旁路设计、高度复合的数据采集能力、疏密有致的检测是应对高端网络异常流量管理的创新思路要旨。

    技术适时更新  异常流量减缩

    串接式设备举步维艰

    普通企业网络通常会采用类似于防火墙、IPS、DDoS过滤器等设备，通过在企业网边界点上的部署防止异常流量由低等级区域向关键区域渗透。然而，这种解决思路并不适合高端网络，主要表现如下：

    1．防火墙、DDos过滤器等串接设备显著降低高端网络的稳定性。大家知道，诸如防火墙或DDoS过滤器等设备工作重点在于提高系统安全性而非稳定性，其系统MTBF指标比主流网络设备要逊色许多。在高端网络区域边界点上部署此类设备将直接造成两个负面影响：一是人为增加了单一故障点，二是把高端网络整体稳定性直接拉低为DDoS过滤器设备本身的稳定性。因此，在高端网络上部署串联式设备是得不偿失的；

    2．串接设备难以提供足够的处理性能。高端网络动辄采用的万兆以上链路是现有串接设备难以望之项背的。一般FW、DDoS过滤器通常针对普通企业用户进行设计，其系统处理性能往往局限在10000M bps以下，因此无法提供与保护目标相称的处理能力；

    3．串接设备无法提供对应的接口类型。防火墙等过滤设备主要面向下游接入网络提供服务，网络接口基本局限为100/1000M以太链路，而作为中间互连通道的高端网络骨干链路中却广泛采用了10GE、OC-192 POS等规程，这对于构建在通用硬件平台上的DDoS过滤设备来难以配置相应接口板卡。

    正是由于传统串接防护设备显而易见的局限性，决定了其无法在高端网络中进行应用部署。

    网络设备捉襟见肘

    当寻求传统DDoS解决方案受挫后，高端网络运维部门转而在网络设备管理维护体系中进行尝试，采取的方式通常包括在网络路由设备中增加静态ACL、手动调整QoS流量整形策略等。但这似乎由一个极端走向了另一个极端，完全忽略了一个现实问题——以DDoS、蠕虫为代表的异常流量本质上是一种人VS人对垒的网络安全斗争，而非人VS机之间刻板的流量管理配置。这主要是由于以下原因造成的：

    1．ACL列表不可能事前得到异常流量特征。DDoS流量的源IP地址是极为分散的（这主要取决于Botnet），目的IP地址也并不固定（这是因为DDoS的真正目标并不在于目的IP所指向的网络单元，而是迫使DDoS流经的骨干链路遭受“池鱼之灾”即可），因此静态ACL过滤无法准确命中DDoS流量；

    2．异常流量无法通过简单的流量统计数字进行识别。一个简单的例子可以说明：同样是10K bps/s的ICMP ECHO流量，在5G bps/s背景负载情况下并不能说明什么问题，而对于5M bps/s的背景负载则几乎等同于一次Flooding攻击。因此，通过人工调整的流量整形策略无法在链路瞬息万变的各种流量比例关系中快速定位异常流量的发生；

    3． 网络设备难以识破异常流量的伪装。部分DDoS、蠕虫、P2P通信具备良好的伪装能力，能够混杂在正常业务应用中而使网络设备无法通过传输层以下的表象特征进行识别，这种应用层伪装能力已远远超出网络设备的能力范围。