骨干网络中追查异常流量威胁

　　1.1 骨干网络运维面临新课题

　　运营商业务承载类网络和行业客户骨干链路系统是高端网络的主要代表。而随着业务系统的逐年扩大，部分企业网络系统也越来越多的体现出高端网络的特征，包括电信运营商围绕承载网而建设的支撑类网络也逐步加入到高端网络阵营。

　　高端网络由于其独有的特点决定了其无法按照一般信息系统的安全建设思路进行安全防护体系建设，而完全没有安全防护的高端网络也同时失去了面向客户提供合格服务质量的基础保障：

　　* 高端网络最根本的运维要点在于如何向接入用户网络提供满足要求的服务质量承诺，尤其是带宽和响应延迟指标。但是，接入用户网络是作为一个完全的网络对等体出现的，高端网络无法确定该部分网络区域究竟需要什么样的访问控制策略，因此在接入链路近端(高端网络侧)无法设置访问控制点;

　　* 传统的安全建设都是在远端的接入网络内部(Stub网络)进行的，通常由接入单位出资建设并管理。相应的，其根本宗旨也仅局限于如何保障该接入网络不受来自其他网络的攻击，而从未考虑过(也无义务考虑)如何防范该接入端网络侵害高端网络所连接的其他网络部分;

　　* 接入用户网络除了发起正常业务流量之外，各类桌面系统也同时发出大量随机流量，如仅用作个人通信的P2P流量、易感蠕虫病毒的传播流量、吞噬带宽的BT类文件传输流量等，这些流量通常与接入用户网络应用业务无关。在这种情况下，接入用户网络发出的网络流量图式是非常不确定的。高端网络难以获知哪些流量是正常流量、哪些流量是不受欢迎的垃圾流量;

　　* 高端网络的实际带宽远远小于所有接入用户网络的承诺带宽总和。因此，当接入用户网络链路充斥着大量垃圾流量的时候，高端网络的交换能力将受到直接挑战，这种情况对接入客户比较关注的正常业务服务质量将造成严重影响。这是高端网络在运行维护方面的主要矛盾;