ファーウェイのアンチDDoSソリューションは、伝統的な優位性を持つファーウェイのプロフェッショナルなハードウェアおよびソフトウェアプラットフォームを基盤としており、保護メカニズムでは、先進的な検出メカニズムを導入し、業界初の「V-ISA」レピュテーション・セキュリティ・システムを提供します。これは、スタンドアロンで100ギガバイト(Gigabytes)を超えるDDoS防御を提供できる業界唯一の製品であり、キャリア、企業、データセンターに対して、新たなDDoS攻撃に対する包括的かつ正確な防御を提供します、企業やデータセンターは、新しいDDoS攻撃に対する包括的で正確な防御を提供されます。
1.評判セキュリティシステム「V-ISA」の動作原理
V-ISA」レピュテーション・セキュリティ・システムの動作原理は以下の通りです:通常時、システムは3/4/7レイヤーのトラフィック・モデルを学習し、ソース・アクセス・モデルを含む保護IPのビジネス・アクセス・モデルを確立します。防御は、正常なビジネスモデルとトラフィック統計の比較に基づき、異常を迅速に発見します。一方、防御による顧客体験への影響を回避するため、システムはトラフィックモデル学習プロセス中に、TopNアクセストラフィックが優れている顧客に評価ポイントを追加します。セキュリティ・イベントが発生した場合、高評価ユーザーのアクセスを迅速に通過させ、アクセス・エクスペリエンスを向上させる必要があると同時に、レピュテーション認証、振る舞い分析、セッション・レピュテーションなどの検出メカニズムを利用することで、ソース・アクセス・ベースラインを超える不審なソースを正確に特定することが可能です。特定可能な攻撃には、ボットネットによって開始される偽造ソース攻撃、本物のソース攻撃、通常ユーザーのアクセスをシミュレートした低速のスローリンク攻撃などがあります。V-ISA」レピュテーション・セキュリティ・メカニズムにより、「善人を冤罪にしない、悪人を助けない」という目標を達成することができます。
2.V-ISAの信頼性とセキュリティ・システムの構成
ファーウェイの「V-ISA」レピュテーション検出システムには、クラウド・コンピューティングのマルチテナント・シナリオにおけるセキュリティ保護とセキュリティ運用のためのファーウェイのDDoS異常トラフィック浄化システムであるV(バーチャル)、IPレピュテーション・メカニズムに基づくボットネット防御を提供するI(IP)、セッション・レピュテーションに基づく低速攻撃防御を提供するS(セッション)、行動レピュテーションに基づくアプリケーション攻撃防御を提供するA(アプリケーション)が含まれます。セッションレピュテーションに基づく低速攻撃防御を提供するS(Session)、ビヘイビアレピュテーションに基づくアプリケーション攻撃防御を提供するA(Application)。
マルチテナントベースのDDoS保護と運用:ファーウェイのDDoS異常トラフィック浄化システムの保護対象は、クラウドコンピューティング環境におけるテナントの概念に自然に対応しており、システムはカスタマイズされた防御ポリシー、防御しきい値の設定、レポートの提示を提供するだけでなく、運用シナリオではカスタマイズされたレポートの定期的な自動配信と顧客レポートのセルフサービスポータルを提供します。
IPレピュテーションメカニズムに基づくボットネット防御:様々なボットネットマイニング技術、DDoS攻撃防御時に生成されるブラックリストなどを通じて、ボットネットコントローラーとブロイラーのIPアドレスデータベースを形成し、アクティブなボットネットホストをIPアクティブ時間に応じて評価し、アクティブなホストアドレスを悪質トラフィックのフィルタリングアドレスリストとして使用します。
この技術では、送信元を再度認証することなく、悪意のあるトラフィックを直接フィルタリングすることで、認証技術が通常のビジネスに与える影響を回避します。さらに、このダイレクトフィルタリング技術は、従来の認証技術がモバイルネットワークアプリケーションにまだ適用できない今日の世界において、モバイルボットネットの防御のための新しいアイデアも提供します。
一方、ファーウェイのDDoS異常トラフィック・クリーニング・システムは、防御が顧客のエクスペリエンスに影響を与えないよう、顧客のアクセス・レピュテーションも幅広く利用しています。これは、攻撃が発生していないときに、トラフィックが多く、正常な動作をする顧客のIPをIPレピュテーション・リストに組み込み、防御がオンになったときに、そのような顧客のトラフィックを迅速に転送できるようにするものです。この防御技術をモバイルアプリケーションの防御シナリオや携帯端末からアクセスするECサイトの防御シナリオに適用すれば、防御効率を高めるだけでなく、防御の誤算率を最小化することができます。
セッションレピュテーションベースの低速攻撃防御:低速攻撃、低速リンク攻撃は主にTCPベースのアプリケーションに対して行われ、この攻撃は多くの場合、多数のゾンビホストを使用して開始され、各ゾンビホストのトラフィックは小さく、リンク速度が低いため、セキュリティ機器によって検出されにくく、このタイプの攻撃の代表的なSSL-DoS/DDoS、HTTP低速ヘッダー/ポストSSL-DoS/DDoS、HTTPスローヘッダ/ポスト攻撃、HTTP再送、Sockstressなどが代表的な攻撃です。ファーウェイのアンチDDoSシステムは、攻撃時にあらゆるタイプのソース認証を通過し、偽のソースを除外できる疑わしいソースのセッションテーブルを作成し、セッション上のソースのあらゆるタイプのマーキング指標を記録し、ソースの異常なセッション動作の統計分析を実行し、異常の数が事前に定義された許容レベルを超えた場合にソースをブロックします。
この防御方法の利点は、ボットホストのトラフィックと通常のユーザートラフィックを正確に区別でき、抜けや誤検知がないことです。ファーウェイは、セッションに基づいてあらゆるタイプのセッション異常攻撃を検出するセッション防御メカニズムを持つ、業界では数少ないベンダーの1つです。
行動評価ベースのアプリケーション攻撃防御:行動分析防御技術は、通常のユーザーのアクセス行動とボットネット攻撃行動の違いに基づいて実装され、通常のユーザーのアクセス行動は、無秩序な、固定されていないアクセスリソース、アクセス頻度の乱れであり、ボットネット攻撃行動は、攻撃テーマは、一連の攻撃行動を完了するためにポーリングに依存して、プログラムによって設計されているため、攻撃対象は慎重に選択され、提示されたアクセス行動は、アクセスリソースが固定され、単一であり、アクセス頻度が固定されています。アクセス動作は固定、単一のアクセスリソース、固定アクセス頻度であり、単一のソースのppsは高くないかもしれませんが、QPSは高いです。
行動分析技術は、行動モデルが正確である限り、通常のユーザーエクスペリエンスに影響を与えません。さらに、防御プロセスでは、行動分析がセッションレピュテーション技術やソース認証技術と組み合わされることが多く、防御精度をさらに高めることができます。例えば、挙動分析により、トランスポートプロトコルレイヤーのソース認証はパスするが、TCPアクセスメッセージの比率が異常な攻撃ソースを発見することができます。固定ネットワークのHTTPサーバ防御シナリオでは、ソース挙動分析と組み合わせることにより、ソースアクセスベースラインを超える疑わしいソースに対してのみリダイレクトを実施し、防御効果を確保するとともに、インテリジェント端末のアクセスに対する防御の影響を効果的に回避し、ユーザエクスペリエンスを向上させることができます。同様に、NS防御シナリオでは、行動分析によって攻撃されたドメイン名を見つけ、攻撃されたドメイン名にアクセスする不審なソースに対してソース認証を実装することで、防御がユーザのアクセス体験に与える影響の範囲を縮小します。このように、振る舞い分析では、より多くの側面を分析に取り込む必要があり、また、多くの場合、ソースに実装する必要があるため、振る舞い分析は機器性能に対する要求が高いことがわかります。一般的なセキュリティ・ベンダーでは、コストやセキュリティ機能の制約から、きめ細かな挙動分析を実現することは難しく、きめ細かな保護を実現することはできません。ファーウェイの機器は、業界をリードするマルチコア分散アーキテクチャを採用しており、1つのビジネスボードに4つの高性能PUを統合することで、アプリケーション層の振る舞い分析処理能力を0Gにすることができます。
概要
V-ISA」レピュテーション検知システムに基づくファーウェイのアンチDDoSソリューションは、DDoS防御に必要な7層の防御アルゴリズム(不正パケットフィルタリング、フィーチャーフィルタリング、誤送信元認証、アプリケーション層認証、セッション分析、振る舞い分析、インテリジェント速度制限)を統合した強力なインテリジェント防御エンジンを備えています。不正パケットフィルタリング不正パケットフィルタリングは、プロトコル標準に違反するパケットをチェックして破棄します。フィーチャーフィルタリングは、ファーウェイの強力なフィンガープリント学習およびマッチングアルゴリズムを使用して、攻撃トラフィックをフィンガープリントで識別すると同時に、IP、ポート、その他の情報などのカスタムパケット特性でパケットをフィルタリングします。偽ソース認証およびアプリケーション層ソース認証は、トラフィックソースIPのアクセス意図とその真正性を検証します。TCP接続とアプリケーションDDoS攻撃のセッション分析と動作分析は、遅い、一定のアクセス頻度、統計分析のための単一のリソースへのアクセス、強い回避効果を持つボットネットDDoS攻撃は、良好な予防効果を持っています。インテリジェントな速度制限は、サーバーの可用性を確保するために、大規模なトラフィックの通常の動作を制限し、制御するために使用することができます。V-ISA」レピュテーション・セキュリティ・メカニズムにより、ファーウェイのDDoS対策ソリューションは信頼性の高い7レイヤー完全防御を提供し、攻撃トラフィックをレイヤーごとに浄化・フィルタリングすることで、新たなDDoS攻撃に対する包括的な防御を実現するとともに、顧客のビジネス・アクセスに影響を与えないようにします。
