CERNET主干網安全保障系統部署與應用

文/楊望

“211”工程三期建設的CERNET主干網分布式網絡安全保障系統是本期“211”建設的重要項目，在“211”工程二期建設的安全保障系統上，該系統通過在網絡關鍵點實行網絡安全監測，進一步增強對網絡有害行為監測分析的能力，能夠及早抑制網絡有害行為的大規模發生，提高CERNET主干網的應急響應能力。該系統由四個不同的系統組成，分別是：網絡服務與網絡安全態勢信息發布系統（Network Behavior Observation System，后文簡稱NBOS系統）、主干網有害行為分析系統（后文簡稱Antimalware系統）、分布式蜜罐系統和分布式應急響應協同工作系統（后文簡稱CHAIRS系統）。

NBOS系統通過觀測主干節點的路由器記錄對主節點網絡流量行為監測，可以發現針對接入網的DDoS攻擊、服務器后門和僵尸網絡活動。Antimalware系統通過對流量進行DPI監控，主要進行全網僵尸網絡通信活動監測和全網網站入侵監測。蜜罐系統則通過吸引攻擊活動發現潛藏的僵尸網絡主機和各類掃描器。對于上述三類系統產生的安全警報，全部會匯聚到對應節點的CHAIRS系統。CHAIRS系統通過事件的聚類、分級、判偽和信息增強，將每天十萬數量級別的安全警報匯聚成10100（每節點）條以內的安全事件，為主節點安全事件響應提供支持，同時提供接入網網絡安全態勢評估。

目前該安全保障系統全部已完成了所有的系統安裝工作，并在大部分安裝節點完成了數據源的接入、配置和事件發布工作。其中NBOS系統和CHAIRS系統均向節點用戶開放了使用接口；具體的用法將通過用戶手冊發布到各節點用戶。為了向大家介紹這些系統的用途，通過一些例子來說明CHAIRS系統和NBOS系統的使用場景。

CHAIRS系統的使用

CHAIRS系統是用戶處理安全事件的入口，登錄進入首頁后可以看到當前各類事件按單位和主機統計的數量。CHAIRS系統將安全事件分為兩類，一類是內部威脅，以被管單位為主體來組織有問題的主機，對于內部威脅事件，一旦用戶認領事件后，需要檢查被報告的主機。為了進一步區分不同主機的重要性，目前將所有的網站服務器主機單獨列為一個分類“掛馬網站”，對有網站后門（WebShell）和暗鏈、木馬的網站服務器進行通報。內部后門則暫時對服務器和主機不做區分，顯示所有發現的僵尸網絡后門主機和有攻擊行為的主機。外部威脅分為攻擊和外部惡意代碼兩類。攻擊目前只包含DDoS事件，以被管單位為主體來顯示正在發生的DDoS攻擊，外部惡意代碼則顯示當前對被管網內攻擊最嚴重的主機，并通過運營商（國內）和國家（國外）為單位來統計攻擊主機的分布。

CHAIRS系統界面

圖1 被攻破主機統計

以內部后門為例，來進一步說明內部威脅的處理。點擊內部后門后將看到內部后門各類具體類型后門主機的統計情況，目前包括被攻破主機（有掃描攻擊行為的主機）和僵尸網絡后門主機。圖1是其中被攻破主機的統計，有攻擊行為的主機每天發現的數量可能在數以萬計，CHAIRS系統通過掃描范圍和活動周期發現其中穩定的活動主機，并將這批主機匯報給用戶。經過一個月左右的運行，各學校和單位發現的穩定的被攻破主機數量并不是太高，同時經個例分析，大部分被CHAIRS系統報告的被攻破主機都是服務器，也是需要處理的重點對象，一般的個人主機則因為活躍時間和性能問題，一般不會產生嚴重的攻擊行為，會被CHAIRS系統過濾，避免過多的事件影響學校安全管理員對重要服務器的事件處理。

點擊單位名稱后可以看到該單位所有對應類型攻擊的IP地址，以及對應的惡意行為、攻擊規模（掃描主機數）和活躍周期，CHAIRS系統針對不同的測度可以進行排序，從而讓用戶可以看到其中問題最嚴重的主機。

點擊具體的IP地址，CHAIRS系統會進一步顯示該IP對應案件的摘要信息，包括該IP地址的歸屬和被攻擊地址的統計和歸屬和案件證據信息，案件證據信息對每個被掃描的地址的歸屬和流量信息進行了記錄。用戶可以根據這些信息結合可視化工具進行進一步的時間調查和分析。

對于不同類型的事件，CHAIRS系統提供了統一的摘要界面和定制的證據頁面。在下一版中，還將提供更豐富的可視化工具功能，協助進行證據鏈的分析。

NBOS系統的使用

NBOS系統除了作為CHAIRS系統的檢測數據源外，同時也是非常重要的網絡調查工具。NBOS不僅提供了傳統的網絡服務質量監控功能，同時提供了異常檢查和事件調查功能。

圖2 局部流量行為

圖3 端口和IP地址信息查詢

NBOS的首頁中提供了流量的熱點信息，其中列出了機器流量或連接IP數排在當前流量中最前面的地址信息。其中往往會包含DDoS攻擊者的信息，如熱點監測顯示江蘇省網內某單位地址*.*.186.105經常會出現源地址的尖峰流量，使用UDP協議和30個以上端口。對于需要進一步調查的地址，可以利用NBOS的局部流量行為觀測功能。對于用戶感興趣的地址、端口，NBOS允許用戶配置地址和端口參數，并向用戶顯示36到48小時內該地址和端口的行為。

通過將*.*.186.105加入NBOS局部IP流量觀測，可以觀測到該地址交互的地址細節信息，

通過輔助對上述地址的全報文采集，分析前后的其他報文，發現兩個irc控制器：85.17.29.51和198.23.244.92，均使用6667端口，控制器向*.*.186.105發出大量攻擊指令，三次的指令依次是：

Dilbar！Dilbar@test PRIVMSG #DDoS :.udpflood 74.117.173.147 113 180 65000

Forged！ddos@DDoS PRIVMSG #DDoS :.udpflood 91.212.150.172 80 150 65000

Forged！ddos@DDoS PRIVMSG #DDoS :.udpflood 192.184.11.134 80 120 65000

收到攻擊指令之后依次出現針對74.117.173.147、91.212.150.172、和192.184.11.134的攻擊，這些攻擊流量都在NBOS流量中檢出。

除了對攻擊行為的分析，NBOS還提供了地址和端口輔助查詢的功能，可以協助進行用戶地址和應用端口的使用信息查詢。

NBOS系統和CHAIRS系統是“211工程”三期安全報障系統的一次嘗試，希望為各個學校和學術單位的網絡管理員用戶提供一種新的工具來解決網絡安全管理中遇到的問題，希望能通過盡可能自由定制的工具讓用戶能夠發現檢測和解決安全問題的新手段。