攻防論道之流量王牌|防守方如何實現一體化異常流量追溯

摘要：攻防實戰演練是對重點單位和關鍵網路資訊基礎設施的安全防護能力、應急處置能力和指揮排程能力的綜合檢驗。實戰演練中，不論攻擊成功與否，攻擊行為的載體只可能是網路流量。因此，網路流量分析，異常流量處置，追蹤溯源技術可以說是防守方的一張王牌。本文基於智慧安全3.0理念體系，介紹綠盟科技抗拒絕服務團隊基於客戶攻防場景需求，利用AI機器學習，大資料關聯，威脅情報庫碰撞，基線自學習等多重技術，推出的一套集異常流量識別、分析、處置和追蹤溯源為一體的解決方案。

一、一鍵封堵方案

閉環處置，智慧管理

ADBOS：實現一鍵封堵功能從檢測到處置的閉環管理。

批次封堵下發，敏捷高效

ADS策略封堵：一鍵封堵批次下發，單臺10w+封堵策略，策略下發簡單高效。

ADS黑名單封堵：100w+黑名單，業內領先，滿足大、中、小型客戶多場景需求。

NTA策略封堵：一鍵封堵批次下發，單臺10w+封堵策略，封堵方案靈活，全面適配客戶業務場景。

封堵精細化，DDoS防護最大化

ADS精細化封堵：ADS URL-ACL，基於源地址、目標地址、源埠、目標埠、協議資訊對資料包進出過濾控制，使用成本低。

NTA精細化封堵：NTA Flowspec，基於源地址、目的地址、IP協議、源埠、目的埠、ICMP程式碼、TCP標誌、流量速率（丟棄/巡視）、下一跳重定向、VRF重定向、DSCP標記進行過濾、限速，實現精細化防護。

二、異常流量檢測及溯源方案

多方取樣，高效能轉發Flow

NTA-FLB裝置可複製多份Flow資料，往不同目標傳送，同時支援按自定義的取樣比轉發，不僅能滿足監管方的監管需求，還能滿足後端各類流量檢測裝置的分析需求。

500萬Flow/s的高收發效能，完美適配骨幹網級的大流量環境。

Flow去重技術，讓流量分析更加準確可靠。

異常流量分析檢測

NTA裝置基於機器學習的資料包異常行為檢測能力，可從埠、協議、源IP、地域、訪問時間等多種維度抓取特徵，可秒級自動識別20餘種異常攻擊。

動態調整閾值基線，保證資料檢測結論的準確性和可靠性。

豐富的告警策略以及10萬+的封堵策略，可幫助使用者快速發現和處置異常流量。

具備超強適應能力的NTA不僅支援DPI和DFI兩種檢測模式，還支援VM、KVM等虛擬化環境部署，最高可達30萬Flow/s的分析能力。

具備精準完整的溯源能力

MagicFlow平臺統一集中管理分散的NTA裝置，彙總各NTA異常檢測資料，利用大資料技術，為客戶分析和發現威脅，追蹤攻擊源。

平臺不僅支援快速秒級溯源，還能長期儲存原始Flow，以便使用者溯源取證。

多級深度溯源功能可還原攻擊鏈，幫助使用者快速提取攻擊路徑，便於進一步處置。

平臺級的挖礦識別、虛假源IP識別、隱蔽通道、暴力破解、蠕蟲病毒識別等能力，進一步幫助客戶構築安全防線。