走近NetEngine 5000E｜EAI助力廣東聯(lián)通實現(xiàn)DDoS攻擊“閃防”能力

算力時代，企業(yè)加速數(shù)字化轉(zhuǎn)型，業(yè)務(wù)快速上云，網(wǎng)絡(luò)安全變的尤為重要。在眾多的網(wǎng)絡(luò)安全事件中，DDoS攻擊成為全球網(wǎng)絡(luò)安全主要威脅，給各行各業(yè)帶來難以估量的經(jīng)濟(jì)損失。根據(jù)近兩年中國聯(lián)通云盾DDoS攻擊監(jiān)測平臺數(shù)據(jù)顯示，DDoS攻擊態(tài)勢顯示出了一些新的變化特征：

• 一是攻擊速度加快，大流量的攻擊持續(xù)呈秒級加速態(tài)勢，攻擊峰值流量爬升至800Gbps-1Tbps區(qū)間，從2018年需要50秒提升到2022年僅需要10秒。

• 二是攻擊持續(xù)時間越來越短，2022年57%的攻擊持續(xù)時間小于5分鐘，進(jìn)一步挑戰(zhàn)防御系統(tǒng)響應(yīng)速度。

圖1：來源《2022年全球DDoS攻擊現(xiàn)狀與趨勢分析報告》

廣東聯(lián)通薛強(qiáng)博士表示：“在DDoS攻擊‘短平快’的新戰(zhàn)法下，傳統(tǒng)防御系統(tǒng)變的難以應(yīng)對。按照當(dāng)前攻擊檢測方式，通過對大網(wǎng)流量進(jìn)行抽樣檢測，檢測設(shè)備再對樣本流量進(jìn)行還原，攻擊判定過程復(fù)雜，需要數(shù)分鐘才能完成。另一方面是攻擊流量的判定門限，傳統(tǒng)的攻擊檢測，只能設(shè)置成統(tǒng)一的固定值，由于不同業(yè)務(wù)流量差異較大，為了避免誤報，就需要設(shè)置較大的異常門限，這就會導(dǎo)致一些流量較小的攻擊被漏檢。”

針對這兩大痛點，廣東聯(lián)通與華為合作創(chuàng)新，將DDoS攻擊檢測能力下沉到核心路由器NetEngine 5000E上，通過NetEngine 5000E強(qiáng)大的硬件能力結(jié)合嵌入式AI（EAI）算法，對流量實現(xiàn)基于IP粒度的建模，進(jìn)行1：1的報文檢測，使用AI動態(tài)學(xué)習(xí)算法對報文速率、包長、微突發(fā)等行為進(jìn)行毫秒級分析統(tǒng)計，秒級發(fā)現(xiàn)DDoS攻擊行為。同時，動態(tài)攻擊判定門限，可以基于IP歷史數(shù)據(jù)學(xué)習(xí)門限，解決了統(tǒng)一門限的漏檢問題，又大大提升了檢測精度。

圖2：報文采樣方案對比

圖3：攻擊判定門限對比

目前，廣東聯(lián)通已驗證了智能DDoS秒級防御技術(shù)（“閃防”）的可行性，與傳統(tǒng)的DDoS攻擊檢測進(jìn)行實測對比，“閃防”具有更快更準(zhǔn)的DDoS防御能力：傳統(tǒng)的檢測技術(shù)，在遭受攻擊后，靈敏度較低，攻擊61秒后才實現(xiàn)防御，業(yè)務(wù)長時間受損；而“閃防”技術(shù)實現(xiàn)2秒發(fā)現(xiàn)攻擊、5秒完成流量清洗，成功保障了業(yè)務(wù)的穩(wěn)定運(yùn)行。

圖4：攻擊防御結(jié)果對比

面向未來，華為NetEngine 5000E將繼續(xù)依托EAI技術(shù)，加強(qiáng)網(wǎng)絡(luò)安全相關(guān)技術(shù)和方案的探索，持續(xù)迭代完善網(wǎng)絡(luò)安全防御手段，保障骨干網(wǎng)流量安全，與運(yùn)營商一起構(gòu)筑國家關(guān)鍵基礎(chǔ)設(shè)施安全底座。