在DDoS攻擊期間，時間是無情的，成功防護和高成本網(wǎng)絡(luò)停機之間的區(qū)別只不過是幾秒鐘的時間。任何能縮短平均檢測攻擊時間（MTTD）和平均響應(yīng)攻擊時間（MTTR）的舉措都將成為您的優(yōu)勢所在。

在當(dāng)今的云和企業(yè)環(huán)境中尤其如此，在這些環(huán)境中，越來越依賴于互聯(lián)網(wǎng)連接和分布式應(yīng)用程序，再加上不斷變化的各種威脅，這些相互交織在一起的各種因素讓網(wǎng)絡(luò)和安全運營部門難以招架。安全部門正面臨越來越大的壓力，必須在時間非常緊迫的情況下，對哪些威脅是真實的，應(yīng)部署哪些防護措施及時做出嚴(yán)謹?shù)呐袛唷?/p>

這使得自動化成為選擇DDoS防御解決方案時最優(yōu)先考慮的因素。合適的解決方案能夠及早發(fā)現(xiàn)攻擊，并在攻擊影響網(wǎng)絡(luò)服務(wù)之前自動部署相應(yīng)的對抗措施，從而為您贏得寶貴的時間。自動化措施必須能從根本上阻止攻擊，而不會阻斷合法的數(shù)據(jù)流，必須告知管理人員阻斷了什么以及為什么阻斷。換句話說，自動化措施要想有效，必須引導(dǎo)用戶找到正確答案，提供語境和支持分析，最重要的是整個過程是由人指導(dǎo)的，而不是“黑盒子”。

Arbor Networks DDoS解決方案以三種形式利用自動化

內(nèi)置對抗措施——Arbor Networks APS，這是為企業(yè)和數(shù)據(jù)中心應(yīng)用提供的內(nèi)置不間斷DDoS緩和解決方案，集成了30多種內(nèi)置的自動對抗措施，每一種都基于我們對攻擊場景的深刻體驗和知識，檢測某種類型的攻擊并自動進行處理。當(dāng)APS檢測到出現(xiàn)了某種攻擊，例如TCP泛洪攻擊、被列入黑名單的主機或者來自一個主機的多次連接嘗試，它將自動啟用或者禁用相應(yīng)的對抗措施，在不影響合法數(shù)據(jù)流的前提下，抵御這些攻擊，并提供詳細的分析結(jié)果，將事件上報。

如果剛部署APS便出現(xiàn)了攻擊，仍然能立即激活對抗措施，因為它不需要學(xué)習(xí)時間或者基本前提條件。雖然這些內(nèi)置的對抗措施被設(shè)計為能夠立即有效地工作，但也可以根據(jù)用戶的特殊安全策略和風(fēng)險閾值，對觸發(fā)條件進行定制配置。

動態(tài)威脅情報——Arbor的主動威脅級別分析系統(tǒng)（ATLAS – Active Threat Level Analysis System），這一世界上覆蓋范圍最廣的威脅情報收集平臺能夠近乎實時地查看全球互聯(lián)網(wǎng)威脅活動。不僅僅是收集和分析數(shù)據(jù)，Arbor安全工程和響應(yīng)團隊（ASERT – Arbor’s Security Engineering & Response Team）整理這些威脅情報，通過ATLAS情報傳送（AIF – ATLAS Intelligence Feed）系統(tǒng)直接發(fā)送到Arbor APS和Arbor SP/TMS情報DDoS攻擊防護系統(tǒng)中，將其應(yīng)用于威脅策略和對抗措施模板中。

AIF包含與不同類型威脅相關(guān)聯(lián)的規(guī)則表，每種類型都有相關(guān)的風(fēng)險級別（高、中和低），并隨著新的威脅策略和規(guī)則的發(fā)展而不斷更新Arbor部署。例如，如果APS檢測到與主動威脅策略相匹配的可疑流量，它會自動阻斷這些數(shù)據(jù)流，并在實時報告中說明阻斷了什么及其原因。

云信令——安全專家越來越多地推薦分層或者混合DDoS保護策略，這種策略結(jié)合了本地和基于云的攻擊防護能力，最大限度地提高效能。這給企業(yè)提供了可擴展的防御解決方案，能夠應(yīng)對不同類型和規(guī)模的攻擊。Arbor提供了支持這種混合方法的全線產(chǎn)品。
本地保護能夠立即檢測到大部分通常針對防火墻、IPS系統(tǒng)和網(wǎng)絡(luò)周邊設(shè)備的小規(guī)模“低層、慢速”攻擊，而在云端服務(wù)提供商級別上能很好的抵御規(guī)模較大的攻擊。要想有效地挫敗這些多層攻擊需要兩種防御組件同步工作。

云信令是Arbor的一種機制，通過它，本地組件（Arbor APS）實時與服務(wù)提供商的云組件（Arbor SP/TMS、Arbor云）進行通信，使攻擊數(shù)據(jù)和防護措施同步。如果本地的攻擊流量增大到用戶設(shè)定的臨界值，云信令(Cloud Signaling)會自動觸發(fā)基于云的DDoS攻擊防護對抗措施，共享被阻斷的IP和濫用類型等攻擊數(shù)據(jù)。當(dāng)安全運營商看到威脅越來越嚴(yán)重時，也可以人工啟動云信令。Arbor的混合解決方案使網(wǎng)絡(luò)和安全部門能夠非常靈活的配置和調(diào)整他們的云信令策略。

智能對抗措施自動化

這主要涉及到檢測和防護速度。通過自動化措施，出現(xiàn)攻擊時可以不需要人的參與，從而提高了安全部門的工作效率——但前提是具備了適當(dāng)?shù)木W(wǎng)絡(luò)可見性。

市場上的很多DDoS解決方案在很大程度上依賴于所謂“一勞永逸”的自動化措施，這需要大量的基本前提條件和知識學(xué)習(xí)，但在很多情況下仍然無法區(qū)分真正的攻擊和激增的合法流量，而且?guī)缀鯖]有攻擊分析能力。這種方法有三方面的缺點：誤觸發(fā)，阻斷有效的客戶會話，以及缺少可見性。

因此，重要的一點是選擇一種智能DDoS攻擊防護解決方案，能夠迅速、自動的區(qū)分實際攻擊和流量激增，當(dāng)出現(xiàn)攻擊時，動態(tài)的啟用或者禁用相應(yīng)的對抗措施。隨著DDoS攻擊越來越老練，攻擊方法層出不窮，而企業(yè)也越來越了解針對他們發(fā)起的攻擊的特性，因此，能夠靈活地更新、重新配置和完善自動響應(yīng)功能也同樣重要。Arbor的智能但是由人指導(dǎo)的對抗措施、近乎實時的威脅情報傳送和云信令技術(shù)是基于業(yè)界對已知和新出現(xiàn)的DDo威脅的深入理解。利用這三項重要的DDoS最佳實踐舉措，企業(yè)和服務(wù)提供商能夠比以往更有效、更方便地保護他們的網(wǎng)絡(luò)。