DDOS多级防御系统-联云世纪

多级防御系统防御方法

Defenses of Multi-level defense system

近目标流量清洗

近目标策略防御

运营商近源压制

云端防御系统自带机器学习能力，在非DDoS攻击时段，将自动学习正常业务源IP地址，并以省为单位，列出TOP N省份，当攻击超过云端防御系统本身防护能力时，系统将自动调用运营商骨干网资源，在运营商网络边缘将国外流量、非关键业务省份流量全部封堵，将剩余流量回送到防御系统处理后，回至最终客户服务器

联云世纪通过在其IDC出口设置云端防御系统，在客户通过微信调用该服务时，利用BGP Anycast技术，将其攻击流量牵引至防御系统的相关防护组件处理，处理结束后，再通过隧道方式回注到客户网络。

DDoS攻击的规模没有上限，只会不断刷新记录，那么客户该购买多大的防护能力，以应对总是比防护更高的攻击规模？

(1) 云端防御系统自动学习每个客户的重点业务所在区域，并将其融入到安全防护策略。

(2)引入安全升级机制，当攻击超过客户购买的防护能力时，系统将自动调用运营商流量封堵接口，将访问该客户的所有来源进行分类，将国外访问、非重点省份流量做近源压制处理。

(3)上述操作后，将抑制超过90%的攻击流量，而对于业务的影响将控制在10%以内，剩余的DDoS攻击流量由云端防御系统处理，并转发至最终客户服务器。

当客户需要进行防护时，所有流量将流经防护系统进行处理，然后将正常业务流量送回客户服务器。

当客户没有开启防护时，所有流量不会流经防护系统，防护系统也无法对客户数据进行分析、窥探。

防护系统采用BGP协议与IDC网络互联，当防护系统内部出现故障时，将自动切断BGP邻居关系，从而停止防护，保证客户业务的可靠性，切换时间为秒级。

创新性的引入指纹识别技术，协助用户在其客户端软件的数据报文中插入安全标识。

系统的SafeEgnine防护引擎针对指定客户制定定制化安全策略，基于数据报文中的安全标识进行过滤。

当攻击发生时，防护系统自动识别带有指定安全标识的数据包，并将其正常转发，对于无标识数据报文，直接进行丢弃。