面向三网融合的统一安全管控技术

基金项目：国家高技术研究发展(“863”)计划(2009AA01A346)

    随着三网融合工作的不断深入推进，网络的开放性、交融性和复杂性不断提高，以往互联网、广电网和电信网各自面对的安全问题不仅会依然存在，而且还会借助融合网络这个统一平台在更大范围内传播泛滥。同时，三网融合后，各种分离的业务平台也正在逐步融合为以IP为承载的综合业务平台，在此之上开始出现新的业务种类，衍生出很多新的业务形态，从而也产生新的网络安全问题。这些都将对网络安全和可信造成严重威胁。

    (1)网络安全
    融合网络作为国家信息基础设施，必须确保网络基础设施安全。特别是数字广播电视网作为党和国家的喉舌，确保其不受非法网络用户攻击、保持信息传播畅通显得尤为重要，所以三网融合必须加强网络设施安全能力的建设。网络设施安全能力建设，具体而言就是研究融合网络骨干链路恶意代码与攻击流量实时检测和清洗技术，确保网络基础设施安全，保持网络高效运行，确保网络用户权益不受侵害。

    (2)内容安全
    融合网络下，信息和网络通道更加多元和庞杂，在这种情况下，用户各种重要、敏感的信息更加需要加倍的安全保障。此外，网络已经成为文化传播的重要媒体和舆论宣传的主要渠道，传统广电网虽然是一个相对封闭的系统，但三网融合之后原有的媒体业务也要纳入统一开放的业务体系中，媒体业务原有的内容篡改、插播等问题不但仍然会存在，而且开放体系还会引入新的安全问题。三网融合的发展必须改进和完善信息内容监管方式，加强网络内容安全能力建设，牢牢占领网络空间思想舆论主阵地。当前，网络空间不良媒体内容与不良信息传播方式不断变化，以逃避网络管理机构的有效监管，因此在三网融合形势下，必须研究创新音视频内容在线审查手段，必须研究网络热点事件的形成传播机制以便确保正确的舆论导向，必须提高网络不良信息的发现和溯源能力，确保网络空间的绿色纯洁和健康文化导向。

    (3)行为安全
    随着三网融合的不断推进和网络应用的不断普及，融合网络必将成为全社会广泛参与的工作、学习、生活、商务、政务的一体化网络，确保网络行为可信、可管、可审计显得尤为重要，所以三网融合必须加强网络行为安全能力的建设。网络行为安全能力建设，具体而言就是研究提高针对网络恶意攻击、木马病毒植入与传播、控制僵尸网络从事非法活动以及视频直播类节目的插播篡改等网络安全事件的追踪溯源能力，实现融合网络行为的可审计与可追踪，确保融合网络的可信、可管、可控。

    (4)业务安全
    融合网络业务将不仅仅是传统的电信网、广播电视网、互联网业务的简单叠加，网络带宽的跨越式提升、广电与电信业务双向准入、社会信息化水平的迅速提升，将极大地促进网络业务、应用服务的创新发展，因此急需加强网络业务安全能力建设。一方面必须对各种网络用户、不同类型终端运行的业务种类、运营方式进行业务准入控制和监测管控，从而确保融合网络业务的安全有序可持续发展；另一方面融合网络作为一个承载数据、语音、视频的综合性信息平台，特别是针对受众面巨大的视频直播类节目信息，必须保证其网络传输的完整性，确保业务传输安全。融合网络中不仅业务种类更加丰富，应用终端类型也更加多样，面对错综复杂的融合网络业务和资源，如果缺乏针对融合网络的精细化运营基础，融合网络运营商将无法进行针对性的业务开发和营销。

1 面向三网融合的统一安全管控网络
    从安全监管的管理角度看，传统互联网采用的是“多头监管”模式，电信部门是互联网行业的主管部门，宣传、公安、安全、广电等部门是互联网重要的内容管理部门，宣传部门是网络文化的主管部门，多头管理很难适应三网融合业务交叉融合的趋势。三网融合需要逐步建立与之适应的“融合监管”模式。从国际上已有的经验看，美国和英国，都是采取统一的监管机构进行监管[1]，极大地促进了网络融合产业的发展。反观中国现状，成立统一的管理机构或许最为有效，但短期或许难以实现。从近期推进三网融合总体方案和三网融合试点方案中可以看出，目前三网融合推进过程中采用的是“分业监管”模式，广电、电信主管部门按照各自职责分工，分别对经营广电、电信业务的企业履行行业监管职责。

    从技术角度看，传统的三网内在的安全特性各异，电信网络、广播电视网络特点是网络智能、终端简单、容易实现有效的管控机制；而互联网网络、终端智能的特性和其自由发展的哲学使得安全管控困难重重。虽然在单个节点或局域网内部，已经有起到一定作用的流量识别与控制、防火墙等安全设备，但网络安全一直没有很好地解决，更缺乏成熟有效的网络安全架构和技术体系。而融合网络背景下，网络不断开放，业务持续交叉和融合，安全需求在各个层次上已远远超越传统独立网络的范畴，照搬三网传统的安全保障架构和技术体系已不可能，而且任何一种网络的安全管控缺失，必将导致全网的安全威胁，即网络安全的“短板效应”。因此，目前基本的安全现状是：电话网、互联网、广电网均具有一些独立的安全手段，但是对于三网融合后的网络安全研究甚少，国内外也无成熟、可靠的经验可以借鉴，需要从系统架构、标准体系、关键技术、设备研制、示范应用等多个方面进行研究。

    考虑到网络安全技术具有动态变化、攻防对抗的特点，必须首先研究融合网络安全的技术架构，注重安全的系统顶层设计，从网络对抗、体系对抗的高度提出符合中国三网融合实际的安全管控架构，形成系列标准，建立安全事件事前防范、事中阻断、事后追溯的技术保障体系。为此，本文提出了一种面向三网融合的安全保障技术架构-面向三网融合的统一安全管控网络。

1.1 统一安全管控网络架构

    (1)统一安全管控网络系统组成
    安全管控网络构建于融合网络的数据承载网络之上，通过内部安全通信机制独立成网，从而实现对数据通信网络的安全监管。统一安全管控网络由分布式前端管控平台和后端管控中心组成，系统组成情况如图1所示。管控平台串接在汇聚层和骨干层的网络链路中，不仅仅是网络“摄像头”，能够进行分布式网络数据采集，而且是网络数据的“安检站”，能够对链路上流量进行识别、分析、检测和管控；管控中心负责采集数据的融合分析、安全操作识别、管控策略维护下发以及全网调配部署。

    (2)统一安全管控网络体系结构分层模型
    管控网络体系结构分层模型如图2所示。系统共分为4个操作层面：深度包检测(DPI)负责对高速网络链路上的数据包进行实时深度检测，服务于数据包的检测、流量控制及管控的实施，保障网络安全；深度流检测(DFI)负责对高速链路上的数据流进行实时统计分析与认知，服务于业务识别和业务接入控制，保证网络业务安全；深度内容检测(DCI)负责对网络数据内容进行还原分析与比对判断，服务于业务内容的合法性和有效性检查，保证网络内容安全；深度行为检测(DBI)负责对各类安全威胁进行综合分析，形成网络安全事件，并对安全事件进行审计、定位和溯源，保证网络行为安全。

    (3)管控网络系统结构
    统一安全管控网络系统内模块的逻辑组成与各模块间关系如图3所示。管控网络系统结构包括管控操作层、智能识别层和系统联动层。其中，管控操作层依据智能识别层的识别结果实施管控；智能识别层综合运用DPI、DFI、DCI、DBI等识别技术对报文进行分组级整包分析、流级别还原、内容级筛查、行为级聚类，网管联动层将集成统计数据分析、信息展示、系统运维和管控策略维护与联动等功能。这种分层的管控网络系统结构能够有效地集成线速业务、内容、行为的统计、识别、安全管控和网络设备联动等功能，同时又能将整个系统划分成多个功能独立的模块和子系统，便于各个模块及子系统的灵活组合与独立开发，具有良好的可扩展性和重构能力。

    (4)统一安全管控中心
    统一安全管控中心的系统结构、系统内模块的逻辑组成与各模块间关系如图4所示。统一安全管控中心包括海量数据管理系统、管控策略反馈系统、网络热点发现系统和网络安全事件追踪溯源等。其中网络安全事件追踪溯源系统与网络热点发现系统是统一安全管控中心的核心部分，为了能够更好地实时处理信息，达到统一安全管控的目标，两者之间采用双向融合共享信息，这样既便于各个模块及子系统的灵活组合与独立开发，又能够将核心功能实时高效，并具有良好的可扩展性和重构能力。

    (5)统一安全管控网络的部署
    统一安全管控网络的部署如图5所示。图中，在城域网出口部署骨干层安全管控平台用以对网络出口安全管控，在城域网汇聚层部署汇聚层安全管控平台用以对城域网汇聚层进行安全管控，安全管控平台都和安全管控中心互联，通过安全管控中心实现全网安全管控联动。

1.2 统一安全管控网络技术分析
    基于统一安全管控网络可具有如下安全优势：

    (1)“全程全网”和“一点发现，全网联动”的安全管控
    融合网络的发展将会引发网络应用的革命性改变。传统的单节点计算逐渐发展为云计算，单节点应用也发展为多节点互协作应用。单节点、局部网络安全管控的管控覆盖范围小，既无法保障用户和业务提供方之间的端到端服务质量，也不能对网络内容实施高效检测和控制，而且还存在业务识别和内容识别实时性差、效率低、管控手段少、管控能力差等缺点，无法应对不断发展的网络业务，更无法保证整个网络的安全管控。

    统一安全管控网络的安全管控可覆盖从用户、汇聚层链路、骨干层链路到国际关口局链路的全程全网范围。网络中的各个安全管控平台可独立实施单节点安全管控，还可实施多个节点间、多个区域间乃至全网间的联动安全管控，实现安全事件“一点发现，全网联动”管控。对于近年来不断涌现的、通过单个节点或单个区域无法独立实施安全管控的新业务和新应用来说，这种网络化、联动式的安全管控将大大提高融合网络的安全管控水平。

    (2)事前防范、事中阻断、事后追溯的安全保障体系
    管控中心可对分布式管控平台采集的全网业务信息、流量信息和安全事件信息进行汇总和分析，掌握各类安全事件、异常流量的事前特征，基于管控平台串接链路的“安检站”优势，实现网络安全事件、异常流量的实时阻断，并可根据所采集数据进行事后追溯。

    (3)独立运行的透明网络，用户无感知
    统一安全管控网络的构建基于链路串接完成，不影响现有及未来融合网络的发展，本身只是一个独立的管控网络。它的运行既不影响现有网络体制，也不影响用户的使用，对遵守法律法规的用户透明、无感知。

    (4)可扩展性强
    统一安全管控网络中，管控平台分布式部署，管控中心可基于域分层次实现，扩展简单。

    (5)适用性强
    统一安全管控网络中，安全管控平台的部署是基于链路实现。它忽略了传统三网间网络安全管控的边界和壁垒影响，可在不影响现有网络体制的基础上完成。此外，统一安全管控中心可克服传统安全管控“九龙治水”的局面，还可较方便地与三网现有的安全监管系统实现对接，发挥联动监管作用。

2 统一安全管控网络主要支撑技术
    统一安全管控网络以网络中的链路为安全管控的对象，基于分布式安全管控平台融合网络“摄像头”和“安检站”功能，可形成安全事件事前防范、事中阻断、事后追溯的技术保障体系，以下将以该体系的形成为目标，针对统一安全管控网络进行技术分析，指出其发展方向。

2.1 统一安全管控网体系结构研究
    目前安全管控技术都是针对单节点、单域提出，缺少多节点、多层面的分布式联合管控理论和相关技术，需要针对统一安全管控网络展开研究，包括：

    (1)研究适应三网融合需求的，具备多层次、独立运行、全程全网管控能力的统一安全管控网架构和组网规范。

    (2)研究统一安全管控网的层次结构模型，促进管控网演进和发展。

    (3)研究并制订管控设备的技术规范和管理规范，管控中心的技术规范和管理规范、管控设备之间的联动协议以及接口标准等，形成统一安全管控网标准。

2.2 网络业务识别与管控技术
    三网融合后，虽然在物理上应该使用同一套网络基础设施，但是根据管控要求不同，一般在逻辑上需要存在两套网络：一套称为“三网融合绿色网络”(业界一般称为可管网络，广电部门也称为绿色网络)；另一套网络是互联网，承载传统的互联网业务，实行现有的一般化管控。

    从业务安全层次而言，三网融合后具体的管控需求主要包括：
    (1)三网融合绿色网络环境中精细化业务准入控制。在三网融合绿色网络环境中，统一安全管控系统不仅需要控制哪些业务准入，还需要精细控制准入业务的作用范围。例如，对于某些业务(如视频点播)只能从某些固定服务器上进行。

    (2)对融合网络上传统互联网实行通常的选择性管控。对于运行在融合网络上的传统互联网由于其业务类型复杂多样，数据量巨大等原因，完全实行精细的安全管控技术难度大、成本过高，因此可实行选择性管控，即只对进入“黑名单”的地址、URL和网络业务进行精细管控。

    当前，业务管控技术的研究主要集中在对传统互联网业务平面中的业务进行识别和控制，尤其是P2P业务的识别，主要的业务识别技术有以下两类：

    (1)动态流行为检测方法，其原理是基于各种应用的连接数、单IP地址的连接模式、上下行流量比例关系、数据包发送频率等数据流的行为特征指标的不同，用这些特征指标与DFI监测模型进行模式匹配，进而从中区分出业务类型[2-4]。

    (2)深度包检测(DPI)方法，其原理是通过检测各种业务使用的固定特征字进行协议流量识别[5-7]。
总之，针对三网融合绿色业务平面的精细化业务识别和控制技术研究较少，是需要探索的研究方向。

2.3 媒体业务防篡改、防插播技术
    目前，利用水印[8]和数字签名[9]技术进行媒体业务的防篡改检测得到了广泛研究，但是数字签名需要进行密钥管理与分发，而且这两种方法都需要在传输端部署相应的设备用来嵌入视频水印或数字签名，进行数据的完整性分析，增大了视频的传输延时和客户端数据处理的复杂度，而且不能有效防止其他运营机构在转播的同时进行内容插播。

    此外，还有一些直接利用原始视频进行完整性鉴定的方法，如采用空域帧间相关性鉴别[10]，可以有效地检测出媒体篡改或插播，但该方法在子序列较小时计算复杂度会很大，检测不明显，而且对于相对静止或类似静止视频难以进行检测。

2.4 攻击流量的实时检测与清洗技术
    攻击流量的实时检测与清洗通过收集和分析网络流量信息，发现网络是否有违反安全策略的行为和被攻击的迹象。从技术层面上来讲，攻击流量的实时检测和清洗主要包括误用检测和异常检测。

    误用检测依据具体特征库进行特征匹配(又可称为“特征检测”)，所以检测准确率很高，非常类似于现在的病毒检测，目前的商用产品主要采用这种方法。异常流量检测根据“异常行为”与“正常模式”比较做出判决。两者各有优缺点：误用检测的检测率较高，但只能检测出那些包含在特征库里的已知入侵行为，而不能检测那些新出现的攻击或者已有攻击的变种；异常检测是可能检测到以前从未出现过的攻击，通用性强，缺点是误报率高。

2.5 融合网络热点发现技术
    融合网络中新闻信息传播速度快、业务类型多、传播方式复杂，能够更快速、更直接、更真实地映射出社情民意，因此迫切需要从融合网络的海量信息中提取热点信息，以便加强对社会舆论及时监管和适时引导。

    在基于传统互联网络的热点发现方面领域，国内外研究人员做出了一系列的相关工作，进行了大量的理论研究。但是融合网络中热点发现领域的研究工作还处于萌芽状态。在融合网络中，新闻信息将呈现多样化和跨媒体特征，其传播速度快、业务类型多、传播方式复杂、网络互动性强、新闻信息更新快等特点势必给融合网络的热点发现技术带来新的难点。

2.6 异构攻击源安全事件追踪溯源技术
    在融合网络下，网络攻击源呈现出“异构”形态，即攻击源可能来自计算机、移动终端、伪造基站等。攻击源的异构化，给网络空间带来的新的、更严重的威胁，为安全事件的检测与追踪溯源提出了新的挑战。
在传统IP网络的安全事件追踪溯源方面的代表工作包括美国UUNet公司的Stone提出的输入调试法[11]、卡内基梅隆大学的Burch提出的控制洪泛法[12]、加利福尼亚大学的Song提出的改进的PPM法[13]等。在融合网络中，安全事件追踪溯源，目前主要技术手段包括通过利用WAP、Web网关以及内容应用服务器配合，利用移动用户标志(例如加密后的电话号码)实现对移动用户行为溯源；利用移动通信网提供的精确定位功能，可以直接定位终端位置。

    总之，需进一步研究的内容包括：研究统一安全管控网络的架构、组网规范和设备规范等，形成系列技术标准和体系规范；研究融合网络业务特征识别技术，业务用户区分技术，形成融合网络的业务安全支撑体系；研究骨干线路恶意代码与攻击流量的实时检测与清洗技术，形成融合网络的网络安全支撑体系；研究网络热点发现技术，音视频等媒体流的内容识别与播控技术，形成融合网络的内容安全支撑体系。研究安全事件追踪溯源技术，为融合网络行为的可审计可追踪提供保证，形成融合网络行为安全支撑体系。

3 结束语
    面向三网融合的安全挑战，本文从体系结构层面提出了一个架构独立、运行透明、全程全网的统一安全管控网络，可实现“一点发现、全网联动”安全控制，并且具有良好的扩展性和适用性，能够适应融合网络安全需求不断演进变化的发展趋势。

    统一安全管控网络作为一种新的安全架构，将面临体系化技术基础薄弱，可供借鉴经验少，管控平台串接风险高、操作难度大等诸多挑战。为此，统一安全管控网络研究的总体思路应该是：根据国家三网融合的发展目标，研究支持三网融合的网络安全与管控技术，开发网络安全与管控设备，探索全网联动的安全管控网络组网技术，进行规模化试验与应用示范，构建三网融合新型网络的安全与管控标准体系，为保证三网融合战略目标的顺利实施提供安全保证。

4 参考文献

[1] 续俊旗, 毛飞琴. 改革管理体制 完善法律法规——国外三网融合经验可资借鉴 [J]. 世界电信, 2007,20(12):15-18.
[2] WON Y J, PARK B C, JU H T, et al. A hybrid approach for accurate application traffic identification [C]//Proceedings of the 4th IEEE/IFIP Workshop on End-to-End Monitoring Techniques and Services(E2EMON’06), Apr 03,2006,Vancouver, Canada. Piscataway, NJ,USA: IEEE, 2006:8p.
[3] KARAGIANNIS T, PAPAGIANNAKI K, FALOUTSOS M. BLINC: Mutilevel traffic classfication in the dark [J]. ACM SIGCOMM Computer Communication Review, 2005, 35(4):229-240.
[4] ALSHAMMARI R, ZINCIR-HEYWOOD A N. Machine learning based encrypted traf?c classi?cation: Identifying SSH and skype [C]//Proceedings of the 2nd IEEE Symposium on Computational Intelligence for Security and Defense Applications (CISDA’09), Jul 8-10,2009, Ottawa, Canada. Piscataway, NJ,USA: IEEE, 2009: 289-296.
[5] AHO A V, CORASICK M J. Efficient string matching: an aid to bibliographic search [J]. Communications of the ACM,1975,18(6): 330-340.
[6] KUMAR S, TURNER J, WILLIAMS J. Advanced algorithms for fast and scalable deep packet inspection [C]//Proceedings of the 2006 ACM/IEEE Symposium on Architecture for Networking and Communications Systems(ANCS’06), Dec 3-5,2006,San Jose, CA, USA. New York, NY,USA:ACM, 2006: 81-92.
[7] NAGHMOUCHI J, SCARPAZZA D P, BEREKOVIC M. Small-ruleset regular expression matching on GPGPUs: Quantitative performance analysis and optimization [C]//Proceedings of the 24th ACM International Conference on Supercomputing(ICS’10), Jun 2-4,2010, Tsukuba, Ibaraki, Japan. New York, NY,USA: ACM, 2010: 337-348.
[8] LIN Y R, HUANG H Y, HSU W H. An embedded watermark technique in video for copyright protection [C]//Proceedings of the IEEE 18th International Conference on Pattern Recognition (ICPR’06): Vol 4, Aug 20-24, 2006, Hong Kong, China. Piscataway, NJ,USA: IEEE, 2006:795-798.
[9] SUN Q, HE D, TIAN Q. A secure and robust authentication scheme for video transcoding [J]. IEEE Transactions on Circuits and Systems for Video Technology, 2006,16(10): 1232-1244.
[10] WANG W H, FAFID H. Exposing digital forgeries in video by detecting double MPEG compression [C]//Proceedings of the ACM Muhimedia and Security Workshop(MM&Sec'06), Sep 26-27,2006, Geneva, Switzerland. New York, NY,USA:ACM, 2006:37-47.
[11] STONE R. Centertrack: An IP overlay network for tracking DoS floods [C]//Proceedings of the 9th Conference on USENIX Security Symposium, Aug 14-17,2000,Denver,CO,USA. Berkeley, CA, USA: USENIX Association, 2000:199-212.
[12] BURCH H, CHESWICK B. Tracing anonymous packets to their approximate source [C]// Proceedings of the 14th USENIX Conference on System Administration(LISA’00), Dec 3-8,2000, New Orleans, LA, USA. Berkeley, CA, USA: USENIX Association, 2000:319-327.
[13] SONG D X, PERRIG A. Advanced and authenticated marking schemes for IP traceback [C]// Proceedings of the 20th Annual Joint Conference of the IEEE Computer and Communications Societies (INFOCOM’01):Vol 2,Apr 22- 26,2001, Anchorage, AK,USA. Piscataway, NJ,USA:IEEE, 2001:878-886.

收稿日期：2011-05-07

[摘要] 基于三网融合面临的业务安全、网络安全、内容安全和行为安全等挑战，文章提出了一种架构独立、运行透明、全程全网的统一安全管控网络。该网络以网络链路为对象，基于分布式安全管控平台，融合了链路流量识别、分析、检查、控制等功能，可实现“一点发现、全网联动”安全控制，并且具有良好的扩展性和适用性。以安全事件的事前防范、事中阻断、事后追溯的技术保障体系为目标，文章分析了统一安全管控网络的支撑技术并给出了其未来发展方向。

[关键词] 统一安全管控网络；管控中心；管控平台

[Abstract] his paper proposes a Common Security and Control Framework (CSCF) for application security, network security, information security, and behavioral security in tri-network convergence. CSCF has an independent architecture and can be operated transparently across the whole network. It treats the network link as the control object and can perform functions such as link traffic identification and link traffic analysis. It can also check and control a security problem at one point and initiate a whole-system response. CSCF is based on a distributed security and control platform with high scalability. This paper discusses the development of techniques used to establish a security system that proactively defends against threats, flexibly reacts to and blocks threats as they occur, and traces threats.

[Keywords] common?security and control?framework; control center; control platform