近日，天翼安全科技有限公司（中國電信安全公司，以下簡稱“電信安全”）、中國電信股份有限公司江蘇分公司（以下簡稱“江蘇電信”） 與華為共同宣布基于NetEngine 5000E集群路由器完成了DDoS攻擊“閃防”解決方案商用試點，標志著中國電信業務安全能力邁上新臺階，DDoS攻擊“閃防”解決方案向產品化邁出堅實的一步。

DDoS攻擊成本持續降低，導致攻擊規模持續增長。2023年，電信安全團隊監測并成功防護了年度最大帶寬DDoS攻擊，其峰值帶寬達到2.505Tbps，攻擊目標IP位于江蘇電信網絡。同時，電信安全團隊監測平臺數據顯示，DDoS攻擊在攻擊速度和攻擊時間上呈現出“短平快”的特征：

大流量攻擊持續秒級加速：瞬時泛洪攻擊2秒流量即可爬升至近500Gbps，10秒即可爬升至900Gbps-1Tbps區間，挑戰防御系統響應速度。

攻擊呈現瞬時泛洪態勢：56.25%的網絡層攻擊持續時間不超過5分鐘，可見“瞬時泛洪”依然是網絡層攻擊的一大特點，瞬時泛洪攻擊挑戰防御系統的自動化程度和運維團隊的響應速度。

傳統防御方式采用抽樣檢測和固定攻擊門限的方式，難以應對“短平快”的DDoS攻擊：

抽樣檢測：對網絡流量進行抽樣檢測，因為很多細節丟失，對樣本還原后，得到的還原波形存在一定的失真，導致部分攻擊判定困難，影響攻擊防護效果。

攻擊門限固定：傳統的攻擊檢測，攻擊門限只能設置成統一的固定值。由于不同業務流量差異較大，為了避免誤報，需要設置較大的攻擊門限，導致一些流量較小的攻擊被漏檢。

圖1：攻擊判定門限對比

電信安全針對“短平快”的DDoS攻擊，電信安全與華為合作創新，在江蘇電信率先完成DDoS攻擊“閃防”解決方案商用試點。DDoS秒級防御技術（“閃防”），將DDoS攻擊識別能力集成到集群路由器NetEngine 5000E上，依托其強大的硬件能力結合嵌入式AI（EAI）算法，對流量進行1：1采樣檢測，采用AI動態學習算法對報文速率、包長、微突發等行為進行毫秒級分析統計，實現秒級發現DDoS攻擊；同時基于不同IP流量，動態設置攻擊判定門限，解決了統一門限的漏檢問題，大大提升了檢測精度。

目前，在江蘇電信進行的DDoS“閃防”商用試點結果表明，在遭受DDoS攻擊后，DDoS“閃防”技術實現2秒內發現攻擊、10秒內完成攻擊防御，成功保障了業務的穩定運行。

面向算力時代，華為將持續和中國電信合作創新，立足云網融合，深化骨干網DDoS“閃防”解決方案在骨干網絡的應用，共同推進在網絡安全創新和技術的發展，助力中國電信打造極致安全的算力網絡，共同構筑國家算力關鍵基礎設施安全底座。