互聯(lián)網(wǎng)視聽節(jié)目監(jiān)測網(wǎng)絡安全防護技術應用與實踐

劉永勇

【摘要】本文以貴陽市互聯(lián)網(wǎng)視聽節(jié)目監(jiān)測系統(tǒng)中網(wǎng)絡安全防護系統(tǒng)的建設作為范例，分析和介紹廣播電視行業(yè)互聯(lián)網(wǎng)視聽節(jié)目監(jiān)測網(wǎng)絡安全防范的一些做法和具體運用，結合信息系統(tǒng)網(wǎng)絡安全要求，給出了互聯(lián)網(wǎng)視聽節(jié)目監(jiān)測系統(tǒng)的一種網(wǎng)絡安全防范功能方案。通過防范惡意攻擊、防病毒等自身的安全任務，從而增強我市互聯(lián)網(wǎng)視聽節(jié)目監(jiān)測系統(tǒng)的抗攻擊能力，保障系統(tǒng)的正常運行和監(jiān)測數(shù)據(jù)的準確可靠。

【關鍵詞】互聯(lián)網(wǎng);節(jié)目檢測系統(tǒng);安全防護;技術應用

中圖分類號：TN929? ? ? ? ? ? ? ? ? ? 文獻標識碼：A? ? ? ? ? ? ? ? ? ? DOI：10.12246/j.issn.1673-0348.2022.02.028

系統(tǒng)建設按照“實用、可靠、高效、可管理、安全、可擴展”的原則，力爭為客戶提供更多、更好的技術手段。

1. 防范原則和必要性

隨著業(yè)務規(guī)模的擴大，監(jiān)播平臺上的許多服務器上軟件系統(tǒng)的規(guī)模越來越大，復雜度越來越高，大量的漏洞不斷涌現(xiàn);網(wǎng)絡上信息資源的豐富使得普通人很容易就能夠掌握各種計算機技術，迅速找到各種軟件的漏洞;此外，計算機安全知識涉及面太廣，傳統(tǒng)防護產(chǎn)品中防火墻的防護等級很低，相關入侵防御類產(chǎn)品只能從事邊界防護，主要功能是為操作系統(tǒng)和網(wǎng)絡提供保護，缺乏對WEB核心數(shù)據(jù)的保護能力，難于采取有效的措施對網(wǎng)絡進行安全防護。

2. 系統(tǒng)方案設計

監(jiān)測網(wǎng)絡部署了防火墻以及DDOS防御系統(tǒng)以防御來自外部網(wǎng)絡的攻擊，但是防火墻主要以網(wǎng)絡層的訪問控制為主，DDOS防御系統(tǒng)也僅僅能抵制DDOS這類簡單粗暴的網(wǎng)絡層攻擊，無法對更高層協(xié)議進行深度檢測，發(fā)現(xiàn)其中蘊含的威脅。

根據(jù)業(yè)務系統(tǒng)需要，對抗DDoS攻擊及網(wǎng)頁防篡改等功能需求提供技術解決方案如下：

2.1 專業(yè)的抗拒絕服務攻擊產(chǎn)品（流量清洗系統(tǒng)）

抗拒絕服務系統(tǒng)主要職責就是抵御DDoS攻擊行為，通過對流量的分析和識別，檢測流量中的各種DDoS攻擊行為，使用閾值限制，流量算法、識別驗證等多種方式識別DDoS流量，高效的抵御DDoS攻擊和保障用戶網(wǎng)絡的完整性和可靠性。

2.2 功能特點

抗拒絕服務系統(tǒng)實現(xiàn)急速的流量處理能力，從低端千兆到萬兆高端產(chǎn)品均為64字節(jié)小包限速能力，急速的小包處理能力可以完全處理大流量DDoS攻擊?？咕芙^服務系統(tǒng)從軟件到網(wǎng)卡驅(qū)動都做了大量的優(yōu)化，因DDoS攻擊行為主要是流量型攻擊，因此對于抗拒絕服務系統(tǒng)來說64字節(jié)小包的性能要求尤為重要。

隨著IPv6的高速普及，抗拒絕服務系統(tǒng)支持雙協(xié)議棧過濾，通過對IP地址的識別，自動區(qū)分是IPv4還是IPv6協(xié)議?？焖龠m應網(wǎng)絡的高速發(fā)展需求和DDoS防御需求。

抗拒絕服務系統(tǒng)具備自主開發(fā)的獨立防護算法，包含連接代理、數(shù)據(jù)轉(zhuǎn)發(fā)、內(nèi)核防護、數(shù)據(jù)挖掘等防護算法。防護算法主要是抵御來自網(wǎng)絡層、應用層的DDoS攻擊。

抗拒絕服務系統(tǒng)針對應用層的CC攻擊時，使用切入頁面防護手段進行防御。僵尸網(wǎng)絡、CC攻擊器都是電腦系統(tǒng)，無法輸入驗證碼、驗證頁面等內(nèi)容。對于開啟防護的Web服務器，防護模塊會主動插入Web頁面，客戶端可無察覺的自動完成驗證過程，已達到高效的防御Web類連接攻擊的目的。

抗拒絕服務系統(tǒng)也使用標準的“閾值”設置。針對TCP、UDP、ICMP等協(xié)議進行數(shù)據(jù)包流量限制。通過對流量限制、報文限制、連接限制等多維度的閾值限制來保障帶寬的有效使用。

抗拒絕服務系統(tǒng)有規(guī)則匹配防御方式，通過對協(xié)議、端口號、標識位等多元素的正則匹配過濾方式，通過對TCP、UDP、ICMP等協(xié)議數(shù)據(jù)包的多維度字符的過濾來有效抵御DDoS攻擊行為。

抗拒絕服務系統(tǒng)的端口保護功能，主要基于重要應用業(yè)務的，通過端口來識別應用業(yè)務。通過設置延遲提交、驗證TTL值、同步連接等多種處理方式來抵御針對應用業(yè)務的DDoS攻擊行為。

抗拒絕攻擊系統(tǒng)支持旁路抵御模式，支持BGP旁路牽引防護模式。產(chǎn)品提供手工牽引、自動牽引模式。當沒有DDoS攻擊時，流量不經(jīng)過抗拒絕攻擊系統(tǒng)進入網(wǎng)絡設備。當發(fā)現(xiàn)DDoS攻擊，流量牽引進入抗拒絕攻擊系統(tǒng)進行流量過濾。

抗拒絕攻擊系統(tǒng)有配套產(chǎn)品——流量分析器。流量分析器主要針對網(wǎng)絡層、應用層流量進行分析，發(fā)現(xiàn)DDoS攻擊流量。與抗拒絕服務系統(tǒng)形成組合方案并旁路部署在網(wǎng)絡中。當DDoS攻擊流量出現(xiàn)，流量分析器除了進行分析流量也同時把流量自動牽引至抗拒絕服務系統(tǒng)進行流量過濾。

抗拒絕服務系統(tǒng)支持擴展集群方式，針對流量不斷擴展的同時，與老舊設備形成集群擴展部署方式，舊設備與新設備形成一個整體的防御體系。

抗拒絕攻擊系統(tǒng)支持多維度的數(shù)據(jù)分析功能，提供基于攻擊主機、攻擊類型、流量分析、性能分析等多種數(shù)據(jù)分析。并為多種數(shù)據(jù)塑造成線形、餅型等分析方式。

2.3 部署方式

2.3.1 單機串聯(lián)部署

抗拒絕服務系統(tǒng)接入機房核心交換機前端防護，核心交換機下所有主機進入防護區(qū)，連接方式：將ISP（運營商）分配的光纖接入到抗拒絕服務系統(tǒng)設備的入口，再將抗拒絕服務系統(tǒng)的設備出口接到下層核心交換機，被保護主機可置于核心交換機下。

雙機熱備模式采用了兩種工作模式，主-主模式和主-從模式，兩種模式詳細介紹如下。

主-主模式：工作模式即讓兩臺抗拒絕服務系統(tǒng)產(chǎn)品同時工作，當任意服務器發(fā)生故障，如接口及連線故障、意外宕機、關鍵進程失敗等情況，另外一臺抗拒絕服務系統(tǒng)能夠平滑的接替該抗拒絕服務系統(tǒng)的工作，并保持連接，實現(xiàn)負載均衡。

主-從模式：正常情況下主抗拒絕服務系統(tǒng)處于工作狀態(tài)，另一個抗拒絕服務系統(tǒng)處于備份狀態(tài)，稱為從抗拒絕服務系統(tǒng)。當主抗拒絕服務系統(tǒng)發(fā)生意外宕機、網(wǎng)絡鏈路發(fā)生故障、硬件故障等情況時，從抗拒絕服務系統(tǒng)自動進行切換工作狀態(tài)，從抗拒絕服務系統(tǒng)代替主抗拒絕服務系統(tǒng)正常工作，從而保證了網(wǎng)絡的正常使用。

集群型抗拒絕服務系統(tǒng)依靠多臺抗拒絕服務產(chǎn)品實現(xiàn)防護帶寬及防護能力的增加，目前可支持多臺抗拒絕服務系統(tǒng)形成集群，抵御大的攻擊流量。首先在交換機的相應端口設置端口聚合，或者直接設置路由器完成端口聚合，分別接入抗拒絕服務系統(tǒng)，每個抗拒絕服務系統(tǒng)接入一路數(shù)據(jù)。

Web應用防火墻系統(tǒng)屬于串聯(lián)部署產(chǎn)品，產(chǎn)品部署在網(wǎng)站服務器的前端。對外來訪問網(wǎng)站的流量進行過濾。

2.3.2 拓撲圖

Web應用防火墻是專注于網(wǎng)站及Web應用系統(tǒng)的應用層網(wǎng)關類防護產(chǎn)品，產(chǎn)品致力于解決應用層深度防御的問題，有效地緩解網(wǎng)站及Web應用系統(tǒng)面臨如0WASP TOP10中定義的Web安全威脅并可以急速地應對惡意攻擊者對Web業(yè)務的攻擊行為。如圖1

2.4 功能特點

Web應用防火墻的實時流量態(tài)勢感知功能，根據(jù)流量提供分析攻擊源、源地域、攻擊類型、攻擊趨勢、目標服務器和流量趨勢等實時態(tài)勢分析展示功能。并提供攻擊源與被攻擊源的態(tài)勢攻擊展示效果。

所有態(tài)勢展示效果來源于在線流量的實時分析展現(xiàn)效果，讓客戶通過實時大屏幕最直觀的、最便捷的了解網(wǎng)站安全防護情況。

對于網(wǎng)站安全的大數(shù)據(jù)來說，最有價值的主要是入站數(shù)據(jù)的分析情況，威脅情報中的入站數(shù)據(jù)有僵尸網(wǎng)絡、網(wǎng)絡攻擊、掃描器、釣魚網(wǎng)站等網(wǎng)站安全等相關安全情報。威脅情報中心與Web應用防火墻實現(xiàn)數(shù)據(jù)共享后，可以根據(jù)情報來阻斷訪問網(wǎng)站的攻擊行為。大大提高了網(wǎng)站的安全性，降低了網(wǎng)站的安全風險。

網(wǎng)站安全問題來勢洶洶，每次攻擊事件發(fā)生的都很突然，讓大家防不勝防。針對突發(fā)事件，Web應用防火墻響應時代號召，推出一鍵管控功能，不用按照APP或第三方插件，通過瀏覽器就可以登錄設備，管理防護的網(wǎng)站的上線和下線功能。方便客戶在攻擊時第一時間下線網(wǎng)站的應急措施。

3. 結束語

此網(wǎng)絡安全防護系統(tǒng)安全、高效、經(jīng)濟實用，為防止黑客傳統(tǒng)攻擊以及新興的SQL注入和跨站腳本等攻擊手段。對防火墻進行升級，提供完善的抗拒絕服務DDoS，防護各類帶寬及資源耗盡型拒絕服務攻擊。尤其是針對HTTP Get Flood以及CC攻擊，智能關聯(lián)分析技術能夠有效識別并提供應用層細粒度的防護，對于細粒度應用層的DDoS攻擊防護進行實時阻斷，防止網(wǎng)絡出現(xiàn)癱瘓。從而保證監(jiān)播網(wǎng)絡的安全。

參考文獻：

[1]包力偉.基于大數(shù)據(jù)的互聯(lián)網(wǎng)視聽節(jié)目監(jiān)管系統(tǒng)建設[J].廣播與電視技術，2020，47（09）：117-122.

[2]李峰.互聯(lián)網(wǎng)輿情音視聽節(jié)目監(jiān)測技術研究[J].數(shù)字通信世界，2020（08）：89-90.

[3]何麗媛.互聯(lián)網(wǎng)視聽節(jié)目監(jiān)管系統(tǒng)的分析與研究[D].內(nèi)蒙古大學，2018.