不同于傳統(tǒng)的近目標(biāo)清洗����,近源清洗首先需要快速檢測到DDoS攻擊,并對攻擊來源進(jìn)行分析����,列出TOP N的源主機地址��、所在省份/國家����、流量大小等指標(biāo)����。然后將上述信息傳導(dǎo)至流量清洗系統(tǒng),由流量清洗系統(tǒng)調(diào)用上述省份或國際出口位置的流量清洗設(shè)備��,對于進(jìn)入骨干網(wǎng)的DDoS攻擊進(jìn)行引流���、清洗及回注���,從而解決近源清洗的難題。
由于DDoS清洗技術(shù)��、引流回注策略經(jīng)過多年的發(fā)展�,已經(jīng)相對成熟可靠,完全具備近源清洗的能力�,但是能否及時發(fā)現(xiàn)異常攻擊、快速溯源還是未知數(shù)���。
那么對于一次DDoS攻擊的近源清洗�����,到底需要系統(tǒng)在多長時間內(nèi)發(fā)現(xiàn)����、多長時間內(nèi)溯源呢����?根據(jù)來自《中國電信-2015年DDoS威脅報告》中的統(tǒng)計,90%的DDoS攻擊在半小時內(nèi)結(jié)束�。所以攻擊發(fā)現(xiàn)時間和溯源的時間務(wù)必控制在數(shù)秒內(nèi)完成,然后自動調(diào)用相關(guān)流量清洗設(shè)備進(jìn)行近源清洗���。此外���,對于使用清洗服務(wù)的客戶而言,越快進(jìn)入清洗狀態(tài)����,其損失越少,清洗防護的時間每推遲1分鐘���,而造成的經(jīng)濟利益損失則會成倍增長�����。
實際上���,最初期云端衛(wèi)士的攻擊檢測的時間約為1分鐘�����、攻擊溯源約為3分鐘�,雖然該指標(biāo)已經(jīng)領(lǐng)先業(yè)界��,但是還是無法幫助運營商實現(xiàn)數(shù)秒內(nèi)完成檢測����、溯源分析。
隨后云端衛(wèi)士為其提供了實時���、快速的攻擊異常檢測以及追蹤溯源的解決方案——網(wǎng)絡(luò)流量態(tài)勢感知系統(tǒng)(Network Flow-visual Analysis System 以下簡稱:NFAS)����,通過引入了基于流量模型的Spark MLlib機器學(xué)習(xí)算法庫、實時的復(fù)雜事件處理計算和新型的大數(shù)據(jù)推送技術(shù)�����,同時自主開發(fā)了“分類分層聯(lián)動異常檢測”引擎等技術(shù)和框架��。NFAS單臺中低端x86服務(wù)器可提供20萬Flow/s左右處理能力�����,單臺高性能x86服務(wù)器可提供30萬flow/s處理能力����,也可使用集群部署來進(jìn)一步提升處理能力�。
基于這些扎實的技術(shù)實力,云端衛(wèi)士的NFAS實現(xiàn)了5秒內(nèi)攻擊檢測����、10秒內(nèi)溯源分析,15秒之內(nèi)將相關(guān)信息傳導(dǎo)至流量清洗系統(tǒng)����,從而實現(xiàn)了真正意義上的秒級近源清洗。
通過相關(guān)的部署����,該運營商依托云端衛(wèi)士的NFAS實現(xiàn)了“近源清洗”的核心訴求�。同時經(jīng)過現(xiàn)網(wǎng)真實攻擊的考驗�,目前已經(jīng)驗證該模式的成功,同時將在不久后正式推出相關(guān)產(chǎn)品和服務(wù)�����,為企業(yè)客戶提供安全防護服務(wù)�,使客戶可以更安全的使用互聯(lián)網(wǎng)服務(wù)。
