YDT 4580-2023抗DDoS智能检测系统技术要求.pdf

ICS 35.040 CCS L80 YD 中华人民共和国通信行业标准 YD/T XXXXX—XXXX 抗DDoS 智能检测系统技术要求 Technical requirements for anti-DDoS artificial intelligent detection system （报批稿） XXXX - XX - XX 发布 XXXX - XX - XX 实施 中华人民共和国工业和信息化部 发布 GB/T XXXXX—XXXX 前 言 本文件按照GB/T1.1-2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国移动通信集团有限公司、恒安嘉新 （北京）科技股份公司、华为技术有限公 司、北京天融信网络安全技术有限公司。 本文件主要起草人：杨振刚、何申、粟栗、杜海涛、陈美玲、冉鹏、胡悦、周开宇、王龑。 II YD/T XXXXX—XXXX 抗DDoS 智能检测系统技术要求 1 范围 本文件规定了抗DDoS智能检测系统的功能要求和性能要求，包括：数据采集、数据处理、数据智能 分析、智能化告警机制及处置能力等方面。 本文件适用于运营商、抗DDoS设备厂商进行DDoS攻击智能检测分析及处置的设备与系统建设，可指 导相关产品的设计、研发和选型过程。 2 规范性引用文件 本文件没有规范性引用文件。 3 术语和定义 下列术语和定义适用于本文件。 3.1 DDoS 攻击 d istributed denial of service 一种分布的、协同的大规模DoS攻击方式，利用网络协议和操作系统的一些缺陷，将处于不同位置 的多个攻击者联合起来，对一个或多个目标服务发动网络带宽或系统资源消耗攻击，导致网络或系统不 胜负荷而停止提供正常的网络服务。 3.2 深度报文检测 deep packet inspection，DPI 一种基于数据包的深度检测技术，针对不同的网络应用层载荷（例如HTTP、DNS等）进行深度检测。 3.3 深度流检测 deep flow inspection，DFI 一种基于流量行为的应用识别技术，以流为基本研究对象，从庞大的网络流数据中提取流的特征， 比如流大小、流速度等。 4 缩略语 下列缩略语适用于本文件。 BPS： 每秒传送的比特(bit)数（bits per second） DOTS：DDoS开放威胁信令（DDoS Open Threat Signaling） PPS： 每秒传送数据包数 （packet per second） 5 抗DDoS 智能检测系统流程 抗DDoS智能检测系统主要由数据采集、数据处理及建模分析、两级防护告警、智能动态阈值调整、 联动检测、可视化6个过程组成，如图1所示。智能检测系统示例见附录A。 1 GB/T XXXXX—XXXX 图1 抗DDoS智能检测系统过程 数据采集：系统的数据源来自系统接入的抗DDoS设备，数据采集范围为网络中路由交换设备转发的 数据包、发出日志信息等。通过统计、汇总、计算，为系统智能检测及处置提供基础数据来源； 数据处理：，通过数据还原、清洗，形成格式化数据，分析数据之间关联关系，并建立流量预测模 型，预测未来流量趋势； 防护机制：两级防护告警，通过防护对象中，防护组和防护IP两级