信息安全

安全能力交换协同应对DDoS

在互联网诞生之初,网络安全问题也伴随出现,攻击与防御一直都处于此消彼长、相生相克的状态,其中以 DDoS 分布式拒绝服务攻击最甚。

根据2018年第一季度 DDoS 报告统计显示,DDoS 攻击了79个国家,DDoS 网络攻击已成全球化趋势,攻击者与受害者的数量大幅增长,长期攻击的数量也不断增加,单次攻击最长历时297小时。


![](https://linuxstory.org/wp-content/uploads/2018/07/Picture1.png)

2018年Q1 DDoS攻击态势一览图

安全形势的急剧恶化也催生出了海量的安全需求,大量安全厂商及网络运营商都投身到这场全球性的安全对抗战役中,但是随着网络攻击在规模、复杂性及量级方面的不断扩大,越来越多的网络安全厂商及运营商感觉到“力不从心”,大家都意识到应对现今的网络攻击已不是一家公司或单一组织可以解决的。协作,必将成为未来网络安全领域最重要的发展方向。

通过建立合作共赢的安全能力交换网,在一个多元化的分布式安全防御架构中,整合网络运营商、网络安全厂商、安全服务提供商等企业资源,并根据自身所能贡献的安全资源(如 IP,带宽,机柜等)、安全产品(如防火墙、Anti-DDoS、IDPS 等)、安全人才(如白帽子)和安全威胁情报进行对接协作,是目前最佳的协作防御合作模式。通过整合这些安全能力去有效扭转当下分布式安全网络中各自为阵,单打独斗的情况,同时帮助厂商从受限于自身产品性能的瓶颈中释放并扩大其安全能力,协调多方冗余资源,即可有效提高安全服务能力。


![](https://linuxstory.org/wp-content/uploads/2018/07/Picture2.png)

安全能力交换网示意图

*SECC:基于区块链技术的可信安全交换协议*

安全能力交换网络的实现离不开底层架构的搭建。而在安全市场上,基于Intel开源项目 DPDK 的底层防御架构已成为典型的安全应用实践之一。

DPDK 本身是为数据面快速做报文处理的应用程序提供的一套简洁的框架,同时它也提供了一部分示例指导使用者如何创建自身的应用程序。由于其中公开的代码是可迭代的,安全厂商可以经过理解之后构建自身对包转发的逻辑或者建立自身的协议栈,减少由于原有内核转发带来的开销,从而达到快速转发提高性能的目的。

通过使用自研发的协议栈绕过了 Linux 的内核协议栈,并且采用多核扩展的处理架构,保证了多台设备在同时使用的情况下可以尽可能减少由于存储体共用、抢占总线等影响并发处理的因素。同时,在考虑多核扩展的处理问题上,根据 CPU 的亲缘性把操作和程序处理绑定到了特定的内核上,并且尽量减少远端内存访问的情况,降低线程之间的等待时间,避免资源竞争带来的性能损耗。

现已有行业内的安全厂商利用这套底层架构进行底层防御的再研发,例如青松云安全推出的底层防御架构 HADES——基于Intel开放的 DPDK 套件,在x86架构上实现针对 DDoS 攻击的秒级识别和精准清洗,可将普通服务器转化为具有 DDoS 清洗能力的安全设备。同时,为了改善上文中所提到的安全行业单打独斗、各自为营的现状,这套架构支持接入安全能力交换网络,为解决能力网中的 DDoS 防御需求提供强大力量。已加入的安全厂商各有侧重,在安全能力交换网中分别贡献诸如清洗、检测、威胁情报等等的多种能力。


![](https://linuxstory.org/wp-content/uploads/2018/07/Picture3.png)

此外,安全厂商尝试将区块链技术引入安全能力交换网络,以解决各厂商在协作过程中可能涉及的一些信任问题,是对能力网络的一次全新升级。合作伙伴可通过底层防御架构对本地或异地安全资源进行自主调配及复用,向其他合作方贡献或索取冗余资源,形成连接全球的安全能力网络。利用区块链技术对安全能力与价值交换进行完整追溯,对产生的安全结果进行确权,有力促进安全能力交换网的日常协作,最大化利用协同的力量共同抵御黑客攻击,才能实现安全能力网的真正价值。


文本链接:https://linuxstory.org/security-capability-exchange-coordination-response-ddos

对这篇文章感觉如何?

太棒了
0
不错
0
爱死了
0
不太好
0
感觉很糟
0
雨落清风。心向阳

    You may also like

    Leave a reply

    您的电子邮箱地址不会被公开。

    此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

    More in:信息安全

    信息安全

    跳过开机密码!修改 Windows 10 登录密码 :-)

    设置密码来保护自己的电脑数据安全是非常必要的,开机密码能有效防止未经允许的人窥探自己的电脑。本文将介绍一种简单的在CMD模式(无需密码可进入)下简单的重置开机密码,并且保证数据原封不动,且安全有效,并提供防被破解方案。
    信息安全

    修复正向保密

    对于 TLS(保障网络通信提供安全及数据完整性的一种安全协议),可能最大的抱怨是, TLS 握手动作缓慢,传输加密会造成很多 CPU 开销。当然,如果配置正确这些都不是问题。最重要的通过 TLS 提高访客访问你网站的用户体验的一个特征是会话恢复。会话恢复是指当再一次连接到那些主机时,通过存储和重用以前的秘密信息。这大大减少了网络延迟和 CPU 的使用量。我们可以在网络服务器和代理中启用会话恢复,但是很容易违背正向保密。为了找出为什么有实际标准的 TLS 库(即 OpenSSL )会是一件坏事和如何避免搞砸 PFS ...
    信息安全

    福利发放!Google 提供免费 DDoS 攻击防护服务

    Google 的 Project Shield 旨在保护互联网上的新闻报道和言论自由,并且已经提供 DDoS 攻击的免费防护。DDoS(分布式拒绝服务)攻击,你可能知道它是通过分布式的海量流量来使目标网站宕机或响应延迟,许多网站深受其害。它经常被别有用心的用于针对某个网站的具体观点,这就是为什么 Google 推出能够保护新闻网站和人权网站(包括选举监督网站)的 Project Shield。目前,以上是可以申请保护的网站。该项目的目的是为小网站提供免受大规模流量攻击的可行选择,Google 通过自身的基础设施来过滤吸收这些恶意流量。