走近NetEngine 5000E｜EAI助力廣東聯(lián)通實現(xiàn)DDoS攻擊“閃防”能力

算力時代，企業(yè)加速數(shù)字化轉(zhuǎn)型，業(yè)務快速上云，網(wǎng)絡安全變的尤為重要。在眾多的網(wǎng)絡安全事件中，DDoS攻擊成為全球網(wǎng)絡安全主要威脅，給各行各業(yè)帶來難以估量的經(jīng)濟損失。根據(jù)近兩年中國聯(lián)通云盾DDoS攻擊監(jiān)測平臺數(shù)據(jù)顯示，DDoS攻擊態(tài)勢顯示出了一些新的變化特征：

• 一是攻擊速度加快，大流量的攻擊持續(xù)呈秒級加速態(tài)勢，攻擊峰值流量爬升至800Gbps-1Tbps區(qū)間，從2018年需要50秒提升到2022年僅需要10秒。

• 二是攻擊持續(xù)時間越來越短，2022年57%的攻擊持續(xù)時間小于5分鐘，進一步挑戰(zhàn)防御系統(tǒng)響應速度。

圖1：來源《2022年全球DDoS攻擊現(xiàn)狀與趨勢分析報告》

廣東聯(lián)通薛強博士表示：“在DDoS攻擊‘短平快’的新戰(zhàn)法下，傳統(tǒng)防御系統(tǒng)變的難以應對。按照當前攻擊檢測方式，通過對大網(wǎng)流量進行抽樣檢測，檢測設備再對樣本流量進行還原，攻擊判定過程復雜，需要數(shù)分鐘才能完成。另一方面是攻擊流量的判定門限，傳統(tǒng)的攻擊檢測，只能設置成統(tǒng)一的固定值，由于不同業(yè)務流量差異較大，為了避免誤報，就需要設置較大的異常門限，這就會導致一些流量較小的攻擊被漏檢?！?/span>

針對這兩大痛點，廣東聯(lián)通與華為合作創(chuàng)新，將DDoS攻擊檢測能力下沉到核心路由器NetEngine 5000E上，通過NetEngine 5000E強大的硬件能力結(jié)合嵌入式AI（EAI）算法，對流量實現(xiàn)基于IP粒度的建模，進行1：1的報文檢測，使用AI動態(tài)學習算法對報文速率、包長、微突發(fā)等行為進行毫秒級分析統(tǒng)計，秒級發(fā)現(xiàn)DDoS攻擊行為。同時，動態(tài)攻擊判定門限，可以基于IP歷史數(shù)據(jù)學習門限，解決了統(tǒng)一門限的漏檢問題，又大大提升了檢測精度。

圖2：報文采樣方案對比

圖3：攻擊判定門限對比

目前，廣東聯(lián)通已驗證了智能DDoS秒級防御技術（“閃防”）的可行性，與傳統(tǒng)的DDoS攻擊檢測進行實測對比，“閃防”具有更快更準的DDoS防御能力：傳統(tǒng)的檢測技術，在遭受攻擊后，靈敏度較低，攻擊61秒后才實現(xiàn)防御，業(yè)務長時間受損；而“閃防”技術實現(xiàn)2秒發(fā)現(xiàn)攻擊、5秒完成流量清洗，成功保障了業(yè)務的穩(wěn)定運行。

圖4：攻擊防御結(jié)果對比

面向未來，華為NetEngine 5000E將繼續(xù)依托EAI技術，加強網(wǎng)絡安全相關技術和方案的探索，持續(xù)迭代完善網(wǎng)絡安全防御手段，保障骨干網(wǎng)流量安全，與運營商一起構(gòu)筑國家關鍵基礎設施安全底座。