異常流量檢測(cè)也能“定制化”?——迪普科技Probe3000助您精準(zhǔn)定位檢測(cè)閾值

■ 背景介紹

面對(duì)日益嚴(yán)峻的DDoS攻擊,政企、金融、教育等用戶(hù)為確保業(yè)務(wù)的穩(wěn)定運(yùn)行,往往會(huì)購(gòu)買(mǎi)抗DDoS服務(wù)。運(yùn)營(yíng)商作為最大的異常流量清洗服務(wù)提供商,可以通過(guò)基于流量閾值、報(bào)文特征等方式進(jìn)行大流量DDoS攻擊防護(hù),同時(shí)也需要針對(duì)不同的用戶(hù)制定細(xì)粒度的檢測(cè)策略并提供相應(yīng)的防護(hù),為用戶(hù)提供更好的流量清洗服務(wù)。

在為用戶(hù)定制防護(hù)策略的過(guò)程中,流量檢測(cè)的閾值設(shè)定是重要的一環(huán),為此迪普科技Probe3000異常流量檢測(cè)產(chǎn)品在提供檢測(cè)策略模版的同時(shí)推出基于多維度的流量自學(xué)習(xí)功能,旨在提升流量檢測(cè)效率,為防護(hù)策略的制定提供可靠的數(shù)據(jù)支撐。

常見(jiàn)的流量自學(xué)習(xí)功能普遍將用戶(hù)的所有應(yīng)用視為一個(gè)整體防護(hù)對(duì)象,根據(jù)一天中整個(gè)防護(hù)對(duì)象的流量趨勢(shì)篩選出峰值流量進(jìn)行自學(xué)習(xí)計(jì)算。下圖為某傳統(tǒng)的檢測(cè)設(shè)備通過(guò)該算法得到的某用戶(hù)業(yè)務(wù)整體流量趨勢(shì)和相應(yīng)檢測(cè)閾值:

異常流量檢測(cè)也能“定制化”?——迪普科技Probe3000助您精準(zhǔn)定位檢測(cè)閾值

這樣的學(xué)習(xí)方式得到的結(jié)果雖然避免了固定閾值的“一刀切”式防護(hù),但仍然存在不可避免的缺陷:無(wú)法針對(duì)單個(gè)IP進(jìn)行流量分析、學(xué)習(xí)間隙過(guò)長(zhǎng)導(dǎo)致模型粗糙、特殊時(shí)間段(如凌晨、午休時(shí)間等)流量數(shù)據(jù)無(wú)參考價(jià)值、正常流量增長(zhǎng)誤報(bào)為攻擊等。

對(duì)此迪普科技對(duì)自學(xué)習(xí)算法進(jìn)行了優(yōu)化,從IP流量、高頻采樣以及多維度流量特征三個(gè)維度展開(kāi)學(xué)習(xí),提升檢測(cè)策略與用戶(hù)業(yè)務(wù)的粘合度。

■ IP流量自學(xué)習(xí)

該用戶(hù)的業(yè)務(wù)包含A、B、C三個(gè)IP,Probe3000產(chǎn)品可以對(duì)各IP的流量趨勢(shì)進(jìn)行單點(diǎn)學(xué)習(xí)并生成對(duì)應(yīng)的檢測(cè)閾值:

異常流量檢測(cè)也能“定制化”?——迪普科技Probe3000助您精準(zhǔn)定位檢測(cè)閾值

異常流量檢測(cè)也能“定制化”?——迪普科技Probe3000助您精準(zhǔn)定位檢測(cè)閾值

異常流量檢測(cè)也能“定制化”?——迪普科技Probe3000助您精準(zhǔn)定位檢測(cè)閾值

對(duì)比后不難發(fā)現(xiàn),基于整體流量趨勢(shì)計(jì)算得到的檢測(cè)閾值偏向C地址,該閾值對(duì)于A和B并沒(méi)有實(shí)質(zhì)性的效果。通過(guò)對(duì)單IP的流量分析和學(xué)習(xí),可以給出更具體的檢測(cè)閾值。

■ 高頻采樣 精確學(xué)習(xí)

為了解決學(xué)習(xí)間隙過(guò)長(zhǎng)導(dǎo)致采樣頻率過(guò)低,從而導(dǎo)致模型粗糙的問(wèn)題,Probe3000產(chǎn)品憑借精確的檢測(cè)算法和高性能硬件架構(gòu),將采樣頻率提高到分鐘級(jí)別,同時(shí)對(duì)于某些時(shí)間段內(nèi)不具備學(xué)習(xí)價(jià)值的流量,可以進(jìn)行相應(yīng)過(guò)濾,保證流量學(xué)習(xí)的精確性。

以下圖為例,在8:00到9:00期間,Probe3000產(chǎn)品采用每5分鐘學(xué)習(xí)一次的頻率對(duì)地址C制定的檢測(cè)閾值如下,經(jīng)對(duì)比后發(fā)現(xiàn),在明顯發(fā)現(xiàn)縮短學(xué)習(xí)頻率后,生成的檢測(cè)閾值在業(yè)務(wù)流量未達(dá)到默認(rèn)上限前設(shè)備策略始終在不斷進(jìn)行自我完善,很大程度降低了誤報(bào)的概率。

異常流量檢測(cè)也能“定制化”?——迪普科技Probe3000助您精準(zhǔn)定位檢測(cè)閾值

■ 多維度流量特征

互聯(lián)網(wǎng)應(yīng)用流量是由多種流量成分構(gòu)成的,僅基于總流量來(lái)描述流量模型是不精確的,可能會(huì)存在不超過(guò)總流量閾值但某特定流量成分發(fā)起的拒絕服務(wù)攻擊。如:正常應(yīng)用總流量為100M時(shí),SYN流量突增20M,雖然不會(huì)對(duì)總流量產(chǎn)生沖擊,但可能對(duì)TCP新建連接的性能產(chǎn)生影響。針對(duì)這樣的問(wèn)題,Probe3000產(chǎn)品可以深入到流量成分和協(xié)議層面進(jìn)行學(xué)習(xí),生成精確到具體流量類(lèi)型的檢測(cè)閾值。

繼續(xù)以C地址為例,流向該地址的各類(lèi)流量組成如下:

異常流量檢測(cè)也能“定制化”?——迪普科技Probe3000助您精準(zhǔn)定位檢測(cè)閾值

異常流量檢測(cè)也能“定制化”?——迪普科技Probe3000助您精準(zhǔn)定位檢測(cè)閾值

通過(guò)深入剖析流量組成類(lèi)型,當(dāng)Probe3000產(chǎn)品發(fā)現(xiàn)某種流量突增時(shí),會(huì)主動(dòng)停止對(duì)該部分異常流量的學(xué)習(xí)并產(chǎn)生告警信息,準(zhǔn)確定位隱藏在正常流量下的攻擊,通過(guò)對(duì)不同類(lèi)型流量設(shè)定相應(yīng)的流量閾值,可以降低漏報(bào)概率,避免檢測(cè)結(jié)果中出現(xiàn)漏網(wǎng)之魚(yú)。

通過(guò)高頻度、多維度、細(xì)粒度的流量自學(xué)習(xí)功能,可以幫助運(yùn)營(yíng)商的運(yùn)維工程師解決異常流量檢測(cè)閾值難調(diào)整,策略定制不準(zhǔn)確等問(wèn)題。在日常使用中,將固定檢測(cè)策略模版與自學(xué)習(xí)功能有效結(jié)合使用,可以更大程度的降低運(yùn)維難度,提高檢測(cè)精度,提升用戶(hù)使用滿(mǎn)意度。

目前,迪普科技異常流量檢測(cè)&清洗設(shè)備廣泛應(yīng)用于三大運(yùn)營(yíng)商,并于2019年獨(dú)家中標(biāo)中國(guó)移動(dòng)抗DDoS設(shè)備集中采購(gòu)、獨(dú)家中標(biāo)中國(guó)聯(lián)通“云盾抗DDoS平臺(tái)”新建工程項(xiàng)目。一直以來(lái),迪普科技始終致力于對(duì)自身產(chǎn)品功能及性能進(jìn)行優(yōu)化,同時(shí)不斷提高產(chǎn)品服務(wù)質(zhì)量,為客戶(hù)創(chuàng)造更大價(jià)值。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )