云端卫士助力运营商DDoS攻击快速检测与溯源

作者：云端卫士产品总监 梁海兵

近年来，DDoS攻击的规模越来越大、方法越来越多、次数越来越密集，云端卫士检测到单次攻击中最大峰值达到602Gbps。传统的近目标清洗的模式越来越难以有效的为客户提供防护，业界也一直在思考“近源清洗”的可行性。

2015年下半年，某国内运营商向中盈优创旗下安全主品牌云端卫士(www.cloudguarder.com)寻求帮助，希望协助其构建近源清洗系统，从而实现在该运营商的骨干网络边缘对DDoS攻击进行处理。为客户带来可靠的安全服务的同时，也将大大降低DDoS攻击流量在骨干网电路中的占比，从而节省宝贵的骨干网电路资源，降低每年的投资扩容费用。

不同于传统的近目标清洗，近源清洗首先需要快速检测到DDoS攻击，并对攻击来源进行分析，列出TOP N的源主机地址、所在省份/国家、流量大小等指标。然后将上述信息传导至流量清洗系统，由流量清洗系统调用上述省份或国际出口位置的流量清洗设备，对于进入骨干网的DDoS攻击进行引流、清洗及回注，从而解决近源清洗的难题。

由于DDoS清洗技术、引流回注策略经过多年的发展，已经相对成熟可靠，完全具备近源清洗的能力，但是能否及时发现异常攻击、快速溯源还是未知数。

那么对于一次DDoS攻击的近源清洗，到底需要系统在多长时间内发现、多长时间内溯源呢？根据来自《中国电信-2015年DDoS威胁报告》中的统计，90%的DDoS攻击在半小时内结束。所以攻击发现时间和溯源的时间务必控制在数秒内完成，然后自动调用相关流量清洗设备进行近源清洗。此外，对于使用清洗服务的客户而言，越快进入清洗状态，其损失越少，清洗防护的时间每推迟1分钟，而造成的经济利益损失则会成倍增长。

实际上，最初期云端卫士的攻击检测的时间约为1分钟、攻击溯源约为3分钟，虽然该指标已经领先业界，但是还是无法帮助运营商实现数秒内完成检测、溯源分析。

随后云端卫士为其提供了实时、快速的攻击异常检测以及追踪溯源的解决方案——网络流量态势感知系统(Network Flow-visual Analysis System 以下简称：NFAS)，通过引入了基于流量模型的Spark MLlib机器学习算法库、实时的复杂事件处理计算和新型的大数据推送技术，同时自主开发了“分类分层联动异常检测”引擎等技术和框架。NFAS单台中低端x86服务器可提供20万Flow/s左右处理能力，单台高性能x86服务器可提供30万flow/s处理能力，也可使用集群部署来进一步提升处理能力。

基于这些扎实的技术实力，云端卫士的NFAS实现了5秒内攻击检测、10秒内溯源分析，15秒之内将相关信息传导至流量清洗系统，从而实现了真正意义上的秒级近源清洗。

通过相关的部署，该运营商依托云端卫士的NFAS实现了“近源清洗”的核心诉求。同时经过现网真实攻击的考验，目前已经验证该模式的成功，同时将在不久后正式推出相关产品和服务，为企业客户提供安全防护服务，使客户可以更安全的使用互联网服务。