所傳輸?shù)乃袌?bào)文，它們都有著一樣的報(bào)文的五元組信息[35]。協(xié)議：所有網(wǎng)絡(luò)的設(shè)備之間在建立通信時(shí)都必須要嚴(yán)格執(zhí)行的規(guī)則總稱，是通信各方的信息格式和規(guī)范。如果網(wǎng)絡(luò)中的主機(jī)間想要建立通信，只有在遵守協(xié)議規(guī)范的前提下，才能進(jìn)行數(shù)據(jù)傳輸[36]。協(xié)議分為標(biāo)準(zhǔn)和非標(biāo)準(zhǔn)，標(biāo)準(zhǔn)協(xié)議如SNMP 協(xié)議、NTP 協(xié)議、TCP/IP 協(xié)議等；非標(biāo)準(zhǔn)協(xié)議多為個(gè)別軟件自身所使用，如 RealPlayer、CDP、EIGRP 等。流量識(shí)別是指通過(guò)技術(shù)手段對(duì)網(wǎng)絡(luò)流量及其使用的協(xié)議進(jìn)行識(shí)別，目前在實(shí)際應(yīng)用中對(duì)流量數(shù)據(jù)識(shí)別的常用技術(shù)手段有：端口識(shí)別技術(shù)、DFI、DPI 等，按照實(shí)際需要，也可以進(jìn)行組合應(yīng)用。[38]識(shí)別能力強(qiáng)弱與否的評(píng)價(jià)項(xiàng)有：全面性、識(shí)別率和錯(cuò)誤率。全面性主要指兩部分：一是能夠識(shí)別的網(wǎng)絡(luò)協(xié)議的多少，二是識(shí)別百分比（即能夠識(shí)別出的部分與總流量之比）。識(shí)別率是指識(shí)別出的某服務(wù)流量與該服務(wù)實(shí)際全部流量之比。是識(shí)別個(gè)體服務(wù)的重要指標(biāo)。錯(cuò)誤率是指錯(cuò)誤的把已屬于某服務(wù)的流量識(shí)別成其他服務(wù)協(xié)議，此種錯(cuò)誤流量占該服務(wù)所有流量之比。但是此種情況一般都要由人工判定，就一個(gè)合格的系統(tǒng)而言，由于會(huì)嚴(yán)重影響流量控制的準(zhǔn)確性，錯(cuò)誤率是不允許存在。

........

 

第 3 章 IDC/ISP 信息安全管理系統(tǒng)架構(gòu)設(shè)計(jì)...... 19

3.1 ISMS 系統(tǒng)需求分析 ........ 19

3.2 上級(jí)接口.... 21

3.3 ISMS 總體架構(gòu)...... 21

3.4 ISMS 網(wǎng)絡(luò)部署...... 23

3.5 本章小節(jié)....25

第 4 章 IDC/ISP 信息安全管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) .....26

4.1 ISMS 接入方式.....26

4.2 EU 的部署 ....26

4.3 DPI 流量處理 .........27

4.3 系統(tǒng)關(guān)鍵模塊詳細(xì)設(shè)計(jì)與實(shí)現(xiàn) .........27

4.4 前臺(tái)模塊的設(shè)計(jì)與實(shí)現(xiàn) .......... 33

第 5 章 系統(tǒng)測(cè)試............. 40

5.1 測(cè)試環(huán)境..... 40

5.2 測(cè)試目標(biāo)選取...... 40

5.3 系統(tǒng)功能測(cè)試...... 40

5.4 系統(tǒng)性能測(cè)試...... 42

5.5 測(cè)試結(jié)果.... 44

 

第 5 章 系統(tǒng)測(cè)試

 

5.1 測(cè)試環(huán)境

測(cè)試環(huán)境采用串接方式搭建，為盡量接近實(shí)際應(yīng)用場(chǎng)景，特選擇 IDC 機(jī)房的一條鏈路進(jìn)行實(shí)際測(cè)試，覆蓋的目標(biāo)鏈路帶寬為 10Gbps，串接點(diǎn)位置為網(wǎng)絡(luò)上行出口鏈路處，配合靜態(tài)路由實(shí)現(xiàn)對(duì)測(cè)試目標(biāo)的訪問(wèn)路由控制。在頁(yè)面中填入所選關(guān)鍵字（多個(gè)關(guān)鍵字用“&”號(hào)分隔），并將所有標(biāo)紅字段填全，如過(guò)濾名稱、過(guò)濾原因、過(guò)期時(shí)間（策略失效時(shí)間），并選擇該條策略下發(fā)到哪個(gè)機(jī)房，也就是該策略的生效范圍，點(diǎn)擊頁(yè)面上的“確定”按紐，完成封堵策略的下發(fā)。經(jīng)分別以 32 字節(jié)和 1500 字節(jié)數(shù)據(jù)包對(duì)目標(biāo)主機(jī)進(jìn)行 ping 測(cè)試，本系統(tǒng)在對(duì) 10Gbps 鏈路的網(wǎng)絡(luò)流量?jī)?nèi)容進(jìn)行過(guò)濾時(shí)，對(duì)網(wǎng)絡(luò)的運(yùn)行質(zhì)量基本沒(méi)有影響。

..........

 

總結(jié)

 

隨著近年來(lái)移動(dòng)互聯(lián)網(wǎng)爆發(fā)式發(fā)展，互聯(lián)網(wǎng)的新應(yīng)用不斷涌現(xiàn)，尤其以云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等為代表的新興互聯(lián)網(wǎng)領(lǐng)域的迅猛發(fā)展，互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）機(jī)房作為重要的網(wǎng)絡(luò)和信息服務(wù)基礎(chǔ)設(shè)施之一，匯集了大量的網(wǎng)絡(luò)和信息資源，正因?yàn)檫@樣，也使它成為網(wǎng)絡(luò)信息安全的重點(diǎn)管控對(duì)象。國(guó)家為此下發(fā)了一系列文件及規(guī)范要求 IDC 運(yùn)營(yíng)企業(yè)切實(shí)做好信息安全管理工作。針對(duì)此種情況，本文結(jié)合IDC信息安全工作的實(shí)際情況和要求，提出基于DPI技術(shù)的方式對(duì)網(wǎng)絡(luò)流量中的報(bào)文數(shù)據(jù)進(jìn)行實(shí)時(shí)過(guò)濾，將其與機(jī)房現(xiàn)有網(wǎng)絡(luò)有效的整合，實(shí)現(xiàn)敏感信息的及時(shí)發(fā)現(xiàn)和處理。通過(guò)實(shí)際測(cè)試達(dá)到了系統(tǒng)設(shè)計(jì)目標(biāo)。系統(tǒng)可以對(duì)關(guān)鍵字信息實(shí)時(shí)發(fā)現(xiàn)并有效處理，有效防止敏感信息的擴(kuò)散和傳播，減少對(duì)用戶和社會(huì)的危害。本文主要完成了 IDC/ISP 信息安全管理系統(tǒng)的設(shè)計(jì)，基于 DPI 技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的管理，實(shí)時(shí)監(jiān)控 IDC 機(jī)房流量的進(jìn)出情況，及時(shí)發(fā)現(xiàn) IDC 機(jī)房?jī)?nèi)的違規(guī)信息，并進(jìn)行有效的管控，既能保證 IDC 業(yè)務(wù)能夠穩(wěn)定、健康、快速地發(fā)展，又能滿足政府部門對(duì)互聯(lián)網(wǎng)基礎(chǔ)資源和網(wǎng)絡(luò)信息安全管理的需求。本系統(tǒng)目前只能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量中明文報(bào)文的監(jiān)測(cè)和封堵，如何對(duì)網(wǎng)絡(luò)流量中加密數(shù)據(jù)報(bào)文的內(nèi)容進(jìn)行監(jiān)測(cè)和處理將是下一步研究的目標(biāo)。

..........

參考文獻(xiàn)（略）