近日,天翼安全科技有限公司(中國電信安全公司,以下簡稱“電信安全”)、中國電信股份有限公司江蘇分公司(以下簡稱“江蘇電信”) 與華為共同宣布基于NetEngine 5000E集群路由器完成了DDoS攻擊“閃防”解決方案商用試點,標志著中國電信業務安全能力邁上新臺階,DDoS攻擊“閃防”解決方案向產品化邁出堅實的一步。
DDoS攻擊成本持續降低,導致攻擊規模持續增長。2023年,電信安全團隊監測并成功防護了年度最大帶寬DDoS攻擊,其峰值帶寬達到2.505Tbps,攻擊目標IP位于江蘇電信網絡。同時,電信安全團隊監測平臺數據顯示,DDoS攻擊在攻擊速度和攻擊時間上呈現出“短平快”的特征:
大流量攻擊持續秒級加速:瞬時泛洪攻擊2秒流量即可爬升至近500Gbps,10秒即可爬升至900Gbps-1Tbps區間,挑戰防御系統響應速度。
攻擊呈現瞬時泛洪態勢:56.25%的網絡層攻擊持續時間不超過5分鐘,可見“瞬時泛洪”依然是網絡層攻擊的一大特點,瞬時泛洪攻擊挑戰防御系統的自動化程度和運維團隊的響應速度。
傳統防御方式采用抽樣檢測和固定攻擊門限的方式,難以應對“短平快”的DDoS攻擊:
抽樣檢測:對網絡流量進行抽樣檢測,因為很多細節丟失,對樣本還原后,得到的還原波形存在一定的失真,導致部分攻擊判定困難,影響攻擊防護效果。
攻擊門限固定:傳統的攻擊檢測,攻擊門限只能設置成統一的固定值。由于不同業務流量差異較大,為了避免誤報,需要設置較大的攻擊門限,導致一些流量較小的攻擊被漏檢。
圖1:攻擊判定門限對比
電信安全針對“短平快”的DDoS攻擊,電信安全與華為合作創新,在江蘇電信率先完成DDoS攻擊“閃防”解決方案商用試點。DDoS秒級防御技術(“閃防”),將DDoS攻擊識別能力集成到集群路由器NetEngine 5000E上,依托其強大的硬件能力結合嵌入式AI(EAI)算法,對流量進行1:1采樣檢測,采用AI動態學習算法對報文速率、包長、微突發等行為進行毫秒級分析統計,實現秒級發現DDoS攻擊;同時基于不同IP流量,動態設置攻擊判定門限,解決了統一門限的漏檢問題,大大提升了檢測精度。
目前,在江蘇電信進行的DDoS“閃防”商用試點結果表明,在遭受DDoS攻擊后,DDoS“閃防”技術實現2秒內發現攻擊、10秒內完成攻擊防御,成功保障了業務的穩定運行。
面向算力時代,華為將持續和中國電信合作創新,立足云網融合,深化骨干網DDoS“閃防”解決方案在骨干網絡的應用,共同推進在網絡安全創新和技術的發展,助力中國電信打造極致安全的算力網絡,共同構筑國家算力關鍵基礎設施安全底座。
-
華為
+關注
關注
216文章
34411瀏覽量
251506 -
DDoS
+關注
關注
3文章
171瀏覽量
23064 -
路由器
+關注
關注
22文章
3728瀏覽量
113705 -
AI算法
+關注
關注
0文章
249瀏覽量
12259
原文標題:Net5.5G@517電信日 | 華為助力電信安全公司和江蘇電信實現DDoS攻擊“閃防”能力
文章出處:【微信號:Huawei_Fixed,微信公眾號:華為數據通信】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論