不同于傳統(tǒng)的近目標(biāo)清洗,近源清洗首先需要快速檢測(cè)到DDoS攻擊���,并對(duì)攻擊來(lái)源進(jìn)行分析,列出TOP N的源主機(jī)地址���、所在省份/國(guó)家��、流量大小等指標(biāo)����。然后將上述信息傳導(dǎo)至流量清洗系統(tǒng)���,由流量清洗系統(tǒng)調(diào)用上述省份或國(guó)際出口位置的流量清洗設(shè)備�,對(duì)于進(jìn)入骨干網(wǎng)的DDoS攻擊進(jìn)行引流、清洗及回注���,從而解決近源清洗的難題。
由于DDoS清洗技術(shù)����、引流回注策略經(jīng)過(guò)多年的發(fā)展,已經(jīng)相對(duì)成熟可靠�����,完全具備近源清洗的能力��,但是能否及時(shí)發(fā)現(xiàn)異常攻擊�、快速溯源還是未知數(shù)。
那么對(duì)于一次DDoS攻擊的近源清洗����,到底需要系統(tǒng)在多長(zhǎng)時(shí)間內(nèi)發(fā)現(xiàn)、多長(zhǎng)時(shí)間內(nèi)溯源呢�?根據(jù)來(lái)自《中國(guó)電信-2015年DDoS威脅報(bào)告》中的統(tǒng)計(jì),90%的DDoS攻擊在半小時(shí)內(nèi)結(jié)束�����。所以攻擊發(fā)現(xiàn)時(shí)間和溯源的時(shí)間務(wù)必控制在數(shù)秒內(nèi)完成,然后自動(dòng)調(diào)用相關(guān)流量清洗設(shè)備進(jìn)行近源清洗�����。此外����,對(duì)于使用清洗服務(wù)的客戶而言,越快進(jìn)入清洗狀態(tài)��,其損失越少��,清洗防護(hù)的時(shí)間每推遲1分鐘�����,而造成的經(jīng)濟(jì)利益損失則會(huì)成倍增長(zhǎng)��。
實(shí)際上�����,最初期云端衛(wèi)士的攻擊檢測(cè)的時(shí)間約為1分鐘�、攻擊溯源約為3分鐘��,雖然該指標(biāo)已經(jīng)領(lǐng)先業(yè)界����,但是還是無(wú)法幫助運(yùn)營(yíng)商實(shí)現(xiàn)數(shù)秒內(nèi)完成檢測(cè)����、溯源分析。
隨后云端衛(wèi)士為其提供了實(shí)時(shí)��、快速的攻擊異常檢測(cè)以及追蹤溯源的解決方案——網(wǎng)絡(luò)流量態(tài)勢(shì)感知系統(tǒng)(Network Flow-visual Analysis System 以下簡(jiǎn)稱:NFAS)��,通過(guò)引入了基于流量模型的Spark MLlib機(jī)器學(xué)習(xí)算法庫(kù)�、實(shí)時(shí)的復(fù)雜事件處理計(jì)算和新型的大數(shù)據(jù)推送技術(shù)���,同時(shí)自主開(kāi)發(fā)了“分類分層聯(lián)動(dòng)異常檢測(cè)”引擎等技術(shù)和框架����。NFAS單臺(tái)中低端x86服務(wù)器可提供20萬(wàn)Flow/s左右處理能力����,單臺(tái)高性能x86服務(wù)器可提供30萬(wàn)flow/s處理能力,也可使用集群部署來(lái)進(jìn)一步提升處理能力���。
基于這些扎實(shí)的技術(shù)實(shí)力��,云端衛(wèi)士的NFAS實(shí)現(xiàn)了5秒內(nèi)攻擊檢測(cè)��、10秒內(nèi)溯源分析�����,15秒之內(nèi)將相關(guān)信息傳導(dǎo)至流量清洗系統(tǒng)�,從而實(shí)現(xiàn)了真正意義上的秒級(jí)近源清洗。
通過(guò)相關(guān)的部署�����,該運(yùn)營(yíng)商依托云端衛(wèi)士的NFAS實(shí)現(xiàn)了“近源清洗”的核心訴求��。同時(shí)經(jīng)過(guò)現(xiàn)網(wǎng)真實(shí)攻擊的考驗(yàn)���,目前已經(jīng)驗(yàn)證該模式的成功��,同時(shí)將在不久后正式推出相關(guān)產(chǎn)品和服務(wù)��,為企業(yè)客戶提供安全防護(hù)服務(wù)���,使客戶可以更安全的使用互聯(lián)網(wǎng)服務(wù)����。
