云數(shù)據(jù)中心利用虛擬化技術(shù)，使得資源利用率得到大幅提升，但同時也造成了網(wǎng)絡環(huán)境的復雜化。一套物理網(wǎng)絡承載著所有租戶的流量，租戶的業(yè)務多種多樣，租戶自身行為和網(wǎng)絡特性也迥然有異，過硬的云端安全監(jiān)控和防護刻不容緩。

綠盟科技的SDN云安全方案包括兩個方向：SDN與云環(huán)境下WEB安全防護和基于流量的威脅情報分析。云杉網(wǎng)絡2Cloud云平臺以WAF服務和監(jiān)控統(tǒng)計功能，為用戶云端業(yè)務提供安全保障。

WEB安全防護，包含多層次可定制的防護手段，可提供系統(tǒng)監(jiān)控、安全管理、日志報表以及系統(tǒng)管理功能，能夠在SDN的網(wǎng)絡應用環(huán)境中通過開放接口和SDN平臺進行交互，給用戶提供攻防對抗的核心能力。同時，云安全運營中心提供規(guī)則升級、代維服務和聯(lián)合防護API，集云端智慧，助力WEB安全防護。
 

基于流量的威脅情報分析，可通過網(wǎng)絡可視化帶動深度態(tài)勢感知，所見即所得，讓用戶能夠直觀感受網(wǎng)絡的使用狀況和異常安全事件的整體態(tài)勢;其次，根據(jù)用戶的網(wǎng)絡應用環(huán)境主動式地自適應異常檢測，結(jié)合業(yè)務和安全運維，發(fā)現(xiàn)未知安全威脅和非常規(guī)行為;同時，通過大數(shù)據(jù)分析平臺，對全局數(shù)據(jù)流進行實時檢測和大周期地回溯分析，為安全或運維人員提供實時流與歷史數(shù)據(jù)的多維度審視功能，加速安全事件的應急響應，提升整體運維能力。
 

基于流量的威脅情報分析是以網(wǎng)絡流量為基礎，因此，獲得實時、豐富和準確的流量統(tǒng)計至關(guān)重要。云杉網(wǎng)絡的深度流探測(DFI®, Deep Flow Inspection)技術(shù)，應用于復雜的云環(huán)境中，實現(xiàn)全方位和細粒度的網(wǎng)絡監(jiān)控。

DFI運行于虛擬交換機內(nèi)核層面，能夠高效無損地統(tǒng)計租戶的公網(wǎng)流量和私有網(wǎng)絡流量?；诮y(tǒng)計數(shù)據(jù)，上層應用利用大數(shù)據(jù)流式計算技術(shù)，實時繪制出租戶業(yè)務的當前狀態(tài)，并基于歷史記錄給出業(yè)務報表。相比其他網(wǎng)絡探針，DFI技術(shù)直接在虛擬機出口進行統(tǒng)計，租戶的所有內(nèi)網(wǎng)流量也能納入分析，從而能細粒度展現(xiàn)租戶私有網(wǎng)絡內(nèi)的網(wǎng)絡狀況，例如及時發(fā)現(xiàn)熱點鏈路，分析熱點業(yè)務的網(wǎng)絡特性等。
 

基于DFI技術(shù)的典型應用包括：對租戶的公網(wǎng)流量進行業(yè)務層面的分析，展現(xiàn)業(yè)務的帶寬消耗、時延、時頻和熱點等特性。如下圖所示，用戶可查看到按年、按月或?qū)崟r的訪問者地圖，以及不同ISP訪問者的數(shù)量和流量的訪問者網(wǎng)絡。

基于DFI的實時統(tǒng)計數(shù)據(jù)流，綠盟科技利用實時流式計算技術(shù)進行深度挖掘，實時展現(xiàn)租戶內(nèi)部，以及租戶和互聯(lián)網(wǎng)之間的流量型攻擊。
 

如上圖所示的DDoS攻擊分析，通過對流量、包數(shù)量、包長、TCP標志位、地理位置和訪問客戶端數(shù)量等維度進行分析，分析用戶服務器或者業(yè)務的日常訪問基線。當流量行為大幅度異于以上維度的基線，則有證據(jù)判定為DDoS攻擊;通過攻擊流的發(fā)起方向判斷攻擊源，從而檢測出用戶是否被DDoS攻擊或被作為“肉雞”攻擊外部網(wǎng)絡。
 

“掃描探測行為”是大部分惡意攻擊的第一步，如上圖所示的Scan攻擊分析，展現(xiàn)一定時間范圍內(nèi)對主機集群的多臺主機或者多個端口的掃描探測行為，通過分析這種行為來發(fā)現(xiàn)攻擊行為，判斷具有窺探用戶虛擬機集群意圖的客戶端IP或者嘗試窺探外部網(wǎng)絡的惡意內(nèi)部用戶。

將上述基于DFI技術(shù)的流量分析運用在云服務中，可加強數(shù)據(jù)中心及租戶對網(wǎng)絡狀況的洞察能力，加強對網(wǎng)絡態(tài)勢的預判能力，為高效和準確地防御和清洗攻擊提供有效手段。

sunyingying