基于DPI的IDC/ISP信息安全生产管理系统设计与实现

 

第 1 章 绪 论

 

1.1 ISMS 系统应用背景

随着国家信息化建设，互联网基础设施的不断完善，加上近年移动互联网、物联网等的迅猛发展，应用内容极大丰富。原来限制网络信息化发展的用户接入问题和带宽问题已不复存在，用户对网络服务的体验性要求越来越高，对延迟、卡顿等问题几乎是零容忍，导致在互联网同业竞争白热化的今天，所有应用服务商都在尽一切所能来提高业务质量。而与用户侧带宽快速提升不同，内容运营商面对海量的互联网连接服务请求，需要更高的网络资源来承载其巨大的业务流量，同时还需要一个更加稳定可靠的机房配套环境来保证其设备和业务的稳定，一般的支撑能力显然无法满足需要，这时 IDC（互联网[1]数据中心[2]）作为重要的互联网基础设施就突显出来。目前国内大部分主流 IDC 机房都是由三大电信运营商所经营，他们依托自身强大网络资源和高质量的机房资源，向以互联网内容服务商、政府和大型企业为主要代表的各类 IDC 用户提供专业化的 IDC 运营服务。近年来随着云计算、大数据、物联网等新兴互联网领域的迅猛发展，更是离不开以数据中心为核心的基础设施的保障。而随着互联网产业的飞速发展，其业态也日趋多样化，俨然已经形成了一个虚拟的社会，使信息安全[3]管控方面面临着极大的挑战。IDC 机房是互联网上各种应用及资源的集散地，是互联网业务发展的重要基础设施之一，也是各类网络信息安全[4]事件的多发地。目前基础电信企业和 IDC运营企业对 IDC 机房的管理主要集中在对机房内 IP 地址、网站、设备、接入等静态信息的管理，对于 IDC 的进出流量、各种数据内容则没有过多的分析。而通信管理部门出于对互联网基础资源管理和行业监管的要求，需要加强对 IDC 机房网络信息安全的管理，通过建立一定的技术手段，实时监控 IDC 机房网络流量中包含的内容，及时发现违规信息并进行有效的管控，实现“实时化、智能化、全自动”的互联网安全审计及信息监管体系，既能保证 IDC 业务能够稳定、健康、快速地发展，又能满足国家网络监管部门对网络信息进行安全管控的需求。

..........

 

1.2 DPI 发展起源和现状

由于互联网应用的迅猛发展，数据中心所承载业务多样性和巨大的网络流量的特点越来越突出，传统的基于 IP、端口和协议的识别方式已不能满足 IDC/ISP信息安全管理工作的需要，而深度包检测（Deep Packet Inspection，DPI）技术能够实现对应用层[15]的数据内容进行深层解析[16]。随着 DPI 技术的不断成熟完善，硬件性能和处理能力的不断提高，使其能够被应用在高速率、大带宽的网络中，以及如入侵检测[17]、流量识别、内容监测等实际场景中。IDC/ISP 信息安全管理系统（ISMS）正是以 DPI 技术为基础，实现对网络流量报文进行深层检测。深度包检测（DPI）技术，通俗的讲就是一种能够实现流量深层检测和控制网络通信内容的技术。其“深度”的意思[18]是因为它在传统报头的基础上，还包括对应用数据内容的检测。当网络报文流经应用了 DPI 的设备时，最先提取出 IP层的内容，然后对应用层数据进行重组，在完成对应用层信息的提取后，按事先制定好的解析方式对流量进行比对及管理。其实在分组过滤式防火墙（即第一代防火墙）时代[19]，就己经出现了对网络连接进行管控的技术。通过分析报文 IP 地址、网络连接的端口等信息来检查通过网络的数据报文，然后按制定好的管控流程执行，最终一个数据包的放行还是阻断都要取决于这些参数。在发展之初，流量检测技术没有太大的突破，很长的时间内，端口识别一直是流量管控的主要技术方式。2004 年，研究人员 Suabrata Sen 等研究以服务协议的内容规则来对网络流量进行检测的辨识方法[20]，即 DPI 技术。解析常见服务协议的关键信息，通过对服务特征的提取，再将其与收集到的网络报文进行比对，来确认该网络报文的具体应用类型。经实际检验，相对于普通的“IP+端口”检测的方法，该方法对网络流量的识别效果更准确，分析结果的准确率可以达到 95%以上。我国对 DPI 技术的研究在 2006 年开始，兴起和使用要比国外稍晚一些，金婷等人以 DPI 技术为主，配合其他技术，总结出 QQ 语音的识别方法[22]。在这年，境外厂商的 DPI 产品开始进入国内市场，传统 DPI 技术公司 Allot[23]为新浪网进行了流量数据的展示。接下来的几年时间里，国内的 DPI 技术的研究和应用都获得很大的发展，不同服务厂商的各类产品也呈现多样化。如提供 DPI 解决方案的Qosmos[24]和派网软件[25]；提供嵌入 DPI 功能设备的 Cisco[26]和华为[27]；提供独立 DPI设备的深信服[28]和宽广电信[29]等。目前看来，由于对 DPI 技术研究较早，国外厂商的产品和方案相对来说比较成熟，有一定的技术优势。而我国厂商针对国内应用的特点，DPI 设备检测更具针对性，也比较准确，更贴近实际需要。

..........

 

第 2 章 相关技术研究

 

报文识别作为应用层数据检测的基础，流量采集和报文分析是流量检测技术的主要两个方面，都直接决定着识别实时性和识别效果的优劣，普遍使用的检测方法包括深度包检测（DPI）、深度流检测（DFI）以及端口识别等[33]。DPI 技术是用于对网络流量数据检测的主流方式，通过特征串匹配来对网络流量进行检测，特征串的表示通常以精确字符串和正则表达式来进行，表示方式的不同所对应的特征串比对算法也会有所不同。

 

2.1 网络流量采集相关技术

主动网络采集方式是指通过对目标发送试探性报文，并等待目标反馈的方式进行数据的收集。此方法多用于早期，采集者主要以分析被测目标的反馈中所含有的信息，及各个目标反馈内容的差异来进行判定。采集者所发出的试探内容不同，被测目标反馈的不同的信息；就算发出的试探内容相同，但目标属性不同所反馈的内容也不同。速度快，目的性强是主动收集的主要优势。采集者根据目标的反馈内容，能够对其属性进行快速判断。但存在明显不足：首先，需要采集者向目标主动进行试探，其行为很容易被发现；其次，在探测目标和网络结构无法确定的复杂情形下，采集者需发送大量的探测数据，很可能会被网络中的防火墙或其他安全防护设备栏截；另外如果目标对探测不做反馈的话，此方式也就没任何意义了。

.........

 

2.2 网络流量识别相关技术

与流量分析相关的主要概念：流：指两个网络上的主机之间，在指定时间段内所传输的所有报文，它们都有着一样的报文的五元组信息[35]。协议：所有网络的设备之间在建立通信时都必须要严格执行的规则总称，是通信各方的信息格式和规范。如果网络中的主机间想要建立通信，只有在遵守协议规范的前提下，才能进行数据传输[36]。协议分为标准和非标准，标准协议如SNMP 协议、NTP 协议、TCP/IP 协议等；非标准协议多为个别软件自身所使用，如 RealPlayer、CDP、EIGRP 等。流量识别是指通过技术手段对网络流量及其使用的协议进行识别，目前在实际应用中对流量数据识别的常用技术手段有：端口识别技术、DFI、DPI 等，按照实际需要，也可以进行组合应用。[38]识别能力强弱与否的评价项有：全面性、识别率和错误率。全面性主要指两部分：一是能够识别的网络协议的多少，二是识别百分比（即能够识别出的部分与总流量之比）。识别率是指识别出的某服务流量与该服务实际全部流量之比。是识别个体服务的重要指标。错误率是指错误的把已属于某服务的流量识别成其他服务协议，此种错误流量占该服务所有流量之比。但是此种情况一般都要由人工判定，就一个合格的系统而言，由于会严重影响流量控制的准确性，错误率是不允许存在。

........

 

第 3 章 IDC/ISP 信息安全管理系统架构设计...... 19

3.1 ISMS 系统需求分析 ........ 19

3.2 上级接口.... 21

3.3 ISMS 总体架构...... 21

3.4 ISMS 网络部署...... 23

3.5 本章小节....25

第 4 章 IDC/ISP 信息安全管理系统设计与实现 .....26

4.1 ISMS 接入方式.....26

4.2 EU 的部署 ....26

4.3 DPI 流量处理 .........27

4.3 系统关键模块详细设计与实现 .........27

4.4 前台模块的设计与实现 .......... 33

第 5 章 系统测试............. 40

5.1 测试环境..... 40

5.2 测试目标选取...... 40

5.3 系统功能测试...... 40

5.4 系统性能测试...... 42

5.5 测试结果.... 44

 

第 5 章 系统测试

 

5.1 测试环境

测试环境采用串接方式搭建，为尽量接近实际应用场景，特选择 IDC 机房的一条链路进行实际测试，覆盖的目标链路带宽为 10Gbps，串接点位置为网络上行出口链路处，配合静态路由实现对测试目标的访问路由控制。在页面中填入所选关键字（多个关键字用“&”号分隔），并将所有标红字段填全，如过滤名称、过滤原因、过期时间（策略失效时间），并选择该条策略下发到哪个机房，也就是该策略的生效范围，点击页面上的“确定”按纽，完成封堵策略的下发。经分别以 32 字节和 1500 字节数据包对目标主机进行 ping 测试，本系统在对 10Gbps 链路的网络流量内容进行过滤时，对网络的运行质量基本没有影响。

..........

 

总结

 

随着近年来移动互联网爆发式发展，互联网的新应用不断涌现，尤其以云计算、大数据、物联网等为代表的新兴互联网领域的迅猛发展，互联网数据中心（IDC）机房作为重要的网络和信息服务基础设施之一，汇集了大量的网络和信息资源，正因为这样，也使它成为网络信息安全的重点管控对象。国家为此下发了一系列文件及规范要求 IDC 运营企业切实做好信息安全管理工作。针对此种情况，本文结合IDC信息安全工作的实际情况和要求，提出基于DPI技术的方式对网络流量中的报文数据进行实时过滤，将其与机房现有网络有效的整合，实现敏感信息的及时发现和处理。通过实际测试达到了系统设计目标。系统可以对关键字信息实时发现并有效处理，有效防止敏感信息的扩散和传播，减少对用户和社会的危害。本文主要完成了 IDC/ISP 信息安全管理系统的设计，基于 DPI 技术实现网络信息安全的管理，实时监控 IDC 机房流量的进出情况，及时发现 IDC 机房内的违规信息，并进行有效的管控，既能保证 IDC 业务能够稳定、健康、快速地发展，又能满足政府部门对互联网基础资源和网络信息安全管理的需求。本系统目前只能实现对网络流量中明文报文的监测和封堵，如何对网络流量中加密数据报文的内容进行监测和处理将是下一步研究的目标。

..........

参考文献（略）