近日,天翼安全科技有限公司(中国电信安全公司,以下简称“电信安全”)、中国电信股份有限公司江苏分公司(以下简称“江苏电信”) 与华为共同宣布基于NetEngine 5000E集群路由器完成了DDoS攻击“闪防”解决方案商用试点,标志着中国电信业务安全能力迈上新台阶,DDoS攻击“闪防”解决方案向产品化迈出坚实的一步。
DDoS攻击成本持续降低,导致攻击规模持续增长。2023年,电信安全团队监测并成功防护了年度最大带宽DDoS攻击,其峰值带宽达到2.505Tbps,攻击目标IP位于江苏电信网络。同时,电信安全团队监测平台数据显示,DDoS攻击在攻击速度和攻击时间上呈现出“短平快”的特征:
大流量攻击持续秒级加速:瞬时泛洪攻击2秒流量即可爬升至近500Gbps,10秒即可爬升至900Gbps-1Tbps区间,挑战防御系统响应速度。
攻击呈现瞬时泛洪态势:56.25%的网络层攻击持续时间不超过5分钟,可见“瞬时泛洪”依然是网络层攻击的一大特点,瞬时泛洪攻击挑战防御系统的自动化程度和运维团队的响应速度。
传统防御方式采用抽样检测和固定攻击门限的方式,难以应对“短平快”的DDoS攻击:
抽样检测:对网络流量进行抽样检测,因为很多细节丢失,对样本还原后,得到的还原波形存在一定的失真,导致部分攻击判定困难,影响攻击防护效果。
攻击门限固定:传统的攻击检测,攻击门限只能设置成统一的固定值。由于不同业务流量差异较大,为了避免误报,需要设置较大的攻击门限,导致一些流量较小的攻击被漏检。
图1:攻击判定门限对比
电信安全针对“短平快”的DDoS攻击,电信安全与华为合作创新,在江苏电信率先完成DDoS攻击“闪防”解决方案商用试点。DDoS秒级防御技术(“闪防”),将DDoS攻击识别能力集成到集群路由器NetEngine 5000E上,依托其强大的硬件能力结合嵌入式AI(EAI)算法,对流量进行1:1采样检测,采用AI动态学习算法对报文速率、包长、微突发等行为进行毫秒级分析统计,实现秒级发现DDoS攻击;同时基于不同IP流量,动态设置攻击判定门限,解决了统一门限的漏检问题,大大提升了检测精度。
目前,在江苏电信进行的DDoS“闪防”商用试点结果表明,在遭受DDoS攻击后,DDoS“闪防”技术实现2秒内发现攻击、10秒内完成攻击防御,成功保障了业务的稳定运行。
面向算力时代,华为将持续和中国电信合作创新,立足云网融合,深化骨干网DDoS“闪防”解决方案在骨干网络的应用,共同推进在网络安全创新和技术的发展,助力中国电信打造极致安全的算力网络,共同构筑国家算力关键基础设施安全底座。
全部0条评论
快来发表一下你的评论吧 !