傲盾“非法信息监控”解决方案

随着我国国民经济和社会信息化的快速发展，两化融合工作的推进，信息网络已成为国家关键基础设施之一，其全局性和战略性地位日益突出。 但是随着地下黑客组织呈现经济化、产业化发展趋势，以及网络IP化、全业务运营时代的到来，电信运营商的安全形势异常严峻。

尤其是电信运营商全业务经营的深入，客户信息安全意识的提高，网络的IP化终端智能化及业务的多样化，物联网的部署， 三网融合的启动都对网络与信息安全工作提出了更高的支撑需求。

总体而言，信息网络面临的威胁主要有两个大的方面：第一方面是来自黑客与竞争对手的DDoS攻击。当一个机房遭受到数G的DDoS攻击时， 该机房几乎处于瘫痪状态， 机房所有业务将停滞；第二方面是来自机房本身的大量非法信息威胁。机房服务器开设服务且无法有效的监控， 导致大量的非法信息从机房流出。 缺少有效的监管措施是令电信运营商最头疼的问题之一。图1以运营商IDC机房为例， 面临的需要就达到六个方面。

傲盾非法信息监控解决方案中包含设备主要有：高性能分光器、ICP/IP地址信息备案管理系统、异常流量检测系统 ADP、 异常流量清洗系统 ADC、非法信息监控系统 ADM-A、 AD统一管理平台 ADMC、图片智能识别系统 ADM-I、非法信息关键字处理系统 ADM-K、 非法信息图像处理系统 ADM-P、非法信息域名处理系统 ADM-D。

方案中红色线为带有异常流量数据、绿色线为清洗完毕“干净”流量数据线。网络数据经过傲盾检测设备群集分析检索出异常流量 （包括DDoS攻击、非法域名、非法低俗关键字、非法色情图片等）， 通过BGP策略路由告知相邻AS改变带有异常流量IP的路由， 将异常流量牵引入傲盾异常流量清洗域，清洗设备通过读取检测设备分析出的异常信息，自动针对该信息生成清洗规则， 自动对该IP的异常流量拦截。只拦截该IP非法异常信息，其正常数据将回注回主干网络，一次清洗流程完毕。

该解决方案针对复杂数据采用组合策略清洗，可同时封闭同一IP多条非法信息。核心层连接汇聚层，中间部署分光器。 分光器连接下层网络和傲盾非法信息监控系统与傲盾异常流量检测系统。 傲盾所有设备均连接同步交换机实现数据集中抓取， 数据内部共享，数据分布处理，设备统一管理。傲盾异常流量清洗系统同时双线连接核心层，实现物理流量清洗通道。

核心层：

设备配置BGP路由协议，实现IP动态牵引，保障清洗设备正常牵引到异常流量IP。

分光器：

物理镜像数据，不影响数据吞吐量，不增加数据延时，对网络架构透明。

ICP/IP地址信息备案管理系统：

ICP/IP设备经由工信部通信计量局统一测试通过。获取检测成功证书。无需接入主网络，不干扰网络通信，通过接口连接通管局备案中心， 获取通管局黑名单域名，ICP/IP备案管理系统自动下发黑名单域名到异常流量清洗系统。配合非法信息监控的网站黑名单， 可降低IDC机房服务器中的非法网站运营数量。

傲盾非法信息监控系统：

旁路接入网络，不干扰网络通信，该设备采用linux核心编码，负责数据抓取和核心处理，应用数据报文重组，可设置最大10万个过滤 关键词，支持处理负载平衡和横向扩展。 负责监控网络整体信息，提供非法关键字监控模块、提供多媒体信息监控模块、提供IP信息监控 模块、提供域名黑名单模块、联动模块。根据分析网站总体信息，从而判断该网站是否处于非法状态， 且及时将非法网站通告傲盾异常 流量清洗系统，可实现自动封闭非法网站。

傲盾异常流量清洗系统：

旁路接入网络，拥有先进的数据流指纹过滤技术，可根据字节过滤信息，高效地拦截一切非法域名等非法信息。

AD统一管理平台：

旁路部署模式，配置公网接入公共网络，所有公网传输数据均采用服务器加密客户端解码模式传输，支持RBAC模型子集的权限管理， 支持傲盾统一身份认证，多用户、多权限划分。 在网络中只有此设备暴露于广域网，其他设备均通过内外IP连接，给监控数据提供了 强大的安全保障。除此之外系统中还集成了系统调度、短信收发、电子邮件收发、系统日志、消息向量中心等功能。

图片智能识别系统：

旁路接入网络，且配置公网IP，该系统不被外界访问，只访问外界，且内置策略隐藏于网络中。系统自动订阅“非法信息图像处理 系统”数据库中存储抓取到的所有图片URl路径。 通过网络自动下载该图片，异步对图片进行分析，包括姿态、肤色、人脸等敏感部位 识别分析，完毕分析自动分类写入“非法信息图像处理系统”数据库中。

非法信息关键字处理系统：

旁路接入网络，关键词智能分析抓取到的敏感关键字，采用模板比对模式，比对关键字前后内容，支持模糊识别，分析该关键字是 否处于非法状态。保障不出现非法关键词语句。

非法信息域名处理系统：

系统旁路接入网络，系统记录机房所有域名，且主动爬出该域名带有的子域名信息。系统记录域名点击次数， 记录域名备案信息，且存入数据库生成报表。

非法信息图像处理系统：

系统旁路接入网络，系统记录所有域名图像信息，其中包括图片信息、视频信息等。系统提供接口供“图片智能识别系统”到该系统订 阅图片URL路径。该系统允许“图片智能识别系统”将分析结果存储其中数据库， 并自动分类图片信息，其中包括已分析图片、未分析图片。 已分析图片又包括审核通过图片、审核模糊图片、审核未通过图片。

解决方案核心优势

1、方案全旁路监听部署，不占用主干网络带宽，不影响主干网络通信。

2、方案自动封闭通管局备案中心通告的黑名单域名。

3、方案可以自动分析网络中所有关键字，且自动分析关键字是否处于非法语句中，并可以自动封闭该页面。

4、方案可以自动分析图片信息，无需人为审核。系统自动分析图片是否为色情或敏感图片。可以根据客户需求调节分析敏感度， 且支持自动封闭色情图片。

5、方案可记录正常域名是否触犯涉及非法信息。且记录非法信息具体路径，保障网络的“干净”。

6、方案支持DDoS大流量攻击旁路清洗，可以检测出网络中是否带有潜在的网络攻击，且自动牵引清洗攻击流量。