一文带你深入了解何为“智能自动化”的DDoS防护

“自动”和智能自动化是两个不同的概念，如今的DDoS防护最佳做法需要智能自动化的本地和云端缓解策略。本地组件（置于防火墙和WAF等静态设备之前）非常适合快速缓解大部分攻击，尤其是难以检测的应用层攻击。云端DDoS防护能够在真正的上行容量耗尽攻击渗透您的互联网连接之前将其缓解。
混合DDoS防护部署将本地组件与云端缓解策略结合起来，为应对如今的混合DDoS攻击提供最全面的防护措施。从下面的例子可以看到智能自动化的意义所在。经过自定义的本地DDoS解决方案可以为在特定数据中心运行的特定应用提供保护。自定义的内容包括具有特定白名单/黑名单的策略、地理定位信息等。在攻击发生之前，或者说在和平时期，这些位于本地的自定义策略被持续发送到云端DDoS防护服务。
当本地防护无法应对发生的攻击时，云端DDoS防护会收到信号，此时，攻击流量被自动重路由到适当的云端清洗中心，在这里，之前发送的自定义防护策略和其他措施自动应用到攻击流量。这就是智能自动化的一个例子，攻击流量分流更加智能，并利用之前发送的自定义策略进行自动缓解。
可行的自动化威胁情报和利用自动化流程（如果可能）对快速检测和缓解今天日益复杂的混合DDoS攻击至关重要。企业只有通过更深入地了解攻击的范围和内在作用机理，才能实现快速、高效的DDoS防护。
真正可行的威胁情报具有以下特点：
• 持续提供企业之外的真实网络流量和威胁数据，流量样本越大，数据越有效。
• 根据环境对以上源数据进行优化处理：在数据点和相关的攻击活动和具体威胁之间建立对应关系。
• 高度可信。产生误报的情报不是真正的情报。
通过考察多种来源的网络攻击数据，集中分析持续性恶意软件的特征，真正可行的情报不仅识别单个威胁点，而且识别与攻击活动相关的数据。结合根本的命令和控制基础架构、历史记录以及相关的策略、技术和程序（TTP）等更广泛的环境，数据变得更加可靠。
这种可靠情报对实现更高自动化、更高速度的DDoS检测和有效防护至关重要。无论攻击的规模有多大，基于最新可行威胁情报的自动化识别都可以发挥作用，不需要等到威胁达到容量上限再启动缓解措施。您可以识别多种类型的DDoS攻击，包括“低频、慢速”的应用层攻击。自动检测特定类别的僵尸网络可以阻止它们危害网络，同时让其他安全设备能够发挥自身的作用。
许多DDoS防护措施可以实现自动化，例如阻止以带宽、应用和协议为目标的特定类型的攻击。自动化可以根据风险状况和可信度提供多级防护，与安全服务提供商或ISP沟通威胁检测和识别情况也可以实现自动化，从而提高上行DDoS缓解工作的速度和效率。通过结合使用可行情报和智能自动化流程，可以更好地管理如今的大容量攻击。自动化还能够让您更高效地部署安全资源，并将这些资源集中用于威胁分类：更快检测、识别和阻止真正威胁。
本文转自：https://www.zhuanqq.com/News/Industry/321.html