BIT9-1華為僵尸網(wǎng)絡(luò)解決方案

1、HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 1華為僵尸網(wǎng)絡(luò)解決方案和應(yīng)用匯報(bào)華為僵尸網(wǎng)絡(luò)解決方案和應(yīng)用匯報(bào)ContentsContents 僵尸網(wǎng)絡(luò)現(xiàn)狀僵尸網(wǎng)絡(luò)現(xiàn)狀 華為僵尸網(wǎng)絡(luò)解決方案華為僵尸網(wǎng)絡(luò)解決方案 運(yùn)營(yíng)經(jīng)驗(yàn)分享運(yùn)營(yíng)經(jīng)驗(yàn)分享HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 3僵尸網(wǎng)絡(luò)能引起什么？僵尸網(wǎng)絡(luò)能引起什么？and 。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 4小結(jié)小結(jié)n僵尸網(wǎng)絡(luò)是僵尸網(wǎng)絡(luò)是DD

2、OSDDOS攻擊、垃圾郵件傳播等網(wǎng)上非法行為的本質(zhì)源頭；攻擊、垃圾郵件傳播等網(wǎng)上非法行為的本質(zhì)源頭；n僵尸網(wǎng)絡(luò)關(guān)系到運(yùn)營(yíng)商網(wǎng)絡(luò)的和諧發(fā)展；僵尸網(wǎng)絡(luò)關(guān)系到運(yùn)營(yíng)商網(wǎng)絡(luò)的和諧發(fā)展；n僵尸網(wǎng)絡(luò)檢測(cè)能從源頭進(jìn)行各種網(wǎng)絡(luò)安全的防護(hù)，但檢測(cè)技術(shù)門檻高，僵尸網(wǎng)絡(luò)檢測(cè)能從源頭進(jìn)行各種網(wǎng)絡(luò)安全的防護(hù)，但檢測(cè)技術(shù)門檻高，檢測(cè)黑客控制技術(shù)難度大；檢測(cè)黑客控制技術(shù)難度大；p隱藏在海量數(shù)據(jù)中，隱蔽性高；隱藏在海量數(shù)據(jù)中，隱蔽性高；p存在很多加密通道，很難檢測(cè)；存在很多加密通道，很難檢測(cè)；p使用正常協(xié)議進(jìn)行控制，難于區(qū)別；使用正常協(xié)議進(jìn)行控制，難于區(qū)別；p存在利用存在利用P2PP2P網(wǎng)絡(luò)進(jìn)行控制；網(wǎng)絡(luò)進(jìn)行控制；p隨計(jì)算機(jī)網(wǎng)

3、絡(luò)發(fā)展不斷變革隨計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展不斷變革僵尸電腦僵尸電腦僵尸電僵尸電腦腦攻擊者攻擊者ContentsContents 僵尸網(wǎng)絡(luò)現(xiàn)狀僵尸網(wǎng)絡(luò)現(xiàn)狀 華為僵尸網(wǎng)絡(luò)解決方案華為僵尸網(wǎng)絡(luò)解決方案 運(yùn)營(yíng)經(jīng)驗(yàn)分享運(yùn)營(yíng)經(jīng)驗(yàn)分享HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 6僵尸網(wǎng)絡(luò)檢測(cè)解決方案架構(gòu)設(shè)計(jì)僵尸網(wǎng)絡(luò)檢測(cè)解決方案架構(gòu)設(shè)計(jì)業(yè)界主流架構(gòu)：業(yè)界主流架構(gòu)： 依托華為高性能依托華為高性能DPIDPI設(shè)備設(shè)備-SIG-SIGl檢測(cè)模塊（旁路和直路）檢測(cè)模塊（旁路和直路）p負(fù)責(zé)對(duì)僵尸控制報(bào)文的實(shí)時(shí)檢測(cè)負(fù)責(zé)對(duì)僵尸控制報(bào)文的實(shí)時(shí)檢測(cè)；（DPI技術(shù)）p地理位置、

4、帳號(hào)信息結(jié)合地理位置、帳號(hào)信息結(jié)合（信息結(jié)合：地理位置、帳號(hào)信息結(jié)合顯示）檢測(cè)模式：流量深度分析l清洗模塊（直路）清洗模塊（直路）p負(fù)責(zé)僵尸網(wǎng)絡(luò)引起的攻擊特征流量清洗；負(fù)責(zé)僵尸網(wǎng)絡(luò)引起的攻擊特征流量清洗；p負(fù)責(zé)阻斷僵尸網(wǎng)絡(luò)控制通信流量；負(fù)責(zé)阻斷僵尸網(wǎng)絡(luò)控制通信流量；清洗模式：直路部署清洗；l僵尸專殺僵尸專殺p提供僵尸專殺工具運(yùn)營(yíng)下載提供僵尸專殺工具運(yùn)營(yíng)下載管理、檢測(cè)、清洗、專殺四部分構(gòu)成華為僵尸網(wǎng)絡(luò)檢測(cè)解決方案；管理、檢測(cè)、清洗、專殺四部分構(gòu)成華為僵尸網(wǎng)絡(luò)檢測(cè)解決方案；策略聯(lián)動(dòng)策略聯(lián)動(dòng)控制聯(lián)動(dòng)控制聯(lián)動(dòng)l管理模塊管理模塊p實(shí)現(xiàn)對(duì)檢測(cè)模塊和清洗模塊的管理和聯(lián)動(dòng)；實(shí)現(xiàn)對(duì)檢測(cè)模塊和清洗模塊的管理和聯(lián)動(dòng)

5、；p實(shí)現(xiàn)對(duì)安全運(yùn)營(yíng)的報(bào)表和運(yùn)營(yíng)體現(xiàn)；實(shí)現(xiàn)對(duì)安全運(yùn)營(yíng)的報(bào)表和運(yùn)營(yíng)體現(xiàn)；p對(duì)有需求的客戶推送下載專殺服務(wù)對(duì)有需求的客戶推送下載專殺服務(wù)p支持統(tǒng)一的僵尸監(jiān)控中心進(jìn)行管理、維護(hù)、分析支持統(tǒng)一的僵尸監(jiān)控中心進(jìn)行管理、維護(hù)、分析l部署模式部署模式p直路部署模式直路部署模式p旁路部署模式旁路部署模式p支持僵尸監(jiān)控中心統(tǒng)一管理支持僵尸監(jiān)控中心統(tǒng)一管理推送下載推送下載HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 7僵尸報(bào)文實(shí)時(shí)檢測(cè)僵尸報(bào)文實(shí)時(shí)檢測(cè)支持130多種僵尸工具蠕蟲(chóng)的特征檢測(cè)：上興僵尸、傀儡僵尸、灰鴿子、TFN2K、Trinoo、Stachel

6、、冰河、金裝特南、Tdong、風(fēng)云僵尸、蜥蜴僵尸、傀儡惡魔、中國(guó)制造、盤(pán)古僵尸、役馬E族、7武器、PCview遠(yuǎn)程控制、TB暗夜精靈、X-door遠(yuǎn)程控制、暗組遠(yuǎn)程控制、波爾遠(yuǎn)程控制、風(fēng)云壓力測(cè)試、守望者、網(wǎng)絡(luò)紅娘、Cc遠(yuǎn)程控制、小魚(yú)、Netsys9.6、Netsys6.0、BrainBot等可檢測(cè)出9種類型僵尸網(wǎng)絡(luò)報(bào)文：（1）僵尸發(fā)給控制者的報(bào)文；（2）控制者發(fā)給僵尸的報(bào)文；（3）中轉(zhuǎn)服務(wù)器發(fā)給僵尸的報(bào)文；（4）僵尸發(fā)給中轉(zhuǎn)服務(wù)器的報(bào)文；（5）控制者發(fā)給中轉(zhuǎn)服務(wù)器的報(bào)文；（6）中轉(zhuǎn)服務(wù)器發(fā)給控制者的報(bào)文；（7）IRC服務(wù)器發(fā)出的報(bào)文；（8）發(fā)到IRC服務(wù)器的報(bào)文；（9）攻擊報(bào)文Deep Pa

7、ckage InspectionADSL用用戶戶僵尸特征Internet企企業(yè)業(yè)用用戶戶HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 8僵尸網(wǎng)絡(luò)特征庫(kù)建設(shè)流程僵尸網(wǎng)絡(luò)特征庫(kù)建設(shè)流程HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 9僵尸清洗和專殺技術(shù)僵尸清洗和專殺技術(shù)l清洗：過(guò)濾掉僵尸網(wǎng)絡(luò)通信的控制報(bào)文，使網(wǎng)絡(luò)失效；清除掉僵尸網(wǎng)清洗：過(guò)濾掉僵尸網(wǎng)絡(luò)通信的控制報(bào)文，使網(wǎng)絡(luò)失效；清除掉僵尸網(wǎng)絡(luò)發(fā)送的絡(luò)發(fā)送的DDOSDDOS攻擊報(bào)文；過(guò)濾掉僵尸主機(jī)發(fā)送的垃圾郵件。攻擊報(bào)文；過(guò)濾掉僵

8、尸主機(jī)發(fā)送的垃圾郵件。l專殺：能清除已知的僵尸網(wǎng)絡(luò)程序?qū)χ鳈C(jī)造成的影響。專殺：能清除已知的僵尸網(wǎng)絡(luò)程序?qū)χ鳈C(jī)造成的影響。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 10基本功能基本功能依托依托SIGSIG系統(tǒng)，提供豐富功能系統(tǒng)，提供豐富功能特征檢測(cè)：支持130多種僵尸工具蠕蟲(chóng)的特征檢測(cè)：上興僵尸、傀儡僵尸、灰鴿子、TFN2K、Trinoo、Stachel、冰河、金裝特南、Tdong、風(fēng)云僵尸、蜥蜴僵尸、傀儡惡魔、中國(guó)制造、盤(pán)古僵尸、役馬E族、7武器、PCview遠(yuǎn)程控制、TB暗夜精靈、X-door遠(yuǎn)程控制、暗組遠(yuǎn)程控制、波爾遠(yuǎn)程控

9、制、風(fēng)云壓力測(cè)試、守望者、網(wǎng)絡(luò)紅娘、Cc遠(yuǎn)程控制、小魚(yú)、Netsys9.6、Netsys6.0、BrainBot等。 可檢測(cè)出9種僵尸網(wǎng)絡(luò)報(bào)文：（1）僵尸發(fā)給控制者的報(bào)文；（2）控制者發(fā)給僵尸的報(bào)文；（3）中轉(zhuǎn)服務(wù)器發(fā)給僵尸的報(bào)文；（4）僵尸發(fā)給中轉(zhuǎn)服務(wù)器的報(bào)文；（5）控制者發(fā)給中轉(zhuǎn)服務(wù)器的報(bào)文；（6）中轉(zhuǎn)服務(wù)器發(fā)給控制者的報(bào)文；（7）IRC服務(wù)器發(fā)出的報(bào)文；（8）發(fā)到IRC服務(wù)器的報(bào)文；（9）攻擊報(bào)文行為檢測(cè)：基于僵尸網(wǎng)絡(luò)的行為進(jìn)行未知僵尸工具的檢測(cè)異常檢測(cè)：對(duì)流量中僵尸行為異常檢測(cè)輔助檢測(cè)：遠(yuǎn)程抓包對(duì)檢測(cè)的結(jié)果進(jìn)行進(jìn)一步確認(rèn)WEB顯示：控制者、僵尸、IRC服務(wù)器等僵尸網(wǎng)絡(luò)信息顯示；監(jiān)控日志

10、、探測(cè)日志顯示；行為檢測(cè)、輔助檢測(cè)配置；IP地理信息顯示；出具各種統(tǒng)計(jì)報(bào)表攻擊日志：基于源的僵尸IP攻擊日志動(dòng)態(tài)IP根據(jù)帳號(hào)信息進(jìn)行歸一化處理、對(duì)控制者和僵尸主機(jī)進(jìn)行IP地理定位HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 11僵尸網(wǎng)絡(luò)與僵尸網(wǎng)絡(luò)與DDOSDDOS解決方案的結(jié)合解決方案的結(jié)合對(duì)運(yùn)營(yíng)商的運(yùn)營(yíng)安全威脅最大的是DOS和DDOS引發(fā)的流量造成帶寬浪費(fèi)和運(yùn)營(yíng)質(zhì)量下降。根據(jù)著名的安全廠商（如Symantec）和全球安全組織（Cert）的評(píng)估，網(wǎng)絡(luò)上的DOS和DDOS有相當(dāng)高的比例由于僵尸網(wǎng)絡(luò)引起，僵尸網(wǎng)絡(luò)引起的DDOS和DOS攻

11、擊由于其攻擊流量與真實(shí)網(wǎng)絡(luò)流量相似度非常高，給DOS和DDOS的攻擊檢測(cè)和防御提出了巨大挑戰(zhàn)僵尸網(wǎng)絡(luò)的檢測(cè)和清除是解決運(yùn)營(yíng)商面臨的DOS、DDOS攻擊的源頭防御方案，可以說(shuō)，解決了僵尸網(wǎng)絡(luò)的問(wèn)題，運(yùn)營(yíng)商受DOS和DDOS攻擊的威脅將得到最大程度的緩解華為的DDOS解決方案將利用僵尸檢測(cè)工具，從只是被動(dòng)的檢測(cè)、封堵、清洗等，到一個(gè)源頭解決方案的過(guò)渡。僵尸網(wǎng)絡(luò)工具成熟以后可以作為DDOS的源頭解決方案真正解決運(yùn)營(yíng)商網(wǎng)絡(luò)的DDOS攻擊問(wèn)題?，F(xiàn)有系統(tǒng)是一套專門的僵尸網(wǎng)絡(luò)檢測(cè)工具，通過(guò)部署該工具，可以幫助運(yùn)營(yíng)商了解其運(yùn)營(yíng)網(wǎng)絡(luò)內(nèi)的僵尸主機(jī)、僵尸控制者、僵尸工具的種類和危害有更深入的了解，為進(jìn)一步的解決方案

12、提供依據(jù)現(xiàn)有系統(tǒng)可以檢測(cè)130多種的僵尸工具，包括上興、傀儡、灰鴿子等。后續(xù)可以通過(guò)增加新的僵尸工具特征對(duì)更多的僵尸工具進(jìn)行檢測(cè)。通過(guò)監(jiān)控幫助運(yùn)營(yíng)商了解網(wǎng)絡(luò)內(nèi)部僵尸網(wǎng)絡(luò)的規(guī)模、僵尸主機(jī)的分布、使用僵尸網(wǎng)絡(luò)工具信息、僵尸網(wǎng)絡(luò)主機(jī)、控制者的地理定位信息等系統(tǒng)可以和華為的防火墻系統(tǒng)進(jìn)行聯(lián)動(dòng)，當(dāng)DOS和DDOS攻擊的時(shí)候，從防火墻接收黑名單等信息，對(duì)攻擊者黑名單進(jìn)行校差驗(yàn)證，并把相關(guān)信息反饋給防火墻，是防火墻的攻擊檢測(cè)和防御有充分的依據(jù)和保證僵尸網(wǎng)絡(luò)的檢測(cè)和防火墻充分的聯(lián)動(dòng)，可以增強(qiáng)防火墻防御DDOS攻擊的精度，同時(shí)也可以從被動(dòng)防御走向積極防御。所以如果僵尸網(wǎng)絡(luò)檢測(cè)工具成熟，可以和SIG、防火墻等一起

13、形成解決方案，從而更好的解決運(yùn)營(yíng)商網(wǎng)路的DDOS攻擊問(wèn)題對(duì)網(wǎng)絡(luò)異常流量進(jìn)行分析，分析出僵尸網(wǎng)絡(luò)異常行為。來(lái)確定僵尸網(wǎng)絡(luò)。同時(shí)也可以為DDos提供異常流量的分析結(jié)果。現(xiàn)有系統(tǒng)屏蔽了主動(dòng)探測(cè)等方式，控制管理自成體系，不會(huì)產(chǎn)生額外的網(wǎng)絡(luò)流量，以保證工具的部署不會(huì)對(duì)運(yùn)營(yíng)網(wǎng)絡(luò)產(chǎn)生任何影響HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 12僵尸網(wǎng)絡(luò)檢測(cè)僵尸網(wǎng)絡(luò)檢測(cè)SIGSIG旁路部署模式旁路部署模式業(yè)務(wù)監(jiān)控系統(tǒng)業(yè)務(wù)監(jiān)控系統(tǒng)城域網(wǎng)Internet分光ServersServers干擾路線采用分光的方式獲取網(wǎng)絡(luò)流量，通過(guò)發(fā)送干擾報(bào)文實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的控制

14、，設(shè)備故障不會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生影響應(yīng)用場(chǎng)景應(yīng)用場(chǎng)景網(wǎng)絡(luò)核心層網(wǎng)絡(luò)匯聚層部署：部署：部署檢測(cè)和管理模塊部署檢測(cè)和管理模塊專殺運(yùn)營(yíng)可選專殺運(yùn)營(yíng)可選特點(diǎn)：特點(diǎn)：部署方便，節(jié)省投資部署方便，節(jié)省投資實(shí)時(shí)檢測(cè)，業(yè)務(wù)無(wú)擾實(shí)時(shí)檢測(cè)，業(yè)務(wù)無(wú)擾HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 13業(yè)務(wù)監(jiān)控系統(tǒng)業(yè)務(wù)監(jiān)控系統(tǒng)僵尸網(wǎng)絡(luò)檢測(cè)僵尸網(wǎng)絡(luò)檢測(cè)SIGSIG直路部署模式直路部署模式MANMANInternetInternetSIG 9800SIG 9800Servers第三方分析系統(tǒng)第三方分析系統(tǒng)應(yīng)用場(chǎng)景應(yīng)用場(chǎng)景網(wǎng)絡(luò)接入層省干/城域網(wǎng)出口國(guó)際關(guān)口/互聯(lián)互通口透明

15、方式部署，使用Bypass設(shè)備避免單點(diǎn)故障，不參與任何協(xié)議的交互，通過(guò)丟棄報(bào)文及干擾的方式對(duì)流量進(jìn)行控制部署：部署：部署檢測(cè)、清洗和管理模部署檢測(cè)、清洗和管理模塊，專殺運(yùn)營(yíng)可選塊，專殺運(yùn)營(yíng)可選特點(diǎn)：特點(diǎn)：可檢可控，功能強(qiáng)大可檢可控，功能強(qiáng)大實(shí)時(shí)檢測(cè)，全面控制實(shí)時(shí)檢測(cè)，全面控制HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 14Page 14WebWeb推送專殺下載服務(wù)流程推送專殺下載服務(wù)流程l用戶發(fā)起WEB訪問(wèn)請(qǐng)求lSIG監(jiān)聽(tīng)WEB請(qǐng)求，根據(jù)管理部分中的僵尸信息和服務(wù)策略判斷是否推送專殺網(wǎng)頁(yè)下載，若推送則阻斷當(dāng)前用戶HTTP請(qǐng)求lSI

16、G從下載服務(wù)器中獲取下載頁(yè)面，偽造WEB請(qǐng)求回應(yīng)對(duì)用戶的HTTP請(qǐng)求，成功推送下載頁(yè)面l根據(jù)設(shè)定的推送方式推送頁(yè)面，引導(dǎo)用戶下載專殺工具l根據(jù)不同的推送策略，用戶隨后可以正常訪問(wèn)網(wǎng)絡(luò)寬帶接入網(wǎng)無(wú)源分光 / 鏡像上行流量BAS城域網(wǎng)省干Internet控制被訪問(wèn)頁(yè)面SIG監(jiān)聽(tīng)WEB請(qǐng)求，判斷是否阻斷業(yè)務(wù)監(jiān)控系統(tǒng)分流平臺(tái)SIG1000SIG1000頁(yè)面服務(wù)器根據(jù)策略向用戶推送專殺下載頁(yè)面用戶正常訪問(wèn)原始網(wǎng)站用戶發(fā)起HTTP請(qǐng)求HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 15DPI技術(shù)進(jìn)行僵尸工具特征匹配，支持130種以上現(xiàn)網(wǎng)流行的僵尸

17、工具和蠕蟲(chóng)檢測(cè)。支持異常行為檢測(cè)支持通信模式檢測(cè)支持DDOS等關(guān)聯(lián)地理、帳戶結(jié)合先進(jìn)的檢測(cè)方法先進(jìn)的檢測(cè)方法多樣的部署形式多樣的部署形式高可靠性高可靠性高性能高性能檢測(cè)和管理必選清洗和專殺可選支持直路部署支持旁路部署支持僵尸監(jiān)控中心管理雙主控備份技術(shù)業(yè)務(wù)板備份技術(shù)支持軟件故障自動(dòng)檢測(cè)和快速切換技術(shù)高性能SIG硬件業(yè)務(wù)板32多核接口板支持10GE僵尸網(wǎng)絡(luò)解決方案優(yōu)勢(shì)僵尸網(wǎng)絡(luò)解決方案優(yōu)勢(shì)HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 16性能指標(biāo)性能指標(biāo)硬件指標(biāo)硬件指標(biāo)業(yè)務(wù)特性業(yè)務(wù)特性p最大監(jiān)測(cè)容量：1Gp最大并發(fā)處理VOIP會(huì)話數(shù)：65

18、536個(gè)p最大并發(fā)處理P2P用戶數(shù)：65536個(gè)p2個(gè)10/100M FE接口p2個(gè)10/100/1000M接 口（光電可選）p僵尸網(wǎng)絡(luò)檢測(cè)pDDoS攻擊監(jiān)測(cè)pVoIP業(yè)務(wù)監(jiān)控pP2P業(yè)務(wù)監(jiān)測(cè)p業(yè)務(wù)流量流向分析p用戶行為分析p共享接入監(jiān)測(cè)pWEB推送SIG 1000SIG 1000低端旁路低端旁路p25業(yè)務(wù)處理板（XPU槽位/單機(jī)框p業(yè)務(wù)處理板（XPU）4個(gè)10/100/1000M（電口）p100個(gè)10/100/1000M（電口）/單機(jī)框SIG 9280SIG 9280 高端旁路高端旁路旁路僵尸網(wǎng)絡(luò)檢測(cè)硬件平臺(tái)旁路僵尸網(wǎng)絡(luò)檢測(cè)硬件平臺(tái)p最大監(jiān)測(cè)容量：100GpXPU最大并發(fā)處理VOIP會(huì)話數(shù)：

19、262144個(gè)pXPU最大并發(fā)處理P2P用戶數(shù)：262144個(gè)HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 17業(yè)務(wù)板業(yè)務(wù)板 ASIC+FPGA+多核處理器 多達(dá)32個(gè)多核處理器 最大吞吐量可達(dá)80G高端直路僵尸網(wǎng)絡(luò)檢測(cè)平臺(tái)（高端直路僵尸網(wǎng)絡(luò)檢測(cè)平臺(tái)（SIG9800SIG9800）業(yè)界性能最高的DPI硬件平臺(tái)平滑升級(jí)能力:接口板和業(yè)務(wù)板的分離，平滑升級(jí)至支持20G接口!雙主控板雙主控板 ASIC+NP 高吞吐能力交換板交換板 背板最大交換容量達(dá)到2.56Tbps 3+1的冗余使交換速率提升兩倍接口板接口板支持10GE/10GPOS/

20、2.5GPOS/GE接口 HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 18總結(jié)總結(jié)深度檢測(cè)p可支持1:1全流量檢測(cè)，減少失真和漏檢p可對(duì)流傳的僵尸網(wǎng)絡(luò)工具做到有效檢測(cè)和清洗p支持異常行為檢測(cè)、通信模式檢測(cè)統(tǒng)一管理p支持網(wǎng)絡(luò)安全、業(yè)務(wù)安全統(tǒng)一管理；p檢測(cè)模塊、清洗模塊網(wǎng)元統(tǒng)一管理；p支持僵尸監(jiān)控中心，進(jìn)一步分析和管理；華為僵尸網(wǎng)絡(luò)解決方案特點(diǎn)：運(yùn)營(yíng)設(shè)計(jì)p基于運(yùn)營(yíng)設(shè)計(jì)，定制化輸出檢測(cè)和清洗報(bào)表p支持網(wǎng)頁(yè)推送專殺提供運(yùn)營(yíng)服務(wù)p能根據(jù)用戶需求提供不同運(yùn)營(yíng)服務(wù)ContentsContents 網(wǎng)絡(luò)攻擊流量現(xiàn)狀網(wǎng)絡(luò)攻擊流量現(xiàn)狀 華為僵尸網(wǎng)絡(luò)解

21、決方案華為僵尸網(wǎng)絡(luò)解決方案 運(yùn)營(yíng)經(jīng)驗(yàn)分享運(yùn)營(yíng)經(jīng)驗(yàn)分享HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 20實(shí)際案例寧波電信旁路檢測(cè)僵尸網(wǎng)絡(luò) l接入用戶數(shù)接入用戶數(shù)3535，000000左右。左右。l流量統(tǒng)計(jì)。以流量統(tǒng)計(jì)。以2008-7-112008-7-11零點(diǎn)零點(diǎn)2008-7-162008-7-16零點(diǎn)之間的流量為樣本，可得到統(tǒng)計(jì)信息如下：零點(diǎn)之間的流量為樣本，可得到統(tǒng)計(jì)信息如下：p上下行流量比值大概為1：2。p每天9：0023：00為流量高峰期。上下行流量均值為3Gbit/s，高峰值為3.2Gbit/s；上行流量均值為1.2Gbit

22、/s，高峰值為1.4Gbit/s；下行流量均值為1.75Gbit/s，高峰值為1.8Gbit/s；p每天0：008：00為流量低谷期。上下行流量均值為500Mbit/s，低谷值為300Mbit/s； HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 21檢測(cè)信息HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 22整體檢測(cè)情況整體檢測(cè)情況 HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 23控制者統(tǒng)計(jì)控制者統(tǒng)計(jì)- -按地

23、域按地域HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 24控制者統(tǒng)計(jì)控制者統(tǒng)計(jì)- -按地域按地域HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 25控制者統(tǒng)計(jì)控制者統(tǒng)計(jì)- -按僵尸工具按僵尸工具HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 26控制者統(tǒng)計(jì)控制者統(tǒng)計(jì)- -按僵尸工具按僵尸工具HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 27網(wǎng)內(nèi)僵尸統(tǒng)計(jì)網(wǎng)內(nèi)僵尸統(tǒng)計(jì)- -按僵尸工具按僵尸工具HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 28僵尸網(wǎng)絡(luò)控制者僵尸網(wǎng)絡(luò)控制者(TOP10)(TOP10)9huigezi2008-07-04 22:27:45464浙江省寧波市 電信9huigezi2008-07-11 20:37:09438浙江省寧波市 電信ADSL25huigezi2008-07-15 23:28:38346浙江省寧波市 (江