摘要：攻防实战演练是对重点单位和关键网络信息基础设施的安全防护能力、应急处置能力和指挥调度能力的综合检验。实战演练中，不论攻击成功与否，攻击行为的载体只可能是网络流量。因此，网络流量分析，异常流量处置，追踪溯源技术可以说是防守方的一张王牌。本文基于智慧安全3.0理念体系，介绍绿盟科技抗拒绝服务团队基于客户攻防场景需求，利用AI机器学习，大数据关联，威胁情报库碰撞，基线自学习等多重技术，推出的一套集异常流量识别、分析、处置和追踪溯源为一体的解决方案。

一、一键封堵方案

闭环处置，智能管理

ADBOS：实现一键封堵功能从检测到处置的闭环管理。

批量封堵下发，敏捷高效

ADS策略封堵：一键封堵批量下发，单台10w+封堵策略，策略下发简单高效。

ADS黑名单封堵：100w+黑名单，业内领先，满足大、中、小型客户多场景需求。

NTA策略封堵：一键封堵批量下发，单台10w+封堵策略，封堵方案灵活，全面适配客户业务场景。

封堵精细化，DDoS防护最大化

ADS精细化封堵：ADS URL-ACL，基于源地址、目标地址、源端口、目标端口、协议信息对数据包进出过滤控制，使用成本低。

NTA精细化封堵：NTA Flowspec，基于源地址、目的地址、IP协议、源端口、目的端口、ICMP代码、TCP标志、流量速率（丢弃/巡视）、下一跳重定向、VRF重定向、DSCP标记进行过滤、限速，实现精细化防护。

二、异常流量检测及溯源方案

多方采样，高性能转发Flow

NTA-FLB设备可复制多份Flow数据，往不同目标发送，同时支持按自定义的采样比转发，不仅能满足监管方的监管需求，还能满足后端各类流量检测设备的分析需求。

500万Flow/s的高收发性能，完美适配骨干网级的大流量环境。

Flow去重技术，让流量分析更加准确可靠。

异常流量分析检测

NTA设备基于机器学习的数据包异常行为检测能力，可从端口、协议、源IP、地域、访问时间等多种维度抓取特征，可秒级自动识别20余种异常攻击。

动态调整阈值基线，保证数据检测结论的准确性和可靠性。

丰富的告警策略以及10万+的封堵策略，可帮助用户快速发现和处置异常流量。

具备超强适应能力的NTA不仅支持DPI和DFI两种检测模式，还支持VM、KVM等虚拟化环境部署，最高可达30万Flow/s的分析能力。

具备精准完整的溯源能力

MagicFlow平台统一集中管理分散的NTA设备，汇总各NTA异常检测数据，利用大数据技术，为客户分析和发现威胁，追踪攻击源。

平台不仅支持快速秒级溯源，还能长期存储原始Flow，以便用户溯源取证。

多级深度溯源功能可还原攻击链，帮助用户快速提取攻击路径，便于进一步处置。

平台级的挖矿识别、虚假源IP识别、隐蔽信道、暴力破解、蠕虫病毒识别等能力，进一步帮助客户构筑安全防线。