近日,以“共建可信网络标准体系,筑牢国家网络安全屏障”为主题的中国联通《可信网络白皮书》发布会在北京隆重举行,中国联通广东分公司(以下简称广东联通)网络BG技术总监薛强应邀与会并发表了题为《智能DDoS秒级防御创新技术》的主题演讲,提出通过AI赋能网络,提升大网安全的理念。
中国联通广东分公司网络BG技术总监薛强发表主题演讲
网络连接数量的爆发式增长,使得DDoS攻击的威胁也不断攀升,在未来2 Trillion 连接的数字世界中,DDoS的威胁将指数级放大。而在近两年,联通云盾DDoS攻击监测平台,也发现其攻击态势有了一些新的变化,包含两个典型的特征:
1.大流量的攻击持续呈秒级加速态势,爬升速度再创新高,攻击流量峰值爬升至800Gbps-1Tbps区间,2018年需要50秒、2021年需要20秒、2022年则仅需要10秒。
2.攻击持续的时间越来越短,小于5分钟的攻击占比,从2021年的43%提升到2022年的57%,挑战防御系统响应速度。
在DDoS的“短平快”的新战法下,传统抗D系统有些难以应对,主要有两个原因:
1.当前DDoS攻击检测,是通过对大网流量的进行抽样检测,每经过5000个报文选取一个作为样本,再由样本对流量进行还原,得到的还原波形存在较大的失真,很多变化的细节丢失,导致攻击判定过程复杂,需要分钟级完成。
2.一刀切式的判定门限,粒度较粗,较小流量的攻击很难发现。受限于攻击检测系统服务器的资源及性能限制,采样精度的提升及门限的精细化提升较为困难。
针对这两大痛点,广东联通与华为紧密合作创新,将DDoS攻击检测能力下沉到核心路由器设备上,实现秒级的攻击处置。同时通过硬件结合AI算法,实现1:1的报文检测,对流量进行IP级粒度的建模,每用户每模型及判定门限攻击大大提升了检测精度。
目前,广东联通已验证了智能DDoS秒级防御技术的可行性,将该技术与现有基于NetFlow的DDoS攻击检测进行实测对比,证实了它更快更准的DDoS防御能力:传统的检测技术,在遭受攻击后,灵敏度较低,攻击61秒后才实现防御,业务长时间受损;而该技术实现2秒发现攻击、5秒完成流量清洗,成功保障业务的稳定运行。
面向未来,广东联通将与华为深入创新合作、加强技术探索,尤其包括核心路由器AI算法对攻击者进行动态建模和画像,评估最优情报处置手段,高效、准确处置潜在威胁,同时通过对大网设备攻击感知及威胁挖掘,持续迭代完善,携手伙伴共建全网安全情报信息源。 
