科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全云端卫士助力运营商DDoS攻击快速检测与溯源

云端卫士助力运营商DDoS攻击快速检测与溯源

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

近年来,DDoS攻击的规模越来越大、方法越来越多、次数越来越密集,云端卫士检测到单次攻击中最大峰值达到602Gbps。传统的近目标清洗的模式越来越难以有效的为客户提供防护,业界也一直在思考“近源清洗”的可行性。

来源:ZD至顶网安全频道 2016年8月26日

关键字: DDoS攻击 云端卫士

  • 评论
  • 分享微博
  • 分享邮件

作者:云端卫士产品总监 梁海兵

近年来,DDoS攻击的规模越来越大、方法越来越多、次数越来越密集,云端卫士检测到单次攻击中最大峰值达到602Gbps。传统的近目标清洗的模式越来越难以有效的为客户提供防护,业界也一直在思考“近源清洗”的可行性。

2015年下半年,某国内运营商向中盈优创旗下安全主品牌云端卫士(www.cloudguarder.com)寻求帮助,希望协助其构建近源清洗系统,从而实现在该运营商的骨干网络边缘对DDoS攻击进行处理。为客户带来可靠的安全服务的同时,也将大大降低DDoS攻击流量在骨干网电路中的占比,从而节省宝贵的骨干网电路资源,降低每年的投资扩容费用。

1

不同于传统的近目标清洗,近源清洗首先需要快速检测到DDoS攻击,并对攻击来源进行分析,列出TOP N的源主机地址、所在省份/国家、流量大小等指标。然后将上述信息传导至流量清洗系统,由流量清洗系统调用上述省份或国际出口位置的流量清洗设备,对于进入骨干网的DDoS攻击进行引流、清洗及回注,从而解决近源清洗的难题。

由于DDoS清洗技术、引流回注策略经过多年的发展,已经相对成熟可靠,完全具备近源清洗的能力,但是能否及时发现异常攻击、快速溯源还是未知数。

那么对于一次DDoS攻击的近源清洗,到底需要系统在多长时间内发现、多长时间内溯源呢?根据来自《中国电信-2015年DDoS威胁报告》中的统计,90%的DDoS攻击在半小时内结束。所以攻击发现时间和溯源的时间务必控制在数秒内完成,然后自动调用相关流量清洗设备进行近源清洗。此外,对于使用清洗服务的客户而言,越快进入清洗状态,其损失越少,清洗防护的时间每推迟1分钟,而造成的经济利益损失则会成倍增长。

实际上,最初期云端卫士的攻击检测的时间约为1分钟、攻击溯源约为3分钟,虽然该指标已经领先业界,但是还是无法帮助运营商实现数秒内完成检测、溯源分析。

随后云端卫士为其提供了实时、快速的攻击异常检测以及追踪溯源的解决方案——网络流量态势感知系统(Network Flow-visual Analysis System 以下简称:NFAS),通过引入了基于流量模型的Spark MLlib机器学习算法库、实时的复杂事件处理计算和新型的大数据推送技术,同时自主开发了“分类分层联动异常检测”引擎等技术和框架。NFAS单台中低端x86服务器可提供20万Flow/s左右处理能力,单台高性能x86服务器可提供30万flow/s处理能力,也可使用集群部署来进一步提升处理能力。

2

基于这些扎实的技术实力,云端卫士的NFAS实现了5秒内攻击检测、10秒内溯源分析,15秒之内将相关信息传导至流量清洗系统,从而实现了真正意义上的秒级近源清洗。

通过相关的部署,该运营商依托云端卫士的NFAS实现了“近源清洗”的核心诉求。同时经过现网真实攻击的考验,目前已经验证该模式的成功,同时将在不久后正式推出相关产品和服务,为企业客户提供安全防护服务,使客户可以更安全的使用互联网服务。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章