算力時(shí)代，企業(yè)加速數(shù)字化轉(zhuǎn)型，業(yè)務(wù)快速上云，網(wǎng)絡(luò)安全變的尤為重要。在眾多的網(wǎng)絡(luò)安全事件中，DDoS攻擊成為全球網(wǎng)絡(luò)安全主要威脅，給各行各業(yè)帶來難以估量的經(jīng)濟(jì)損失。根據(jù)近兩年中國(guó)聯(lián)通云盾DDoS攻擊監(jiān)測(cè)平臺(tái)數(shù)據(jù)顯示，DDoS攻擊態(tài)勢(shì)顯示出了一些新的變化特征：

• 一是攻擊速度加快，大流量的攻擊持續(xù)呈秒級(jí)加速態(tài)勢(shì)，攻擊峰值流量爬升至800Gbps-1Tbps區(qū)間，從2018年需要50秒提升到2022年僅需要10秒。

• 二是攻擊持續(xù)時(shí)間越來越短，2022年57%的攻擊持續(xù)時(shí)間小于5分鐘，進(jìn)一步挑戰(zhàn)防御系統(tǒng)響應(yīng)速度。

圖1：來源《2022年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析報(bào)告》

廣東聯(lián)通薛強(qiáng)博士表示：“在DDoS攻擊‘短平快’的新戰(zhàn)法下，傳統(tǒng)防御系統(tǒng)變的難以應(yīng)對(duì)。按照當(dāng)前攻擊檢測(cè)方式，通過對(duì)大網(wǎng)流量進(jìn)行抽樣檢測(cè)，檢測(cè)設(shè)備再對(duì)樣本流量進(jìn)行還原，攻擊判定過程復(fù)雜，需要數(shù)分鐘才能完成。另一方面是攻擊流量的判定門限，傳統(tǒng)的攻擊檢測(cè)，只能設(shè)置成統(tǒng)一的固定值，由于不同業(yè)務(wù)流量差異較大，為了避免誤報(bào)，就需要設(shè)置較大的異常門限，這就會(huì)導(dǎo)致一些流量較小的攻擊被漏檢?！?/span>

針對(duì)這兩大痛點(diǎn)，廣東聯(lián)通與華為合作創(chuàng)新，將DDoS攻擊檢測(cè)能力下沉到核心路由器NetEngine 5000E上，通過NetEngine 5000E強(qiáng)大的硬件能力結(jié)合嵌入式AI（EAI）算法，對(duì)流量實(shí)現(xiàn)基于IP粒度的建模，進(jìn)行1：1的報(bào)文檢測(cè)，使用AI動(dòng)態(tài)學(xué)習(xí)算法對(duì)報(bào)文速率、包長(zhǎng)、微突發(fā)等行為進(jìn)行毫秒級(jí)分析統(tǒng)計(jì)，秒級(jí)發(fā)現(xiàn)DDoS攻擊行為。同時(shí)，動(dòng)態(tài)攻擊判定門限，可以基于IP歷史數(shù)據(jù)學(xué)習(xí)門限，解決了統(tǒng)一門限的漏檢問題，又大大提升了檢測(cè)精度。

圖2：報(bào)文采樣方案對(duì)比

圖3：攻擊判定門限對(duì)比

目前，廣東聯(lián)通已驗(yàn)證了智能DDoS秒級(jí)防御技術(shù)（“閃防”）的可行性，與傳統(tǒng)的DDoS攻擊檢測(cè)進(jìn)行實(shí)測(cè)對(duì)比，“閃防”具有更快更準(zhǔn)的DDoS防御能力：傳統(tǒng)的檢測(cè)技術(shù)，在遭受攻擊后，靈敏度較低，攻擊61秒后才實(shí)現(xiàn)防御，業(yè)務(wù)長(zhǎng)時(shí)間受損；而“閃防”技術(shù)實(shí)現(xiàn)2秒發(fā)現(xiàn)攻擊、5秒完成流量清洗，成功保障了業(yè)務(wù)的穩(wěn)定運(yùn)行。

圖4：攻擊防御結(jié)果對(duì)比

面向未來，華為NetEngine 5000E將繼續(xù)依托EAI技術(shù)，加強(qiáng)網(wǎng)絡(luò)安全相關(guān)技術(shù)和方案的探索，持續(xù)迭代完善網(wǎng)絡(luò)安全防御手段，保障骨干網(wǎng)流量安全，與運(yùn)營(yíng)商一起構(gòu)筑國(guó)家關(guān)鍵基礎(chǔ)設(shè)施安全底座。