ICS 35.040 CCS L80 YD 中华人民共和国通信行业标准 YD/T XXXXX —XXXX 抗DDoS智能检测系统技术要求 Technical requirements for anti-DDoS artificial intelligent detection system （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部 发布YD/T XXXXX—XXXX I目  次 前 言 ............................................................................... II 1 范围 .................................................................................. 1 2 规范性引用文件 ........................................................................ 1 3 术语和定义 ............................................................................ 1 4 缩略语 ................................................................................ 1 5 抗DDoS智能检测系统流程 ............................................................... 1 6 功能要求 .............................................................................. 2 6.1 数据采集 .......................................................................... 2 6.2 数据处理及建模分析 ................................................................ 3 6.3 两级防护告警机制 .................................................................. 3 6.4 智能动态阈值调整 .................................................................. 4 6.5 联动检测机制 ...................................................................... 5 6.6 可视化展示 ........................................................................ 6 6.7 知识库要求 ........................................................................ 6 7 性能要求 .............................................................................. 6 8 安全要求 .............................................................................. 6 8.1 数据采集安全要求 .................................................................. 6 8.2 数据保存和使用要求 ................................................................ 6 附　录　A （资料性） DOTS框架下使用智能检测做阈值调整的流程和方法示例 ................. 7 GB/T XXXXX—XXXX II前 言 本文件按照 GB/T1.1-2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位 ：中国移动通信集团有限公司、恒安嘉新 （北京）科技股份公司、华为技术有限公 司、北京天融信网络安全技术有限公司。 本文件主要起草人：杨振刚、何申、粟栗、杜海涛、陈美玲、冉鹏、胡悦、周开宇、王龑。 YD/T XXXXX—XXXX 1抗DDoS智能检测系统技术要求 1　范围 本文件规定了抗 DDoS智能检测系统的功能要求和性能要求， 包括：数据采集、数据处理、数据智能 分析、智能化告警机制及处置能力等方面。 本文件适用于运营商 、抗DDoS设备厂商进行 DDoS攻击智能检测分析及处置的设备与系统建设 ，可指 导相关产品的设计、研发和选型过程。 2　规范性引用文件 本文件没有规范性引用文件。 3　术语和定义 下列术语和定义适用于本文件。 3.1　 DDoS攻击　distributed denial of service 一种分布的、协同的大规模 DoS攻击方式，利用网络协议和操作系统的一些缺陷，将处于不同位置 的多个攻击者联合起来 ，对一个或多个目标服务发动网络带宽或系统资源消耗攻击 ，导致网络或系统不 胜负荷而停止提供正常的网络服务。 3.2　深度报文检测 　deep packet inspection ，DPI 一种基于数据包的深度检测技术 ，针对不同的网络应用层载荷 （例如HTTP、DNS等）进行深度检测 。 3.3　深度流检测 　deep flow inspection ，DFI 一种基于流量行为的应用识别技术，以流为基本研究对象，从庞大的网络流数据中提取流的特征 ， 比如流大小、流速度等。 4　缩略语 下列缩略语适用于本文件。 BPS： 每秒传送的比特 (bit)数（bits per second） DOTS：DDoS开放威胁信令（ DDoS Open Threat Signaling ） PPS： 每秒传送数据包数（packet per second） 5　抗DDoS智能检测系统流程 抗DDoS智能检测系统主要由数据采集、数据处理及建模分析、两级防护告警、智能动态阈值调整 、 联动检测、可视化 6个过程组成，如图 1所示。智能检测系统示例见附录 A。 GB/T XXXXX—XXXX 2 图1　抗DDoS智能检测系统过程 数据采集 ：系统的数据源来自系统接入的抗 DDoS设备，数据采集范围为网络中路由交换设备转发的 数据包、发出日志信息等。通过统计、汇总、计算，为系统智能检测及处置提供基础数据来源； 数据处理 ：，通过数据还原、清洗，形成格式化数据，分析数据之间关联关系，并建立流量预测模 型，预测未来流量趋势； 防护机制：两级防护告警，通过防护对象中，防护组和防护 IP两级划分，实现两级防护告警机制 ； 动态阈值 ：通过建立流量智能预测模型，结合动态调整算法，形成与时序、业务模型结合的动态告 警阈值基线，并进行动态阈值设置； 联动检测 ，针对防护对象进行特征属性分析 ，实现防护对象间相似度分析及分类 ，以联动模式实现 防护对象间攻击检测规则或者能力同步。 可视化展示 ：将数据分析结果，影响等采用多维度多角度的方式进行展现，从而方便对整个 DDoS攻 击态势观测。 6　功能要求 6.1　数据采集 6.1.1　采集方式及类型 应支持DPI逐包数据采集，对所有报文进行全流量的检测，进行逐一的统计和分析，需要包括但不 限于如下信息：报文的五元组、长度、 TCP Flag，流量统计信息、报文信息，包括 TCP会话行为，应用 层协议信息（ HTTP、HTTPS、DNS、SIP）和访问行为等； 应DFI逐流数据采集，对设备发出流量信息的抽样统计结果，进行日志级别的统计和分析，例如 Netflow，需要包括但不限于如下信息 ：报文五元组、长度、 TCP Flag、流量统计信息（包速率、带宽 ） 等； 其他统计信息：支持 BPS和PPS两种流量统计数据，对网络流量状态的实时分析时间粒度不大于 1分 钟； 6.1.2　数据采集与存储 应支持采集来自抗 DDoS设备部署网络中的 、与流量数据相关的信息 ，这些数据需以统一的格式进行 集中存储。 应支持流量采集信息的方式满足智能检测的处理需求，如采集方式上应支持实时采集、定期采集 ， 数据类型和采集周期应可根据用户需求进行定制； 应具备一定的安全机制保证存储数据的完整性和保密性； 流量采集数据与日志信息保存时间应不少于 1个月。 6.2　数据处理及建模分析 6.2.1　数据处理 YD/T XXXXX—XXXX 3应支持通过对初步采集的数据 ，进行脏数