在DDoS攻擊期間，時(shí)間是無(wú)情的，成功防護(hù)和高成本網(wǎng)絡(luò)停機(jī)之間的區(qū)別只不過(guò)是幾秒鐘的時(shí)間。任何能縮短平均檢測(cè)攻擊時(shí)間（MTTD）和平均響應(yīng)攻擊時(shí)間（MTTR）的舉措都將成為您的優(yōu)勢(shì)所在。

在當(dāng)今的云和企業(yè)環(huán)境中尤其如此，在這些環(huán)境中，越來(lái)越依賴于互聯(lián)網(wǎng)連接和分布式應(yīng)用程序，再加上不斷變化的各種威脅，這些相互交織在一起的各種因素讓網(wǎng)絡(luò)和安全運(yùn)營(yíng)部門難以招架。安全部門正面臨越來(lái)越大的壓力，必須在時(shí)間非常緊迫的情況下，對(duì)哪些威脅是真實(shí)的，應(yīng)部署哪些防護(hù)措施及時(shí)做出嚴(yán)謹(jǐn)?shù)呐袛唷?/p>

這使得自動(dòng)化成為選擇DDoS防御解決方案時(shí)最優(yōu)先考慮的因素。合適的解決方案能夠及早發(fā)現(xiàn)攻擊，并在攻擊影響網(wǎng)絡(luò)服務(wù)之前自動(dòng)部署相應(yīng)的對(duì)抗措施，從而為您贏得寶貴的時(shí)間。自動(dòng)化措施必須能從根本上阻止攻擊，而不會(huì)阻斷合法的數(shù)據(jù)流，必須告知管理人員阻斷了什么以及為什么阻斷。換句話說(shuō)，自動(dòng)化措施要想有效，必須引導(dǎo)用戶找到正確答案，提供語(yǔ)境和支持分析，最重要的是整個(gè)過(guò)程是由人指導(dǎo)的，而不是“黑盒子”。

Arbor Networks DDoS解決方案以三種形式利用自動(dòng)化

內(nèi)置對(duì)抗措施——Arbor Networks APS，這是為企業(yè)和數(shù)據(jù)中心應(yīng)用提供的內(nèi)置不間斷DDoS緩和解決方案，集成了30多種內(nèi)置的自動(dòng)對(duì)抗措施，每一種都基于我們對(duì)攻擊場(chǎng)景的深刻體驗(yàn)和知識(shí)，檢測(cè)某種類型的攻擊并自動(dòng)進(jìn)行處理。當(dāng)APS檢測(cè)到出現(xiàn)了某種攻擊，例如TCP泛洪攻擊、被列入黑名單的主機(jī)或者來(lái)自一個(gè)主機(jī)的多次連接嘗試，它將自動(dòng)啟用或者禁用相應(yīng)的對(duì)抗措施，在不影響合法數(shù)據(jù)流的前提下，抵御這些攻擊，并提供詳細(xì)的分析結(jié)果，將事件上報(bào)。

如果剛部署APS便出現(xiàn)了攻擊，仍然能立即激活對(duì)抗措施，因?yàn)樗恍枰獙W(xué)習(xí)時(shí)間或者基本前提條件。雖然這些內(nèi)置的對(duì)抗措施被設(shè)計(jì)為能夠立即有效地工作，但也可以根據(jù)用戶的特殊安全策略和風(fēng)險(xiǎn)閾值，對(duì)觸發(fā)條件進(jìn)行定制配置。

動(dòng)態(tài)威脅情報(bào)——Arbor的主動(dòng)威脅級(jí)別分析系統(tǒng)（ATLAS – Active Threat Level Analysis System），這一世界上覆蓋范圍最廣的威脅情報(bào)收集平臺(tái)能夠近乎實(shí)時(shí)地查看全球互聯(lián)網(wǎng)威脅活動(dòng)。不僅僅是收集和分析數(shù)據(jù)，Arbor安全工程和響應(yīng)團(tuán)隊(duì)（ASERT – Arbor’s Security Engineering & Response Team）整理這些威脅情報(bào)，通過(guò)ATLAS情報(bào)傳送（AIF – ATLAS Intelligence Feed）系統(tǒng)直接發(fā)送到Arbor APS和Arbor SP/TMS情報(bào)DDoS攻擊防護(hù)系統(tǒng)中，將其應(yīng)用于威脅策略和對(duì)抗措施模板中。

AIF包含與不同類型威脅相關(guān)聯(lián)的規(guī)則表，每種類型都有相關(guān)的風(fēng)險(xiǎn)級(jí)別（高、中和低），并隨著新的威脅策略和規(guī)則的發(fā)展而不斷更新Arbor部署。例如，如果APS檢測(cè)到與主動(dòng)威脅策略相匹配的可疑流量，它會(huì)自動(dòng)阻斷這些數(shù)據(jù)流，并在實(shí)時(shí)報(bào)告中說(shuō)明阻斷了什么及其原因。

云信令——安全專家越來(lái)越多地推薦分層或者混合DDoS保護(hù)策略，這種策略結(jié)合了本地和基于云的攻擊防護(hù)能力，最大限度地提高效能。這給企業(yè)提供了可擴(kuò)展的防御解決方案，能夠應(yīng)對(duì)不同類型和規(guī)模的攻擊。Arbor提供了支持這種混合方法的全線產(chǎn)品。
本地保護(hù)能夠立即檢測(cè)到大部分通常針對(duì)防火墻、IPS系統(tǒng)和網(wǎng)絡(luò)周邊設(shè)備的小規(guī)模“低層、慢速”攻擊，而在云端服務(wù)提供商級(jí)別上能很好的抵御規(guī)模較大的攻擊。要想有效地挫敗這些多層攻擊需要兩種防御組件同步工作。

云信令是Arbor的一種機(jī)制，通過(guò)它，本地組件（Arbor APS）實(shí)時(shí)與服務(wù)提供商的云組件（Arbor SP/TMS、Arbor云）進(jìn)行通信，使攻擊數(shù)據(jù)和防護(hù)措施同步。如果本地的攻擊流量增大到用戶設(shè)定的臨界值，云信令(Cloud Signaling)會(huì)自動(dòng)觸發(fā)基于云的DDoS攻擊防護(hù)對(duì)抗措施，共享被阻斷的IP和濫用類型等攻擊數(shù)據(jù)。當(dāng)安全運(yùn)營(yíng)商看到威脅越來(lái)越嚴(yán)重時(shí)，也可以人工啟動(dòng)云信令。Arbor的混合解決方案使網(wǎng)絡(luò)和安全部門能夠非常靈活的配置和調(diào)整他們的云信令策略。

智能對(duì)抗措施自動(dòng)化

這主要涉及到檢測(cè)和防護(hù)速度。通過(guò)自動(dòng)化措施，出現(xiàn)攻擊時(shí)可以不需要人的參與，從而提高了安全部門的工作效率——但前提是具備了適當(dāng)?shù)木W(wǎng)絡(luò)可見性。

市場(chǎng)上的很多DDoS解決方案在很大程度上依賴于所謂“一勞永逸”的自動(dòng)化措施，這需要大量的基本前提條件和知識(shí)學(xué)習(xí)，但在很多情況下仍然無(wú)法區(qū)分真正的攻擊和激增的合法流量，而且?guī)缀鯖]有攻擊分析能力。這種方法有三方面的缺點(diǎn)：誤觸發(fā)，阻斷有效的客戶會(huì)話，以及缺少可見性。

因此，重要的一點(diǎn)是選擇一種智能DDoS攻擊防護(hù)解決方案，能夠迅速、自動(dòng)的區(qū)分實(shí)際攻擊和流量激增，當(dāng)出現(xiàn)攻擊時(shí)，動(dòng)態(tài)的啟用或者禁用相應(yīng)的對(duì)抗措施。隨著DDoS攻擊越來(lái)越老練，攻擊方法層出不窮，而企業(yè)也越來(lái)越了解針對(duì)他們發(fā)起的攻擊的特性，因此，能夠靈活地更新、重新配置和完善自動(dòng)響應(yīng)功能也同樣重要。Arbor的智能但是由人指導(dǎo)的對(duì)抗措施、近乎實(shí)時(shí)的威脅情報(bào)傳送和云信令技術(shù)是基于業(yè)界對(duì)已知和新出現(xiàn)的DDo威脅的深入理解。利用這三項(xiàng)重要的DDoS最佳實(shí)踐舉措，企業(yè)和服務(wù)提供商能夠比以往更有效、更方便地保護(hù)他們的網(wǎng)絡(luò)。