华为V-ISA信誉安全体系：对付新型DDoS攻击的利器

华为Anti-DDoS解决方案基于华为颇具传统优势的专业软硬件平台开发，在防护机制中，引入先进的检测机制，提供了业内首创的“V-ISA”信誉安全体系，是业界唯一单机可提供超百G DDoS防御能力的产品，它为运营商、企业及数据中心提供了全面精准的防御新型DDoS攻击的利器。

1、“V-ISA”信誉安全体系运行原理

“V-ISA”信誉安全体系运行原理如下：在正常情况下，系统进行3/4/7层流量模型学习，建立被防护IP的业务访问模型，包括源的访问模型。防御则是基于正常业务模型和流量统计结果对比，快速发现异常。同时，为避免防御对客户体验的影响，在流量模型学习过程中，系统会对信誉较好的TopN访问流量的客户进行信誉加分。当安全事件来临时，要保障高信誉的用户访问快速通过，以提升访问体验，同时又能对超过源访问基线的可疑源采用信誉认证、行为分析、会话信誉等检测机制实现精准识别，可识别的攻击包括：通过僵尸网络发起的伪造源攻击、真实源攻击和模拟正常用户访问的慢速、慢链接攻击等。通过“V-ISA”信誉安全机制，可实现“既不冤枉好人，也不放过任何一个坏人”。

2、“V-ISA”信誉安全体系构成

华为“V-ISA”信誉检测体系包括：V(Virtual)，华为DDoS异常流量清洗系统可针对云计算的多租户场景进行安全防护和安全运营;I(IP)，提供基于IP信誉机制的僵尸网络防御;S(Session)，提供基于会话信誉的慢速攻击防御;A(Application)，提供基于行为信誉的应用攻击防御。

基于多租户的DDoS防护和运营：华为DDoS异常流量清洗系统的防护对象天然和云计算环境下的租户概念相对应，系统提供客户化的防御策略、防御阈值配置和报表呈现，提供运营场景下的客户化报表定期自动发送、客户报表自助Portal。

基于IP信誉机制的僵尸网络防御：通过各类僵尸网络挖掘技术、DDoS攻击防御时产生的黑名单等，形成僵尸网络控制机及肉鸡IP地址库，根据IP活跃时间评估僵尸网络主机活跃时间，将活跃的主机地址作为恶意流量过滤地址列表。

这种技术采用对恶意流量直接过滤的方式，不用对源再次进行认证，避免了认证技术对正常业务的影响。而且，在传统认证技术对移动网络应用还不适用的今天，这种直接过滤技术对于移动僵尸网络的防御也提供了新的思路。

同时，为了避免防御影响客户体验，华为DDoS异常流量清洗系统还广泛使用了客户访问信誉，在攻击未发生时，将流量高且行为正常的客户IP纳入IP信誉列表，确保防御开启后，该类客户的流量能快速转发。该防御技术如果被应用于移动应用防御场景和移动终端访问的电子商务网站防御场景，不仅会提升防御效率，而且能最大限度降低防御误判率。

基于会话信誉的慢速攻击防御：慢速攻击、慢链接攻击主要是针对基于TCP的应用发起的，这种攻击往往利用大量僵尸主机发起，每个僵尸主机流量小，链接速度低，不容易被安全设备发觉，这类攻击的典型代表有SSL-DoS/DDoS、HTTP slow headers/post attack、HTTP retransmission、Sockstress等。华为Anti-DDoS系统会对攻击发生时能通过各类源认证、排除虚假源之后的可疑源建立会话表，在会话上记录该源的各类标记指标，对源的异常会话行为进行统计分析，当异常次数超过预定义容忍度时，则对该源进行封堵。

这种防御方式的优势是可精确区分出僵尸主机流量和正常用户流量，不发生漏判、误判现象，这一点，业界同类产品很难达到。华为是业界少有的几家具有会话防御机制的厂商之一，可基于会话检测各类会话异常攻击。

基于行为信誉的应用攻击防御：行为分析防御技术基于正常用户访问行为和僵尸网络攻击行为的不同来实施，正常用户访问行为的访问资源是无序的、不固定的，访问频率紊乱;僵尸网络攻击行为则因攻击主题是程序设计出来的，靠轮询完成一系列攻击动作，攻击目标是精心选择的，因此呈现出来的访问行为是访问资源固定、单一的，访问频率固定，单个源的pps可能不高，但QPS较高。

行为分析技术，只要行为模型准确，不会影响正常用户体验。而且防御流程中，行为分析往往和会话信誉技术、源认证技术相结合，能进一步提升防御精度。比如通过行为分析可找出通过传输协议层源认证但TCP访问报文比率异常的攻击源;固网HTTP服务器防护场景下，结合源行为分析仅对超过源访问基线的可疑源实施重定向，在确保防御效果的同时，还可有效避免防御对智能终端访问的影响，提升用户体验;同样，DNS防御场景下，则通过行为分析找到被攻击域名，对访问被攻击域名的可疑源实施源认证，减少防御对用户访问体验的影响范围。可见，行为分析需要纳入分析的维度较多，而且经常需要对源实施，因此行为分析对设备性能有较高要求。一般安全厂商因成本和安全能力限制，很难做到精细化行为分析，因此也就不能做到精细化防护。华为的设备采用业界领先的多核分布式架构，单块业务板卡集成4颗高性能的CPU，可实现应用层行为分析处理能力10G，这是业界多数同类厂商难以企及的。

总结

基于“V-ISA”信誉检测体系，华为Anti-DDoS解决方案具备了强大的智能防护引擎，得以在系统内部集成DDoS防护必备的7层防护算法：畸形包过滤、特征过滤、虚假源认证、应用层认证、会话分析、行为分析和智能限速。畸形报文过滤针对违反协议标准的报文进行检查和丢弃;特征过滤使用华为强大的指纹学习和匹配算法，可识别带有指纹的攻击流量，同时可针对自定义报文特征，如IP、端口等信息对报文进行过滤;虚假源认证和应用层源认证能验证流量源IP的访问意图和真实性;会话分析和行为分析能针对TCP连接和应用DDoS攻击的慢速、访问频率恒定、访问资源单一的特点进行统计分析，对具有较强躲避效果的僵尸网络DDoS攻击有良好的防范效果;智能限速则可以针对大流量正常行为进行限制和控制，保证服务器的可用性。正是因为有了“V-ISA”信誉安全机制，华为Anti-DDoS解决方案可提供可信赖的7层完整防护，逐层对攻击流量进行清洗过滤，实现对新型DDoS攻击的全面防护，同时确保客户业务访问不受影响。