近日，以“共建可信網絡標準體系，筑牢國家網絡安全屏障”為主題的中國聯通《可信網絡白皮書》發(fā)布會在北京隆重舉行，中國聯通廣東分公司(以下簡稱廣東聯通)網絡BG技術總監(jiān)薛強應邀與會并發(fā)表了題為《智能DDoS秒級防御創(chuàng)新技術》的主題演講，提出通過AI賦能網絡，提升大網安全的理念。

　　

 

　　中國聯通廣東分公司網絡BG技術總監(jiān)薛強發(fā)表主題演講

　　網絡連接數量的爆發(fā)式增長，使得DDoS攻擊的威脅也不斷攀升，在未來2 Trillion 連接的數字世界中，DDoS的威脅將指數級放大。而在近兩年，聯通云盾DDoS攻擊監(jiān)測平臺，也發(fā)現其攻擊態(tài)勢有了一些新的變化，包含兩個典型的特征：

　　1.大流量的攻擊持續(xù)呈秒級加速態(tài)勢，爬升速度再創(chuàng)新高，攻擊流量峰值爬升至800Gbps-1Tbps區(qū)間，2018年需要50秒、2021年需要20秒、2022年則僅需要10秒。

　　2.攻擊持續(xù)的時間越來越短，小于5分鐘的攻擊占比，從2021年的43%提升到2022年的57%，挑戰(zhàn)防御系統響應速度。

　　在DDoS的“短平快”的新戰(zhàn)法下，傳統抗D系統有些難以應對，主要有兩個原因：

　　1.當前DDoS攻擊檢測，是通過對大網流量的進行抽樣檢測，每經過5000個報文選取一個作為樣本，再由樣本對流量進行還原，得到的還原波形存在較大的失真，很多變化的細節(jié)丟失，導致攻擊判定過程復雜，需要分鐘級完成。

　　2.一刀切式的判定門限，粒度較粗，較小流量的攻擊很難發(fā)現。受限于攻擊檢測系統服務器的資源及性能限制，采樣精度的提升及門限的精細化提升較為困難。

　　針對這兩大痛點，廣東聯通與華為緊密合作創(chuàng)新，將DDoS攻擊檢測能力下沉到核心路由器設備上，實現秒級的攻擊處置。同時通過硬件結合AI算法，實現1：1的報文檢測，對流量進行IP級粒度的建模，每用戶每模型及判定門限攻擊大大提升了檢測精度。

　　目前，廣東聯通已驗證了智能DDoS秒級防御技術的可行性，將該技術與現有基于NetFlow的DDoS攻擊檢測進行實測對比，證實了它更快更準的DDoS防御能力：傳統的檢測技術，在遭受攻擊后，靈敏度較低，攻擊61秒后才實現防御，業(yè)務長時間受損;而該技術實現2秒發(fā)現攻擊、5秒完成流量清洗，成功保障業(yè)務的穩(wěn)定運行。

　　面向未來，廣東聯通將與華為深入創(chuàng)新合作、加強技術探索，尤其包括核心路由器AI算法對攻擊者進行動態(tài)建模和畫像，評估最優(yōu)情報處置手段，高效、準確處置潛在威脅，同時通過對大網設備攻擊感知及威脅挖掘，持續(xù)迭代完善，攜手伙伴共建全網安全情報信息源。