“云+端”共防DDoS攻击

　　——华为与Black Lotus展开全球合作

　　2014年12月20—21日，业务部署在阿里云上的一家知名游戏公司据称遭遇了互联网史上最大的一次DDoS(Distributed Denial of Service)攻击，攻击时间长达14个小时，攻击峰值流量达到每秒453.8Gb。如今，DDoS攻击越来越猖獗，造成的损失也越来越严重。在这种情况下，单纯依靠传统的DDoS安全设备，在企业一侧进行防御，已经不能够有效防御流量性攻击或应对频繁、复杂、多变的应用型安全攻击。

　　华为交换机与企业通信产品线副总裁刘立柱表示，从长远发展趋势看，为了更好地防御DDoS，用户必须在云端和企业端进行双重防护，特别是与云端防护相结合，才能实时、有效地进行流量型的引流清洗。与此相适应，安全设备和解决方案提供商也要与安全云服务提供商携手合作，共同应对DDoS恶意攻击可能带来的风险。

　　华为携手Black Lotus

　　华为近日与Black Lotus公司在北京签署了合作谅解备忘录(MoU)，双方将在DDoS攻击防护产品、防护技术研究、应急响应服务等方面建立全面的合作关系，并计划面向欧洲、亚太和北美市场提供抗DDoS服务。

　　双方的合作涉及技术研究、市场拓展等诸多领域。具体来看，在技术研究领域，华为将与Black Lotus公司共同研究新型DDoS攻击，计划联合推出《全球攻击趋势研究报告》；在市场拓展方面，双方将制定市场开发合作计划，以西欧市场为起点，逐步拓展并覆盖南太、澳洲、北美等区域，共同为全球的企业用户提供专业的DDoS防护安全服务。

　　Black Lotus是一家专注于为各种类型的企业客户提供专业DDoS防护服务的网络安全公司。Black Lotus已经在全球多个地方建立了流量清洗中心，提供按月计费的网络安全防护、业务安全防护和专用服务器托管业务。

　　华为与Black Lotus的合作会率先从欧洲市场起步。这一方面是因为欧洲的客户有迫切的DDoS安全防护需求；另一方面，这也符合华为全球化的策略，同时华为在欧洲也拥有大量数据中心的客户。“我们双方正在筹建位于荷兰阿姆斯特丹的流量清洗中心，并将在澳洲、亚太等区域合作构建流量清洗中心。”Black Lotus公司市场与业务领域副总裁 Frank Ip表示，“Black Lotus的混合DDoS攻击防护服务提供可扩展的基于云的DDoS防护，同时采用华为的Anti-DDoS应急响应服务和设备，确保客户可以防御任意规模的多重维度DDoS攻击。”双方的合作既可以为客户提供华为专业的Anti-DDoS产品，也可以让客户享受到Black Lotus专业的Anti-DDoS服务，可谓一举两得。

　　控制恶意攻击的源头

　　实际上，DDoS攻击并不是新话题，从上个世纪90年代开始，DDoS攻击已经引起了人们的高度关注。随着互联网、云计算的快速发展，以及DDoS攻击成本的逐渐降低，DDoS攻击开始泛滥。面对这种趋势，DDoS防御必须有效控制恶意攻击的源头，对网络流量进行实时清洗，才能保障客户业务的永续运行。

　　《华为2013年度安全研究报告》显示：DDoS攻击次数较2012年同比增长29.81%，其中HTTP应用性攻击占87.74%；超过72.91%的攻击流量大于1Gbps，最长攻击持续了349小时36分钟42秒。

　　刘立柱概括说，华为主要从以下三个方面应对DDoS的攻击：第一，华为具有T级的防护平台，无论是容量还是防护能力都居业界领先地位；第二，华为通过SDN技术，可以确保安全防护设备在客户端就能及时发现恶意流量的源头和攻击，并在源头进行流量清洗；第三，华为与合作伙伴一起共同打造云安全平台，以应对更多安全方面的问题。如今，华为的DDoS防御解决方案已经在全球范围内得到了广泛部署。腾讯、阿里巴巴、大量电信运营商、云服务提供商等都已经采用了华为的DDoS防御解决方案。

　　华为看好基于大数据分析的DDoS防护技术。华为目前拥有一支300多人的专业攻防团队，可以实时分析全球的安全事件，并可针对每一类新型DDoS构建数据模型，开发关联分析算法，以确保高的检出率。

　　刘立柱介绍说，华为基于大数据分析的DDoS防护解决方案具有以下特色。

　　第一，性能是大数据全流量采集与分析的基础。华为Anti-DDoS方案采用全流量分析方式、旁路部署，将进入防护网络的流量进行全流量检测，以确保防护网络流量模型学习和攻击检测的精准度。华为Anti-DDoS方案对防护网络进行60多种纬度的流量基线模型学习时，基于高性能多核CPU并行处理硬件，采用大数据处理技术，以确保基线学习的高效性。Anti-DDoS系统要做到轻松应对网络层攻击、应用层攻击、会话层威胁和各类慢速攻击，且做到秒级攻击响应延迟，必须依靠高性能的硬件平台，并在大数据全流量采集的前提下，实施多纬度的统计和检测。

　　第二，实施大数据DDoS检测，精准性与实时性两者缺一不可。攻击检测的精准度完全取决于流量模型的精细化程度。华为Anti-DDoS系统可实现从防护网段、防护目标IP、源IP三个纬度展开学习，按网络层次的不同可将统计点分为网络层、会话层、应用层三大纵向纬度。为提升检测精度、减少防御误判，华为Anti-DDoS系统还分别从网络层、会话层和应用层对TOPN访问源IP和访问资源进行学习。这些业务访问TOPN流量模型不仅可用来快速发现攻击，还可用于检验防御效果。基于会话的多纬度统计分析，结合行为分析技术进行关联分析、发现和防御各类慢速攻击是华为Anti-DDoS解决方案的特有技术。

　　为提升防御时的客户体验，华为Anti-DDoS系统采用会话纬度建立业务访问IP信誉体系，当攻击发生时，直接作为白名单，快速转发业务访问流量。为了应对越来越像正常用户业务访问的DDoS攻击，基于大数据的DDoS攻击检测必须确保攻击检测的精准，以确保快速响应攻击，同时还要确保防御的精准，不影响用户体验。

　　混合型防御

　　为了进一步提升安全服务响应速度，为客户提供更及时、安全的云安全服务，华为与Black Lotus达成合作，希望通过优势互补，为客户在企业侧和云端提供协同的云DDoS安全解决方案。具体来说，双方会基于DDoS防护方案，为客户提供云清洗服务和7×24小时的及时响应，并提供相关的安全解决方案和服务。“华为Anti-DDoS方案拥有全球活跃僵尸网络库和IP信誉库信息，可以提供高性能的Anti-DDoS产品。相信通过与Black Lotus的合作，华为Anti-DDoS的产品创新能力和全球威胁应急响应能力都将进一步提高，也会更容易被全球更多的企业客户所接受。”刘立柱表示。

　　Frank Ip表示：“现在的安全防御采用的都是混合型的解决方案，就是在客户端部署相关的安全设备，在云端由云安全服务商提供安全的网络服务，从而形成互补的解决方案。”华为与Black Lotus的合作也再次说明，不能把DDoS的防御看成是孤立的事件，或采用孤立的安全设备就能解决，而是要把相关的安全设备与云端的服务有机地结合在一起，通过实时的监控和网络流量清洗，从恶意攻击的源头就进行防御。

　　AntiDDoS8000系列是华为全新一代Anti-DDoS解决方案产品，它运用大数据分析技术，从60多个维度对网络流量进行抽象建模和信誉体系建设，相比传统的防护机制，可提供更精准、更全面的DDoS攻击防护。华为的Anti-DDoS解决方案已经在国内外很多用户中得到部署。经常被提及的典型案例就是阿里巴巴和腾讯，它们采用华为的Anti-DDoS解决方案实现了安全的互联网和电子商务服务。

　　本报记者 郭涛