近日，天翼安全科技有限公司（中國電信安全公司，以下簡稱“電信安全”）、中國電信股份有限公司江蘇分公司（以下簡稱“江蘇電信”） 與華為共同宣布基于NetEngine 5000E集群路由器完成了DDoS攻擊“閃防”解決方案商用試點，標志著中國電信業(yè)務安全能力邁上新臺階，DDoS攻擊“閃防”解決方案向產(chǎn)品化邁出堅實的一步。

DDoS攻擊成本持續(xù)降低，導致攻擊規(guī)模持續(xù)增長。2023年，電信安全團隊監(jiān)測并成功防護了年度最大帶寬DDoS攻擊，其峰值帶寬達到2.505Tbps，攻擊目標IP位于江蘇電信網(wǎng)絡。同時，電信安全團隊監(jiān)測平臺數(shù)據(jù)顯示，DDoS攻擊在攻擊速度和攻擊時間上呈現(xiàn)出“短平快”的特征：

大流量攻擊持續(xù)秒級加速：瞬時泛洪攻擊2秒流量即可爬升至近500Gbps，10秒即可爬升至900Gbps-1Tbps區(qū)間，挑戰(zhàn)防御系統(tǒng)響應速度。

攻擊呈現(xiàn)瞬時泛洪態(tài)勢：56.25%的網(wǎng)絡層攻擊持續(xù)時間不超過5分鐘，可見“瞬時泛洪”依然是網(wǎng)絡層攻擊的一大特點，瞬時泛洪攻擊挑戰(zhàn)防御系統(tǒng)的自動化程度和運維團隊的響應速度。

傳統(tǒng)防御方式采用抽樣檢測和固定攻擊門限的方式，難以應對“短平快”的DDoS攻擊：

抽樣檢測：對網(wǎng)絡流量進行抽樣檢測，因為很多細節(jié)丟失，對樣本還原后，得到的還原波形存在一定的失真，導致部分攻擊判定困難，影響攻擊防護效果。

攻擊門限固定：傳統(tǒng)的攻擊檢測，攻擊門限只能設置成統(tǒng)一的固定值。由于不同業(yè)務流量差異較大，為了避免誤報，需要設置較大的攻擊門限，導致一些流量較小的攻擊被漏檢。

圖1：攻擊判定門限對比

電信安全針對“短平快”的DDoS攻擊，電信安全與華為合作創(chuàng)新，在江蘇電信率先完成DDoS攻擊“閃防”解決方案商用試點。DDoS秒級防御技術（“閃防”），將DDoS攻擊識別能力集成到集群路由器NetEngine 5000E上，依托其強大的硬件能力結合嵌入式AI（EAI）算法，對流量進行1：1采樣檢測，采用AI動態(tài)學習算法對報文速率、包長、微突發(fā)等行為進行毫秒級分析統(tǒng)計，實現(xiàn)秒級發(fā)現(xiàn)DDoS攻擊；同時基于不同IP流量，動態(tài)設置攻擊判定門限，解決了統(tǒng)一門限的漏檢問題，大大提升了檢測精度。

目前，在江蘇電信進行的DDoS“閃防”商用試點結果表明，在遭受DDoS攻擊后，DDoS“閃防”技術實現(xiàn)2秒內發(fā)現(xiàn)攻擊、10秒內完成攻擊防御，成功保障了業(yè)務的穩(wěn)定運行。

面向算力時代，華為將持續(xù)和中國電信合作創(chuàng)新，立足云網(wǎng)融合，深化骨干網(wǎng)DDoS“閃防”解決方案在骨干網(wǎng)絡的應用，共同推進在網(wǎng)絡安全創(chuàng)新和技術的發(fā)展，助力中國電信打造極致安全的算力網(wǎng)絡，共同構筑國家算力關鍵基礎設施安全底座。