DDoS安全的新变革

关键要点

• DDoS攻击检测面临传统方法的局限性。
• 大数据、人工智能（AI）和机器学习（ML）是提升DDoS检测和应对能力的关键技术。
• 实现快速、准确的DDoS检测需要全面的网络流量视角。
• 自动化检测与应对能显著提高网络安全性并降低误报率。

随着网络环境的演变，DDoS（分布式拒绝服务）安全领域也在不断变化。过去二十多年，DDoS攻击的检测依赖于硬件探测器或深度包检测（DPI），通过观察特定网络接口的流量模式和协议异常，寻找超出带宽和数据包强度阈值的网络流量。然而，随着网络流量的端到端加密、互联网和服务提供商网络之间数据交换量的急剧增加以及网络边缘数量的增加，这些传统的DDoS安全方法面临着前所未有的挑战。

传统解决方案在快速、准确地检测新型复杂攻击方面变得愈加无能为力，并且其千兆级别的扩展能力也伴随着高昂的成本。换句话说，过时的DDoS安全方法在应对现代复杂和高端攻击时，显得越来越低效。

利用大数据提升DDoS检测

大数据、人工智能（AI）和机器学习（ML）可以帮助我们更好地理解网络流量，从而快速识别和检测DDoS威胁。如今，DDoS攻击不仅来自服务提供商网络的外部，也可能来源于内部。因此，我们需要对DDoS安全进行全方位的考量。新出现的攻击向量例如僵尸网络，使得威胁面扩展至企业和家庭客户，以及服务提供商基础设施。

区分“良好”与“恶劣”流量并不仅仅是保持网络正常运作的操作性问题。未能在几秒内做出这一区分，可能导致连接中断或服务中断的重大损失。做出特定网络流量是DDoS流量还是正常流量的准确判断，需要网络所有者对其网络内外的流量有全面和广泛的视角。只有当互联网安全的更大背景与网络相关信息相重叠时，我们才能掌握网络动态，准确检测恶意流量，并迅速做出减轻损害的决策。

值得庆幸的是，网络路由器已经进化为能够有效进行主要流量路由和转发任务的复杂工具，能够实时生成大量的遥测数据，提供所“见”的所有流量流动信息。这些数据为基于大数据的网络分析提供了来源。在DDoS安全中，运用大数据方法可以实现更快速、更准确的DDoS检测及灵活的应对。

AI/ML: DDoS检测的先锋

安全团队可以训练和ML以识别网络流量异常、模式和趋势，这是人类难以辨别或需要极长时间才能发现的。与其他大数据应用类似，依然面临一些挑战。

首先，安全团队必须拥有大量数据集，尽量真实地代表网络的实际情况。拥有额外的互联网安全相关背景能够大有帮助，这种知识可以提供更广泛的安全视角，告知反复出现的恶意模式、尝试和历史技术。

其次，我们需要人类智能（HI）——一组专家，负责剖析和分析DDoS攻击，并教导AI/ML识别何种流量是“良好”或“恶劣”。得到人类智能的指导后，AI/ML能够识别出可能指示攻击发生的数据模式。

借助大规模高质量的数据集，以及实时处理网络数据的AI/ML技术，基于最新大数据的DDoS安全解决方案可以帮助我们更早、更准确地发现威胁。

大数据、AI和ML还可以创建更复杂的网络防御系统。由于所有网络的特性各不相同，对特定DDoS攻击（或多重并发攻击）的缓解需要考虑网络实际上具备的能力，以抵消DDoS威胁。

AI/ML可以帮助创建针对特定网络和服务提供商需求及目标的优化