智云盾增强防护

更新时间：2025-12-02

1.概述

智云盾是百度自研DDoS监测和清洗系统，通过深度数据包和数据流分析技术，能够毫秒级检出DDoS攻击特征，在达到处置阈值后5秒内进行处置。通过特征过滤、攻击IP和IP威胁库等策略，有效防御应用型和流量型攻击，启用后实时生效。

该能力支撑百度搜索、地图、文心、萝卜快跑等业务防御DDoS攻击的同时，向购买高防EIP客户和邀请的高防IP客户开放，如您有使用需求可以前往工单系统联系我们开通。

流量型攻击全力防护：提供打不死的全力防护能力。支持定义启用防御的阈值或基于基线学习，达到阈值后自动牵引防御；
应用型攻击防御无上限：基于深度分析的全流量数据和流量基线模型，能够分钟级监控请求、连接等异常，达到阈值后在5秒内进行告警通告。支持手动和常态牵引防御，启用防御后能够通过JA3指纹、攻击IP、IP威胁库、Web特征等策略进行无上限CC攻击清洗防御；
态势报表：以态势大屏的形式，展示6大类30多项业务趋势数据，支持业务线、出口、IP等数据视角和下钻分析定位。

独有专利算法，可毫秒级识别主要攻击特征。

主要防御类型包括如下 5 大类：

流量型：SYN Flood、ACK Flood、SYN-ACK Flood、FIN/RST Flood、TCP Fragment Flood、UDP Flood、UDP Fragment Flood、ICMP Flood
应用型：DNS Query（Reply）Flood、DNS Cache Posing、DNS反射攻击、TCP connection Flood、TCP慢速连接攻击、Sockstress攻击、HTTP Flood、CC攻击、HTTP重传攻击、HTTP slow headers攻击、HTTP slow post攻击、Web应用威胁过滤、SIP Flood、HTTPS Flood、SSL DOS/DDoS
扫描窥探型：Port Scanning、IP Scanning、TRACERT Packet、IP Source Routing Packet Control、IP Routing Record Packet Control
协议漏洞型：IP Spoofing、Land、Fraggle、WinNuke、Ping of Death、Tear Drop、Smurf、IP Option、Oversized ICMP、DNS漏洞过滤、Fast-Flux、Botnet/Worms/hourse
协议选项型：ICMP redirection packet、ICMP unreachable packet、IP Timestamp Packet Control

精确检测是在防护平台的攻击检测系统的基础上，增加了精确检测的能力，实现了对DDoS攻击的精确检测。主要包括：

TCP连接追踪：连接跟踪将一个连接的状态信息存放在内存中，针对SYN，ACK，FIN，RST等TCP头标记出向流量和入向流量并保存在循环队列中,能够快速分析出TCP Flood攻击的具体方式。
反射精准匹配：对反射攻击，针对反射类型相应端口的UDP流量进行匹配，同时对协议头的特殊flag进行识别匹配，确保反射类型的准确性。

CC攻击检测通过观察业务本身的流量特征进行判定。除了使用基础阈值进行检测，防护系统加入了流量基线模型进行识别。

流量基线模型：对比历史基线数据，与历史同时间段内的流量基线进行对比，检测业务异常情况。为了更有效的识别CC攻击的发生，我们需要对正常的流量变化进行学习，得到一个未来时间内的预测趋势，利用实时流量与该趋势的区别大小来判断攻击的发生。
CC攻击判定：根据流量基线模型的学习结果，将预测基线与实际流量进行比对，若某一时刻变化的倍数超过预设值，我们判定为异常/CC攻击发生。

提供攻击源定位的能力，包括攻击源的真实地理位置，攻击手法，可用作后续取证。