不同于傳統(tǒng)的近目標(biāo)清洗,近源清洗首先需要快速檢測到DDoS攻擊,并對攻擊來源進(jìn)行分析,列出TOP N的源主機地址、所在省份/國家、流量大小等指標(biāo)。然后將上述信息傳導(dǎo)至流量清洗系統(tǒng),由流量清洗系統(tǒng)調(diào)用上述省份或國際出口位置的流量清洗設(shè)備,對于進(jìn)入骨干網(wǎng)的DDoS攻擊進(jìn)行引流、清洗及回注,從而解決近源清洗的難題。

由于DDoS清洗技術(shù)、引流回注策略經(jīng)過多年的發(fā)展,已經(jīng)相對成熟可靠,完全具備近源清洗的能力,但是能否及時發(fā)現(xiàn)異常攻擊、快速溯源還是未知數(shù)。

那么對于一次DDoS攻擊的近源清洗,到底需要系統(tǒng)在多長時間內(nèi)發(fā)現(xiàn)、多長時間內(nèi)溯源呢?根據(jù)來自《中國電信-2015年DDoS威脅報告》中的統(tǒng)計,90%的DDoS攻擊在半小時內(nèi)結(jié)束。所以攻擊發(fā)現(xiàn)時間和溯源的時間務(wù)必控制在數(shù)秒內(nèi)完成,然后自動調(diào)用相關(guān)流量清洗設(shè)備進(jìn)行近源清洗。此外,對于使用清洗服務(wù)的客戶而言,越快進(jìn)入清洗狀態(tài),其損失越少,清洗防護的時間每推遲1分鐘,而造成的經(jīng)濟利益損失則會成倍增長。

實際上,最初期云端衛(wèi)士的攻擊檢測的時間約為1分鐘、攻擊溯源約為3分鐘,雖然該指標(biāo)已經(jīng)領(lǐng)先業(yè)界,但是還是無法幫助運營商實現(xiàn)數(shù)秒內(nèi)完成檢測、溯源分析。

隨后云端衛(wèi)士為其提供了實時、快速的攻擊異常檢測以及追蹤溯源的解決方案——網(wǎng)絡(luò)流量態(tài)勢感知系統(tǒng)(Network Flow-visual Analysis System 以下簡稱:NFAS),通過引入了基于流量模型的Spark MLlib機器學(xué)習(xí)算法庫、實時的復(fù)雜事件處理計算和新型的大數(shù)據(jù)推送技術(shù),同時自主開發(fā)了“分類分層聯(lián)動異常檢測”引擎等技術(shù)和框架。NFAS單臺中低端x86服務(wù)器可提供20萬Flow/s左右處理能力,單臺高性能x86服務(wù)器可提供30萬flow/s處理能力,也可使用集群部署來進(jìn)一步提升處理能力。

222

基于這些扎實的技術(shù)實力,云端衛(wèi)士的NFAS實現(xiàn)了5秒內(nèi)攻擊檢測、10秒內(nèi)溯源分析,15秒之內(nèi)將相關(guān)信息傳導(dǎo)至流量清洗系統(tǒng),從而實現(xiàn)了真正意義上的秒級近源清洗。

通過相關(guān)的部署,該運營商依托云端衛(wèi)士的NFAS實現(xiàn)了“近源清洗”的核心訴求。同時經(jīng)過現(xiàn)網(wǎng)真實攻擊的考驗,目前已經(jīng)驗證該模式的成功,同時將在不久后正式推出相關(guān)產(chǎn)品和服務(wù),為企業(yè)客戶提供安全防護服務(wù),使客戶可以更安全的使用互聯(lián)網(wǎng)服務(wù)。

 

分享到

xiesc

相關(guān)推薦