不同于傳統(tǒng)的近目標(biāo)清洗�����,近源清洗首先需要快速檢測(cè)到DDoS攻擊���,并對(duì)攻擊來(lái)源進(jìn)行分析�����,列出TOP N的源主機(jī)地址��、所在省份/國(guó)家����、流量大小等指標(biāo)。然后將上述信息傳導(dǎo)至流量清洗系統(tǒng)�,由流量清洗系統(tǒng)調(diào)用上述省份或國(guó)際出口位置的流量清洗設(shè)備,對(duì)于進(jìn)入骨干網(wǎng)的DDoS攻擊進(jìn)行引流���、清洗及回注,從而解決近源清洗的難題�。
由于DDoS清洗技術(shù)、引流回注策略經(jīng)過(guò)多年的發(fā)展���,已經(jīng)相對(duì)成熟可靠����,完全具備近源清洗的能力���,但是能否及時(shí)發(fā)現(xiàn)異常攻擊����、快速溯源還是未知數(shù)。
那么對(duì)于一次DDoS攻擊的近源清洗�,到底需要系統(tǒng)在多長(zhǎng)時(shí)間內(nèi)發(fā)現(xiàn)、多長(zhǎng)時(shí)間內(nèi)溯源呢��?根據(jù)來(lái)自《中國(guó)電信-2015年DDoS威脅報(bào)告》中的統(tǒng)計(jì)�����,90%的DDoS攻擊在半小時(shí)內(nèi)結(jié)束�。所以攻擊發(fā)現(xiàn)時(shí)間和溯源的時(shí)間務(wù)必控制在數(shù)秒內(nèi)完成,然后自動(dòng)調(diào)用相關(guān)流量清洗設(shè)備進(jìn)行近源清洗�����。此外�����,對(duì)于使用清洗服務(wù)的客戶(hù)而言�,越快進(jìn)入清洗狀態(tài),其損失越少�,清洗防護(hù)的時(shí)間每推遲1分鐘,而造成的經(jīng)濟(jì)利益損失則會(huì)成倍增長(zhǎng)�����。
實(shí)際上,最初期云端衛(wèi)士的攻擊檢測(cè)的時(shí)間約為1分鐘����、攻擊溯源約為3分鐘,雖然該指標(biāo)已經(jīng)領(lǐng)先業(yè)界��,但是還是無(wú)法幫助運(yùn)營(yíng)商實(shí)現(xiàn)數(shù)秒內(nèi)完成檢測(cè)���、溯源分析����。
隨后云端衛(wèi)士為其提供了實(shí)時(shí)����、快速的攻擊異常檢測(cè)以及追蹤溯源的解決方案——網(wǎng)絡(luò)流量態(tài)勢(shì)感知系統(tǒng)(Network Flow-visual Analysis System 以下簡(jiǎn)稱(chēng):NFAS)���,通過(guò)引入了基于流量模型的Spark MLlib機(jī)器學(xué)習(xí)算法庫(kù)�、實(shí)時(shí)的復(fù)雜事件處理計(jì)算和新型的大數(shù)據(jù)推送技術(shù)�����,同時(shí)自主開(kāi)發(fā)了“分類(lèi)分層聯(lián)動(dòng)異常檢測(cè)”引擎等技術(shù)和框架�。NFAS單臺(tái)中低端x86服務(wù)器可提供20萬(wàn)Flow/s左右處理能力���,單臺(tái)高性能x86服務(wù)器可提供30萬(wàn)flow/s處理能力,也可使用集群部署來(lái)進(jìn)一步提升處理能力����。
基于這些扎實(shí)的技術(shù)實(shí)力,云端衛(wèi)士的NFAS實(shí)現(xiàn)了5秒內(nèi)攻擊檢測(cè)�����、10秒內(nèi)溯源分析�����,15秒之內(nèi)將相關(guān)信息傳導(dǎo)至流量清洗系統(tǒng)��,從而實(shí)現(xiàn)了真正意義上的秒級(jí)近源清洗��。
通過(guò)相關(guān)的部署�,該運(yùn)營(yíng)商依托云端衛(wèi)士的NFAS實(shí)現(xiàn)了“近源清洗”的核心訴求。同時(shí)經(jīng)過(guò)現(xiàn)網(wǎng)真實(shí)攻擊的考驗(yàn)�,目前已經(jīng)驗(yàn)證該模式的成功,同時(shí)將在不久后正式推出相關(guān)產(chǎn)品和服務(wù)����,為企業(yè)客戶(hù)提供安全防護(hù)服務(wù)�,使客戶(hù)可以更安全的使用互聯(lián)網(wǎng)服務(wù)�。
