近日，天翼安全科技有限公司（中國電信安全公司，以下簡稱“電信安全”）、中國電信股份有限公司江蘇分公司（以下簡稱“江蘇電信”） 與華為共同宣布基于NetEngine 5000E集群路由器完成了DDoS攻擊“閃防”解決方案商用試點(diǎn)，標(biāo)志著中國電信業(yè)務(wù)安全能力邁上新臺階，DDoS攻擊“閃防”解決方案向產(chǎn)品化邁出堅(jiān)實(shí)的一步。

DDoS攻擊成本持續(xù)降低，導(dǎo)致攻擊規(guī)模持續(xù)增長。2023年，電信安全團(tuán)隊(duì)監(jiān)測并成功防護(hù)了年度最大帶寬DDoS攻擊，其峰值帶寬達(dá)到2.505Tbps，攻擊目標(biāo)IP位于江蘇電信網(wǎng)絡(luò)。同時(shí)，電信安全團(tuán)隊(duì)監(jiān)測平臺數(shù)據(jù)顯示，DDoS攻擊在攻擊速度和攻擊時(shí)間上呈現(xiàn)出“短平快”的特征：

大流量攻擊持續(xù)秒級加速：瞬時(shí)泛洪攻擊2秒流量即可爬升至近500Gbps，10秒即可爬升至900Gbps-1Tbps區(qū)間，挑戰(zhàn)防御系統(tǒng)響應(yīng)速度。

攻擊呈現(xiàn)瞬時(shí)泛洪態(tài)勢：56.25%的網(wǎng)絡(luò)層攻擊持續(xù)時(shí)間不超過5分鐘，可見“瞬時(shí)泛洪”依然是網(wǎng)絡(luò)層攻擊的一大特點(diǎn)，瞬時(shí)泛洪攻擊挑戰(zhàn)防御系統(tǒng)的自動(dòng)化程度和運(yùn)維團(tuán)隊(duì)的響應(yīng)速度。

傳統(tǒng)防御方式采用抽樣檢測和固定攻擊門限的方式，難以應(yīng)對“短平快”的DDoS攻擊：

抽樣檢測：對網(wǎng)絡(luò)流量進(jìn)行抽樣檢測，因?yàn)楹芏嗉?xì)節(jié)丟失，對樣本還原后，得到的還原波形存在一定的失真，導(dǎo)致部分攻擊判定困難，影響攻擊防護(hù)效果。

攻擊門限固定：傳統(tǒng)的攻擊檢測，攻擊門限只能設(shè)置成統(tǒng)一的固定值。由于不同業(yè)務(wù)流量差異較大，為了避免誤報(bào)，需要設(shè)置較大的攻擊門限，導(dǎo)致一些流量較小的攻擊被漏檢。

圖1：攻擊判定門限對比

電信安全針對“短平快”的DDoS攻擊，電信安全與華為合作創(chuàng)新，在江蘇電信率先完成DDoS攻擊“閃防”解決方案商用試點(diǎn)。DDoS秒級防御技術(shù)（“閃防”），將DDoS攻擊識別能力集成到集群路由器NetEngine 5000E上，依托其強(qiáng)大的硬件能力結(jié)合嵌入式AI（EAI）算法，對流量進(jìn)行1：1采樣檢測，采用AI動(dòng)態(tài)學(xué)習(xí)算法對報(bào)文速率、包長、微突發(fā)等行為進(jìn)行毫秒級分析統(tǒng)計(jì)，實(shí)現(xiàn)秒級發(fā)現(xiàn)DDoS攻擊；同時(shí)基于不同IP流量，動(dòng)態(tài)設(shè)置攻擊判定門限，解決了統(tǒng)一門限的漏檢問題，大大提升了檢測精度。

目前，在江蘇電信進(jìn)行的DDoS“閃防”商用試點(diǎn)結(jié)果表明，在遭受DDoS攻擊后，DDoS“閃防”技術(shù)實(shí)現(xiàn)2秒內(nèi)發(fā)現(xiàn)攻擊、10秒內(nèi)完成攻擊防御，成功保障了業(yè)務(wù)的穩(wěn)定運(yùn)行。

面向算力時(shí)代，華為將持續(xù)和中國電信合作創(chuàng)新，立足云網(wǎng)融合，深化骨干網(wǎng)DDoS“閃防”解決方案在骨干網(wǎng)絡(luò)的應(yīng)用，共同推進(jìn)在網(wǎng)絡(luò)安全創(chuàng)新和技術(shù)的發(fā)展，助力中國電信打造極致安全的算力網(wǎng)絡(luò)，共同構(gòu)筑國家算力關(guān)鍵基礎(chǔ)設(shè)施安全底座。