華為Anti-DDoS解決方案基于華為頗具傳統優勢的專業軟硬件平臺開發，在防護機制中，引入先進的檢測機制，提供了業內首創的“V-ISA”信譽安全體系，是業界唯一單機可提供超百G DDoS防御能力的產品，它為運營商、企業及數據中心提供了全面精準的防御新型DDoS攻擊的利器。

1、“V-ISA”信譽安全體系運行原理

“V-ISA”信譽安全體系運行原理如下：在正常情況下，系統進行3/4/7層流量模型學習，建立被防護IP的業務訪問模型，包括源的訪問模型。防御則是基于正常業務模型和流量統計結果對比，快速發現異常。同時，為避免防御對客戶體驗的影響，在流量模型學習過程中，系統會對信譽較好的TopN訪問流量的客戶進行信譽加分。當安全事件來臨時，要保障高信譽的用戶訪問快速通過，以提升訪問體驗，同時又能對超過源訪問基線的可疑源采用信譽認證、行為分析、會話信譽等檢測機制實現精準識別，可識別的攻擊包括：通過僵尸網絡發起的偽造源攻擊、真實源攻擊和模擬正常用戶訪問的慢速、慢鏈接攻擊等。通過“V-ISA”信譽安全機制，可實現“既不冤枉好人，也不放過任何一個壞人”。

2、“V-ISA”信譽安全體系構成

華為“V-ISA”信譽檢測體系包括：V(Virtual)，華為DDoS異常流量清洗系統可針對云計算的多租戶場景進行安全防護和安全運營;I(IP)，提供基于IP信譽機制的僵尸網絡防御;S(Session)，提供基于會話信譽的慢速攻擊防御;A(Application)，提供基于行為信譽的應用攻擊防御。

基于多租戶的DDoS防護和運營：華為DDoS異常流量清洗系統的防護對象天然和云計算環境下的租戶概念相對應，系統提供客戶化的防御策略、防御閾值配置和報表呈現，提供運營場景下的客戶化報表定期自動發送、客戶報表自助Portal。

基于IP信譽機制的僵尸網絡防御：通過各類僵尸網絡挖掘技術、DDoS攻擊防御時產生的黑名單等，形成僵尸網絡控制機及肉雞IP地址庫，根據IP活躍時間評估僵尸網絡主機活躍時間，將活躍的主機地址作為惡意流量過濾地址列表。

這種技術采用對惡意流量直接過濾的方式，不用對源再次進行認證，避免了認證技術對正常業務的影響。而且，在傳統認證技術對移動網絡應用還不適用的今天，這種直接過濾技術對于移動僵尸網絡的防御也提供了新的思路。

同時，為了避免防御影響客戶體驗，華為DDoS異常流量清洗系統還廣泛使用了客戶訪問信譽，在攻擊未發生時，將流量高且行為正常的客戶IP納入IP信譽列表，確保防御開啟后，該類客戶的流量能快速轉發。該防御技術如果被應用于移動應用防御場景和移動終端訪問的電子商務網站防御場景，不僅會提升防御效率，而且能最大限度降低防御誤判率。

基于會話信譽的慢速攻擊防御：慢速攻擊、慢鏈接攻擊主要是針對基于TCP的應用發起的，這種攻擊往往利用大量僵尸主機發起，每個僵尸主機流量小，鏈接速度低，不容易被安全設備發覺，這類攻擊的典型代表有SSL-DoS/DDoS、HTTP slow headers/post attack、HTTP retransmission、Sockstress等。華為Anti-DDoS系統會對攻擊發生時能通過各類源認證、排除虛假源之后的可疑源建立會話表，在會話上記錄該源的各類標記指標，對源的異常會話行為進行統計分析，當異常次數超過預定義容忍度時，則對該源進行封堵。

這種防御方式的優勢是可精確區分出僵尸主機流量和正常用戶流量，不發生漏判、誤判現象，這一點，業界同類產品很難達到。華為是業界少有的幾家具有會話防御機制的廠商之一，可基于會話檢測各類會話異常攻擊。

基于行為信譽的應用攻擊防御：行為分析防御技術基于正常用戶訪問行為和僵尸網絡攻擊行為的不同來實施，正常用戶訪問行為的訪問資源是無序的、不固定的，訪問頻率紊亂;僵尸網絡攻擊行為則因攻擊主題是程序設計出來的，靠輪詢完成一系列攻擊動作，攻擊目標是精心選擇的，因此呈現出來的訪問行為是訪問資源固定、單一的，訪問頻率固定，單個源的pps可能不高，但QPS較高。

行為分析技術，只要行為模型準確，不會影響正常用戶體驗。而且防御流程中，行為分析往往和會話信譽技術、源認證技術相結合，能進一步提升防御精度。比如通過行為分析可找出通過傳輸協議層源認證但TCP訪問報文比率異常的攻擊源;固網HTTP服務器防護場景下，結合源行為分析僅對超過源訪問基線的可疑源實施重定向，在確保防御效果的同時，還可有效避免防御對智能終端訪問的影響，提升用戶體驗;同樣，DNS防御場景下，則通過行為分析找到被攻擊域名，對訪問被攻擊域名的可疑源實施源認證，減少防御對用戶訪問體驗的影響范圍。可見，行為分析需要納入分析的維度較多，而且經常需要對源實施，因此行為分析對設備性能有較高要求。一般安全廠商因成本和安全能力限制，很難做到精細化行為分析，因此也就不能做到精細化防護。華為的設備采用業界領先的多核分布式架構，單塊業務板卡集成4顆高性能的CPU，可實現應用層行為分析處理能力10G，這是業界多數同類廠商難以企及的。

總結

基于“V-ISA”信譽檢測體系，華為Anti-DDoS解決方案具備了強大的智能防護引擎，得以在系統內部集成DDoS防護必備的7層防護算法：畸形包過濾、特征過濾、虛假源認證、應用層認證、會話分析、行為分析和智能限速。畸形報文過濾針對違反協議標準的報文進行檢查和丟棄;特征過濾使用華為強大的指紋學習和匹配算法，可識別帶有指紋的攻擊流量，同時可針對自定義報文特征，如IP、端口等信息對報文進行過濾;虛假源認證和應用層源認證能驗證流量源IP的訪問意圖和真實性;會話分析和行為分析能針對TCP連接和應用DDoS攻擊的慢速、訪問頻率恒定、訪問資源單一的特點進行統計分析，對具有較強躲避效果的僵尸網絡DDoS攻擊有良好的防范效果;智能限速則可以針對大流量正常行為進行限制和控制，保證服務器的可用性。正是因為有了“V-ISA”信譽安全機制，華為Anti-DDoS解決方案可提供可信賴的7層完整防護，逐層對攻擊流量進行清洗過濾，實現對新型DDoS攻擊的全面防護，同時確保客戶業務訪問不受影響。