華為Anti-DDoS解決方案基于華為頗具傳統(tǒng)優(yōu)勢的專業(yè)軟硬件平臺開發(fā)，在防護(hù)機(jī)制中，引入先進(jìn)的檢測機(jī)制，提供了業(yè)內(nèi)首創(chuàng)的“V-ISA”信譽(yù)安全體系，是業(yè)界唯一單機(jī)可提供超百G DDoS防御能力的產(chǎn)品，它為運營商、企業(yè)及數(shù)據(jù)中心提供了全面精準(zhǔn)的防御新型DDoS攻擊的利器。

1、“V-ISA”信譽(yù)安全體系運行原理

“V-ISA”信譽(yù)安全體系運行原理如下：在正常情況下，系統(tǒng)進(jìn)行3/4/7層流量模型學(xué)習(xí)，建立被防護(hù)IP的業(yè)務(wù)訪問模型，包括源的訪問模型。防御則是基于正常業(yè)務(wù)模型和流量統(tǒng)計結(jié)果對比，快速發(fā)現(xiàn)異常。同時，為避免防御對客戶體驗的影響，在流量模型學(xué)習(xí)過程中，系統(tǒng)會對信譽(yù)較好的TopN訪問流量的客戶進(jìn)行信譽(yù)加分。當(dāng)安全事件來臨時，要保障高信譽(yù)的用戶訪問快速通過，以提升訪問體驗，同時又能對超過源訪問基線的可疑源采用信譽(yù)認(rèn)證、行為分析、會話信譽(yù)等檢測機(jī)制實現(xiàn)精準(zhǔn)識別，可識別的攻擊包括：通過僵尸網(wǎng)絡(luò)發(fā)起的偽造源攻擊、真實源攻擊和模擬正常用戶訪問的慢速、慢鏈接攻擊等。通過“V-ISA”信譽(yù)安全機(jī)制，可實現(xiàn)“既不冤枉好人，也不放過任何一個壞人”。

2、“V-ISA”信譽(yù)安全體系構(gòu)成

華為“V-ISA”信譽(yù)檢測體系包括：V(Virtual)，華為DDoS異常流量清洗系統(tǒng)可針對云計算的多租戶場景進(jìn)行安全防護(hù)和安全運營;I(IP)，提供基于IP信譽(yù)機(jī)制的僵尸網(wǎng)絡(luò)防御;S(Session)，提供基于會話信譽(yù)的慢速攻擊防御;A(Application)，提供基于行為信譽(yù)的應(yīng)用攻擊防御。

基于多租戶的DDoS防護(hù)和運營：華為DDoS異常流量清洗系統(tǒng)的防護(hù)對象天然和云計算環(huán)境下的租戶概念相對應(yīng)，系統(tǒng)提供客戶化的防御策略、防御閾值配置和報表呈現(xiàn)，提供運營場景下的客戶化報表定期自動發(fā)送、客戶報表自助Portal。

基于IP信譽(yù)機(jī)制的僵尸網(wǎng)絡(luò)防御：通過各類僵尸網(wǎng)絡(luò)挖掘技術(shù)、DDoS攻擊防御時產(chǎn)生的黑名單等，形成僵尸網(wǎng)絡(luò)控制機(jī)及肉雞IP地址庫，根據(jù)IP活躍時間評估僵尸網(wǎng)絡(luò)主機(jī)活躍時間，將活躍的主機(jī)地址作為惡意流量過濾地址列表。

這種技術(shù)采用對惡意流量直接過濾的方式，不用對源再次進(jìn)行認(rèn)證，避免了認(rèn)證技術(shù)對正常業(yè)務(wù)的影響。而且，在傳統(tǒng)認(rèn)證技術(shù)對移動網(wǎng)絡(luò)應(yīng)用還不適用的今天，這種直接過濾技術(shù)對于移動僵尸網(wǎng)絡(luò)的防御也提供了新的思路。

同時，為了避免防御影響客戶體驗，華為DDoS異常流量清洗系統(tǒng)還廣泛使用了客戶訪問信譽(yù)，在攻擊未發(fā)生時，將流量高且行為正常的客戶IP納入IP信譽(yù)列表，確保防御開啟后，該類客戶的流量能快速轉(zhuǎn)發(fā)。該防御技術(shù)如果被應(yīng)用于移動應(yīng)用防御場景和移動終端訪問的電子商務(wù)網(wǎng)站防御場景，不僅會提升防御效率，而且能最大限度降低防御誤判率。

基于會話信譽(yù)的慢速攻擊防御：慢速攻擊、慢鏈接攻擊主要是針對基于TCP的應(yīng)用發(fā)起的，這種攻擊往往利用大量僵尸主機(jī)發(fā)起，每個僵尸主機(jī)流量小，鏈接速度低，不容易被安全設(shè)備發(fā)覺，這類攻擊的典型代表有SSL-DoS/DDoS、HTTP slow headers/post attack、HTTP retransmission、Sockstress等。華為Anti-DDoS系統(tǒng)會對攻擊發(fā)生時能通過各類源認(rèn)證、排除虛假源之后的可疑源建立會話表，在會話上記錄該源的各類標(biāo)記指標(biāo)，對源的異常會話行為進(jìn)行統(tǒng)計分析，當(dāng)異常次數(shù)超過預(yù)定義容忍度時，則對該源進(jìn)行封堵。

這種防御方式的優(yōu)勢是可精確區(qū)分出僵尸主機(jī)流量和正常用戶流量，不發(fā)生漏判、誤判現(xiàn)象，這一點，業(yè)界同類產(chǎn)品很難達(dá)到。華為是業(yè)界少有的幾家具有會話防御機(jī)制的廠商之一，可基于會話檢測各類會話異常攻擊。

基于行為信譽(yù)的應(yīng)用攻擊防御：行為分析防御技術(shù)基于正常用戶訪問行為和僵尸網(wǎng)絡(luò)攻擊行為的不同來實施，正常用戶訪問行為的訪問資源是無序的、不固定的，訪問頻率紊亂;僵尸網(wǎng)絡(luò)攻擊行為則因攻擊主題是程序設(shè)計出來的，靠輪詢完成一系列攻擊動作，攻擊目標(biāo)是精心選擇的，因此呈現(xiàn)出來的訪問行為是訪問資源固定、單一的，訪問頻率固定，單個源的pps可能不高，但QPS較高。

行為分析技術(shù)，只要行為模型準(zhǔn)確，不會影響正常用戶體驗。而且防御流程中，行為分析往往和會話信譽(yù)技術(shù)、源認(rèn)證技術(shù)相結(jié)合，能進(jìn)一步提升防御精度。比如通過行為分析可找出通過傳輸協(xié)議層源認(rèn)證但TCP訪問報文比率異常的攻擊源;固網(wǎng)HTTP服務(wù)器防護(hù)場景下，結(jié)合源行為分析僅對超過源訪問基線的可疑源實施重定向，在確保防御效果的同時，還可有效避免防御對智能終端訪問的影響，提升用戶體驗;同樣，DNS防御場景下，則通過行為分析找到被攻擊域名，對訪問被攻擊域名的可疑源實施源認(rèn)證，減少防御對用戶訪問體驗的影響范圍。可見，行為分析需要納入分析的維度較多，而且經(jīng)常需要對源實施，因此行為分析對設(shè)備性能有較高要求。一般安全廠商因成本和安全能力限制，很難做到精細(xì)化行為分析，因此也就不能做到精細(xì)化防護(hù)。華為的設(shè)備采用業(yè)界領(lǐng)先的多核分布式架構(gòu)，單塊業(yè)務(wù)板卡集成4顆高性能的CPU，可實現(xiàn)應(yīng)用層行為分析處理能力10G，這是業(yè)界多數(shù)同類廠商難以企及的。

總結(jié)

基于“V-ISA”信譽(yù)檢測體系，華為Anti-DDoS解決方案具備了強(qiáng)大的智能防護(hù)引擎，得以在系統(tǒng)內(nèi)部集成DDoS防護(hù)必備的7層防護(hù)算法：畸形包過濾、特征過濾、虛假源認(rèn)證、應(yīng)用層認(rèn)證、會話分析、行為分析和智能限速?；螆笪倪^濾針對違反協(xié)議標(biāo)準(zhǔn)的報文進(jìn)行檢查和丟棄;特征過濾使用華為強(qiáng)大的指紋學(xué)習(xí)和匹配算法，可識別帶有指紋的攻擊流量，同時可針對自定義報文特征，如IP、端口等信息對報文進(jìn)行過濾;虛假源認(rèn)證和應(yīng)用層源認(rèn)證能驗證流量源IP的訪問意圖和真實性;會話分析和行為分析能針對TCP連接和應(yīng)用DDoS攻擊的慢速、訪問頻率恒定、訪問資源單一的特點進(jìn)行統(tǒng)計分析，對具有較強(qiáng)躲避效果的僵尸網(wǎng)絡(luò)DDoS攻擊有良好的防范效果;智能限速則可以針對大流量正常行為進(jìn)行限制和控制，保證服務(wù)器的可用性。正是因為有了“V-ISA”信譽(yù)安全機(jī)制，華為Anti-DDoS解決方案可提供可信賴的7層完整防護(hù)，逐層對攻擊流量進(jìn)行清洗過濾，實現(xiàn)對新型DDoS攻擊的全面防護(hù)，同時確保客戶業(yè)務(wù)訪問不受影響。