長期以來，大型企業、電信運營商等高端網絡的安全防預工作一直是業界的難題，因為傳統的安全設備與方案在面對大型網絡常見的攻擊之下，往往顯得素手無策。高端安全，需要新的思維。

“大網”的挑戰

對于大型網絡的擁有者來說，駕馭網絡的成就感，往往會被頻發的信息安全危機所沖淡。這并非危言聳聽。在今年年初，美國《Network World》曾經聯合IDC進行過一項調查，目標是那些大型企業和電信運營商的網絡管理員。結果顯示，那些擁有巨大且應用豐富多彩的網絡的管理者，往往需要面對更加棘手的信息安全困擾――頻繁的網絡攻擊、DDoS威脅，已經成為揮之不去的陰影。

從國內的情況看，雖然沒有美國的問題嚴重，但仍舊不可忽視。新華保險集團IT經理杜大軍表示，對于大型企業網絡而言，由于關系著企業的業務運營，已經成為企業的重要生命線，對于生命線的安全保障工作，自然要作為重中之重來管理。病毒、木馬、已經不再是大型網絡的主要挑戰，各種漏洞攻擊、非法滲透、DDoS才是棘手的問題。

而在剛剛閉幕的2008中國通信展上，中國移動的安全工程師在演講中表示，以電信運營商為代表的高端網絡，其最根本的運維要點在于，如何向接入用戶網絡提供滿足要求的服務質量承諾，如帶寬、響應延遲等指標。而DDoS攻擊最直接的破壞效果恰恰表現在大幅度降低骨干鏈路的可用帶寬資源和處理響應速度，所以高端網絡幾乎成為DDoS首選的攻擊對象并進而淪落為拒絕服務攻擊的重災區。

不難看出，當前高端網絡的安全防預難點，主要是由于傳統的安全技術無法在大型網絡中發揮作用。以大型網絡常見的DDoS攻擊為例，普通的防火墻、IDS、IPS并不適用，甚至在性能上還會起到反作用，引起得不償失的麻煩。

擔憂的現實

東軟網絡安全產品營銷中心副總經理李青山在接受記者采訪時表示，從當前的網絡安全情況分析，DDoS的確已經成為破壞力最強、攻擊效率最高的一種攻擊行為，這對于高端網絡安全防預造成了嚴重挑戰。因為DDoS不僅對企業的分布式業務構成嚴重威脅，而且其造成的經濟損失往往十分巨大。從攻擊的目標上分析，服務器、網絡帶寬都是它的攻擊目標。不難看出，DDoS已經引發了一場迫在眉睫的安全危機。

事實上，DDoS被設計為通過暴力手段淹沒目標網絡的行為，從而使受害者無法處理合法的請求。在多種表現形式中，通常用戶看到的是流量擁塞和帶寬消耗，而不是應用資源。

此前Arbor Networks的CTO羅馬倫博士介紹說，DDoS攻擊并不是什么新發現，其強度和影響范圍在過去十年中伴隨僵尸網絡的上升而不斷增長。僵尸網絡與DDoS捆綁之后，威力倍增，攻擊所需的帶寬、設備、網絡基礎設施均一一齊備。

近期Arbor Networks的一份全球網絡基礎設施報告顯示，僵尸網絡及DDoS攻擊已經成為對互聯網服務提供商(ISP)網絡今天最大的單一威脅。截止到目前，大約占總數一半的僵尸網絡中，至少發生了一次DDoS攻擊。

Arbor Networks公司觀察到的網絡用戶最大的持續DDoS攻擊，在2003年是2.5Gbps，到2008年最大的持續襲擊規模超過40Gbps.使大型企業和運營商感到撓頭的是，各種“業余”攻擊和多達數十G的“專業”攻擊此起彼伏，其中涉及大量的僵尸肉雞。雖然一些網絡運營商和企業網絡紛紛升級到了10G規模，但在僵尸網絡和DDoS捆綁之后，攻擊的吞吐已經超過24G.

尷尬的防御

據李青山介紹，當前普通企業網大量應用的一些傳統安全技術幾乎都不適用高端網絡對DDoS的防范，高端網絡幾乎已經面臨著巨大的的局面，甚至思路本身都不適合高端網絡的安全要求。

首先，一些號稱提供DDoS過濾的設備缺乏足夠的處理性能。當前大型網絡普遍采用萬兆以上鏈，而現有DDoS過濾器卻無法支持。事實上，一般DDoS過濾器通常針對普通企業用戶進行設計，其系統處理性能往往局限在1G以下。

其次，越來越多的安全串接設備將會降低高端網絡的穩定性。諸如防火墻、IDS、IPS、DDoS過濾器等設備工作重點在于提高系統安全性而非穩定性，其系統MTBF指標比主流網絡設備要遜色許多。事實上，在大型網絡區域邊界點上部署此類設備將直接惡劣的負面影響，包括單一故障點增多，以及把大型網絡整體穩定性直接拉低為普通安全設備本身的穩定性。

最后，像DDoS過濾設備無法提供對應的接口類型。DDoS過濾設備主要面向下游接入網絡提供服務，網絡接口基本局限為100/1000M以太鏈路，而作為中間互連通道的高端網絡骨干鏈路中卻廣泛采用了10GE、OC-192 POS等規程，這對于構建在通用硬件平臺上的DDoS過濾設備來難以配置相應接口板卡。正是由于傳統DDoS串接防護設備顯而易見的局限性，決定了其無法在高端網絡中進行應用部署。

關注NTARS

目前來看，網絡流量分析與安全響應系統NTARS確實是一種全新的安全思維。

對此李青山介紹說，NTARS主要定位于運營商骨干等高端網絡的檢測分析，通過對骨干流量信息的提取、分析，實時檢測網絡中DoS/DDoS攻擊、P2P通信、Worm、Spam等網絡濫用事件，進而驅動響應系統進行阻斷防御。同時，面向管理員提供流量圖式、趨勢預警、關鍵應用服務質量等各類關于骨干網絡運行狀況的統計分析數據，幫助管理員監控和掌握骨干鏈路及關鍵資源的運行情況。

在防護目標上，與防火墻、IPS等傳統安全設備相比，NTARS的保護對象不再是例如內網區域、關鍵服務器等有形資產，而是將主要關注以鏈路帶寬、網元處理能力為代表的無形資產上。

據悉，NTARS技術的關鍵，在于所實現的復合采集機制ICA，可以廣泛吸取Netflow、Sflow、Cflowd、NetStream、Port Mirroring、SNMP等各項技術的綜合優勢，通過多種渠道獲得采集對象的傳輸層以下各協議層特征甚至可按需獲得可疑流量應用層完整信息，為準確檢測海量背景壓力下混雜的DDoS流量提供多元化的基礎數據。

需要指出的是，復合采集機制完全通過旁路接入方式實現對監控網絡的分析采集，能夠徹底排除串聯式DDoS防護機制給原有網絡穩定性所引入的負面影響。另外，復合采集機制所支持的各種采集方式不再是簡單的并列平行運作，而是能夠按照檢測策略要求在彼此之間進行智能化的復合關聯，一種數據采集方式所產生的分析結果能夠智能驅動其他數據采集方式的啟用，自動引導數據進入不同層次的分析引擎中。

從目前的技術發展來看，多種采集方式直接對應到NTARS不同的分析引擎，各分析引擎提供針對不同層面的專項作業分工。通過不同引擎的配合，NTARS不僅可以成功發現分布在傳輸層以下的DDoS流量，并且還有能力對應用層內部的DDoS行為進行準確檢測。各引擎之間既分工獨立又可智能協同，能夠廣泛適用于網絡性能分析、異常流量檢測、服務質量監控、應用層安全過濾等多種環境中。

換句話說，NTARS是集檢測與響應于一身的混合型防護技術，不僅通過旁路部署的方式避免了對高端網絡穩定性的影響，而且又利用BGP/CLI等方式完成了對可疑流量的反向抑制。對于高端網絡運維而言，NTARS綜合提供了統計分析、異常檢測和反向抑制三大部分功能，是對DDoS、Spam等進行有效反制的不二之選。