異常流量檢測也能“定制化”?——迪普科技Probe3000助您精準定位檢測閾值

■ 背景介紹

面對日益嚴峻的DDoS攻擊,政企、金融、教育等用戶為確保業(yè)務的穩(wěn)定運行,往往會購買抗DDoS服務。運營商作為最大的異常流量清洗服務提供商,可以通過基于流量閾值、報文特征等方式進行大流量DDoS攻擊防護,同時也需要針對不同的用戶制定細粒度的檢測策略并提供相應的防護,為用戶提供更好的流量清洗服務。

在為用戶定制防護策略的過程中,流量檢測的閾值設定是重要的一環(huán),為此迪普科技Probe3000異常流量檢測產(chǎn)品在提供檢測策略模版的同時推出基于多維度的流量自學習功能,旨在提升流量檢測效率,為防護策略的制定提供可靠的數(shù)據(jù)支撐。

常見的流量自學習功能普遍將用戶的所有應用視為一個整體防護對象,根據(jù)一天中整個防護對象的流量趨勢篩選出峰值流量進行自學習計算。下圖為某傳統(tǒng)的檢測設備通過該算法得到的某用戶業(yè)務整體流量趨勢和相應檢測閾值:

異常流量檢測也能“定制化”?——迪普科技Probe3000助您精準定位檢測閾值

這樣的學習方式得到的結果雖然避免了固定閾值的“一刀切”式防護,但仍然存在不可避免的缺陷:無法針對單個IP進行流量分析、學習間隙過長導致模型粗糙、特殊時間段(如凌晨、午休時間等)流量數(shù)據(jù)無參考價值、正常流量增長誤報為攻擊等。

對此迪普科技對自學習算法進行了優(yōu)化,從IP流量、高頻采樣以及多維度流量特征三個維度展開學習,提升檢測策略與用戶業(yè)務的粘合度。

■ IP流量自學習

該用戶的業(yè)務包含A、B、C三個IP,Probe3000產(chǎn)品可以對各IP的流量趨勢進行單點學習并生成對應的檢測閾值:

異常流量檢測也能“定制化”?——迪普科技Probe3000助您精準定位檢測閾值

異常流量檢測也能“定制化”?——迪普科技Probe3000助您精準定位檢測閾值

異常流量檢測也能“定制化”?——迪普科技Probe3000助您精準定位檢測閾值

對比后不難發(fā)現(xiàn),基于整體流量趨勢計算得到的檢測閾值偏向C地址,該閾值對于A和B并沒有實質(zhì)性的效果。通過對單IP的流量分析和學習,可以給出更具體的檢測閾值。

■ 高頻采樣 精確學習

為了解決學習間隙過長導致采樣頻率過低,從而導致模型粗糙的問題,Probe3000產(chǎn)品憑借精確的檢測算法和高性能硬件架構,將采樣頻率提高到分鐘級別,同時對于某些時間段內(nèi)不具備學習價值的流量,可以進行相應過濾,保證流量學習的精確性。

以下圖為例,在8:00到9:00期間,Probe3000產(chǎn)品采用每5分鐘學習一次的頻率對地址C制定的檢測閾值如下,經(jīng)對比后發(fā)現(xiàn),在明顯發(fā)現(xiàn)縮短學習頻率后,生成的檢測閾值在業(yè)務流量未達到默認上限前設備策略始終在不斷進行自我完善,很大程度降低了誤報的概率。

異常流量檢測也能“定制化”?——迪普科技Probe3000助您精準定位檢測閾值

■ 多維度流量特征

互聯(lián)網(wǎng)應用流量是由多種流量成分構成的,僅基于總流量來描述流量模型是不精確的,可能會存在不超過總流量閾值但某特定流量成分發(fā)起的拒絕服務攻擊。如:正常應用總流量為100M時,SYN流量突增20M,雖然不會對總流量產(chǎn)生沖擊,但可能對TCP新建連接的性能產(chǎn)生影響。針對這樣的問題,Probe3000產(chǎn)品可以深入到流量成分和協(xié)議層面進行學習,生成精確到具體流量類型的檢測閾值。

繼續(xù)以C地址為例,流向該地址的各類流量組成如下:

異常流量檢測也能“定制化”?——迪普科技Probe3000助您精準定位檢測閾值

異常流量檢測也能“定制化”?——迪普科技Probe3000助您精準定位檢測閾值

通過深入剖析流量組成類型,當Probe3000產(chǎn)品發(fā)現(xiàn)某種流量突增時,會主動停止對該部分異常流量的學習并產(chǎn)生告警信息,準確定位隱藏在正常流量下的攻擊,通過對不同類型流量設定相應的流量閾值,可以降低漏報概率,避免檢測結果中出現(xiàn)漏網(wǎng)之魚。

通過高頻度、多維度、細粒度的流量自學習功能,可以幫助運營商的運維工程師解決異常流量檢測閾值難調(diào)整,策略定制不準確等問題。在日常使用中,將固定檢測策略模版與自學習功能有效結合使用,可以更大程度的降低運維難度,提高檢測精度,提升用戶使用滿意度。

目前,迪普科技異常流量檢測&清洗設備廣泛應用于三大運營商,并于2019年獨家中標中國移動抗DDoS設備集中采購、獨家中標中國聯(lián)通“云盾抗DDoS平臺”新建工程項目。一直以來,迪普科技始終致力于對自身產(chǎn)品功能及性能進行優(yōu)化,同時不斷提高產(chǎn)品服務質(zhì)量,為客戶創(chuàng)造更大價值。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。 )