华为助力电信安全公司和江苏电信实现DDoS攻击“闪防”能力

近日，天翼安全科技有限公司（中国电信安全公司，以下简称“电信安全”）、中国电信股份有限公司江苏分公司（以下简称“江苏电信”） 与华为共同宣布基于NetEngine 5000E集群路由器完成了DDoS攻击“闪防”解决方案商用试点，标志着中国电信业务安全能力迈上新台阶，DDoS攻击“闪防”解决方案向产品化迈出坚实的一步。

DDoS攻击成本持续降低，导致攻击规模持续增长。2023年，电信安全团队监测并成功防护了年度最大带宽DDoS攻击，其峰值带宽达到2.505Tbps，攻击目标IP位于江苏电信网络。同时，电信安全团队监测平台数据显示，DDoS攻击在攻击速度和攻击时间上呈现出“短平快”的特征：

大流量攻击持续秒级加速：瞬时泛洪攻击2秒流量即可爬升至近500Gbps，10秒即可爬升至900Gbps-1Tbps区间，挑战防御系统响应速度。

攻击呈现瞬时泛洪态势：56.25%的网络层攻击持续时间不超过5分钟，可见“瞬时泛洪”依然是网络层攻击的一大特点，瞬时泛洪攻击挑战防御系统的自动化程度和运维团队的响应速度。

传统防御方式采用抽样检测和固定攻击门限的方式，难以应对“短平快”的DDoS攻击：

抽样检测：对网络流量进行抽样检测，因为很多细节丢失，对样本还原后，得到的还原波形存在一定的失真，导致部分攻击判定困难，影响攻击防护效果。

攻击门限固定：传统的攻击检测，攻击门限只能设置成统一的固定值。由于不同业务流量差异较大，为了避免误报，需要设置较大的攻击门限，导致一些流量较小的攻击被漏检。

图1：攻击判定门限对比

电信安全针对“短平快”的DDoS攻击，电信安全与华为合作创新，在江苏电信率先完成DDoS攻击“闪防”解决方案商用试点。DDoS秒级防御技术（“闪防”），将DDoS攻击识别能力集成到集群路由器NetEngine 5000E上，依托其强大的硬件能力结合嵌入式AI（EAI）算法，对流量进行1：1采样检测，采用AI动态学习算法对报文速率、包长、微突发等行为进行毫秒级分析统计，实现秒级发现DDoS攻击；同时基于不同IP流量，动态设置攻击判定门限，解决了统一门限的漏检问题，大大提升了检测精度。

目前，在江苏电信进行的DDoS“闪防”商用试点结果表明，在遭受DDoS攻击后，DDoS“闪防”技术实现2秒内发现攻击、10秒内完成攻击防御，成功保障了业务的稳定运行。

面向算力时代，华为将持续和中国电信合作创新，立足云网融合，深化骨干网DDoS“闪防”解决方案在骨干网络的应用，共同推进在网络安全创新和技术的发展，助力中国电信打造极致安全的算力网络，共同构筑国家算力关键基础设施安全底座。