YDT 2272-2011 网络异常流量清洗系统技术要求

更新时间：2023-09-05 22:02:49 大小：943K 上传用户：sun2152 查看TA发布的资源 标签：清洗系统 下载积分：4分评价赚积分（如何评价?）打赏收藏评论(0) 举报

资料介绍

范围本标准规定了网络异常流量清洗系统的技术要求，包括原理、功能、性能、协议、接口等方面的要求。本标准运用于网络异常流量清洗系统。 2规范性引用文件下列文件对于本文件的应用是必不可少的，凡是注日期的引用文件，仅注日期的版本适用于本文件. 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 IEEE 802.3ab（1999）用于操作在 4 对 5 类线平衡铜缆上的 1000Base-T 物理层参数和规范10G 以太网标准 IEEE 802.3ac IEEE 802.3u百兆以太网标准（100Base-TX）IEEE 802.3z（1998）千兆以太网标准（1000Base-LX/1000Base-SX） 3 术语、定义和缩略语 3.1 术语和定义下列术语和定义适用于本文件. 3.1.1分布式拒绝服务攻击 Distributed Denial of Service Attacks一种以资源消耗（带宽、服务处理能力）为手段的攻击方式，目的就是要阻止合法用户对正常网络资源的访问，分布式拒绝服务攻击的特点是攻击者以较小的代价耗费被攻击者大量资源或控制大量傀僵主机同时发起攻击， 3.1.2安全策略基线 Security Policy Baseline指为满足网络安全的要求，使设备应具有的安全检查功能的策略和规则形成的集合。 3.1.3被保护域 Protected Domain指有可能遭到DDoS攻击的网络。 3.1.4被保护对象 Protected Object指被保护域中的具体受保护的服务器或者网络终端。 3.1.5旁路设备 Bypass Device指被保护域中距离网络出口最近的设备。概述 4.1 异常流量清洗系统构成异常流量清洗系统主要由异常流量检测部件、异常流量清洗部件及业务管理部件3部分组成。 4.1.1 检测、清洗部件形态及功能检测部件、清洗部件既可以是一台设备的两个功能部件，也可以是两台不同的设备。检测部件也可以是专门的检测设备，甚至是一台有检测功能的主机或服务器。一个清洗部件可以对应多个检测部件。异常流量检测部件通过镜像或者分光的方式把用户的流量复制过来，并实时进行攻击检测及异常流量分析。检测部件在网络中运行一段时间，可以根据实际网络中的流量情况，学习出一套与实际网络相似的流量分布情况并自动生成安全策略基线，学习到的安全策略基线上报给业务管理平台，由业务管理平台对此安全策略基线进行进一步加工处理后，再下发给检测部件或清洗部件，并应支持安全策略基线的配置。攻击发生时，异常流量清洗部件通过更新旁路设备上的路由表项，将流经所有旁路设备上的被保护对象的流量动态地牵引到清洗部件进行清洗。清洗部件可通过BGP4或其他路由协议向旁路设备发布更新路由通告来实现旁路设备路由表更新。清洗部件把清洗后的流量回注给被保护对象，并向业务管理部件上报清洗日志以形成相应的报表。 4.1.2 业务管理部件功能业务管理部件主要负责流量清洗系统的集中管理。流量清洗相关业务配置可以由业务管理部件自动完成检测部件和清洗部件的软件配置，例如：添加被保护对象，为被保护对象配置安全策略基线等。业务管理部件还提供完善的流量清洗业务管理，支持手动清洗管理，自动清洗管理，手动关联，自动关联等异常流量处理方式：为异常流量提供多种方式的告警，例如：邮件告警、声音告警等。另外，业务管理部件还应为用户提供详细的流量日志分析报表、攻击事件分析处理报告等。 4.2 异常流量清洗方式 4.2.1 串接式流量清洗系统直接串接到网络中，清洗部件实施对异常流量的检测，发现攻击，启动清洗，将异常流量过滤掉，然后将流量正常转发。这种方式组网简单，清洗部件本身的可靠性成为关键，而且实际组网使用不多，所以本标准暂不规定。 4.2.2 旁路式流量清洗系统旁挂在城域网核心设备或者网络出口设备上，流量检测部件对被保护网络的流量进行检测，发现攻击后将事件报告业务管理部件，业务管理部件启动流量清洗，将出现异常的业务流量牵引到清洗部件上，流量清洗部件将攻击流量清洗干净后，再将正常流量回注到被保护网络，完成对网络的保护功能。实际网络应用中常常使用旁路式，本标准主要阐述旁路式的相关内容。