本项目由知道创宇投递并参与“数据猿年度金猿策划活动——2021大数据产业创新服务企业榜单及奖项”评选。

内蒙古自治区公路路政执法监察总队作为内蒙古自治区交通运输厅直属单位，负责全区公路路政执法的组织、指导、监督等工作，依法维护路产、路权。为满足国家信息安全等级保护管理规范和技术标准，进行三级等保安全建设工作。

等级保护指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

第三级，监督保护级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。

内蒙古自治区公路路政执法监察总队在建设三级等保安全的工作中，采购我司“创宇ADS抗拒绝服务系统”硬件安全产品，以完善下一代信息基础设施，健全信息安全保障体系。

实施时间：

开始时间：2021年8月，针对标书要求，明确客户具体需求；

2021年9月，项目中标；

2021年11月，完成合同签署；

2021年11月，完成“创宇ADS抗拒绝服务系统”硬件设备发货；

2021年11月，完成“创宇ADS抗拒绝服务系统”硬件设备上架、安装、部署工作；

截止时间：2021年12月，产品实施完成，客户完成签收。

应用场景

内蒙古自治区公路路政执法监察总队作为内蒙古自治区交通运输厅直属单位，负责全区公路路政执法的组织、指导、监督等工作，依法维护路产、路权。

根据《信息系统安全等级保护基本要求》，信息系统的第三级安全保护是指，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

结合内蒙古自治区公路路政执法监察总队的工作职责，其中包括：承担全区高速公路联网收费运营管理服务和通行费的拆分、结算工作；规划、设计、布局联网电子不停车收费系统（ETC）；协调全区高速公路收费系统、监控系统软硬件的统一使用和维护工作；承担全区高速公路联网收费密钥管理和安全认证工作；承担高速公路的路况、通行信息的采集和发送工作等。

因此，内蒙古自治区公路路政执法监察总队需要进行三级等保建设工作。

创宇ADS抗拒绝服务系统作为一款硬件抗D产品，是知道创宇基于KSP操作系统⾃主研发的硬件抗DDoS攻击系统。通过部署在客户本地，实现对全局流量的监控与检测，并对DDoS攻击流量进⾏全⽅位多层次清洗。全⾯、精准抵御各类DDoS攻击，保障业务⾼可⽤性。满足了部分政企网络架构不适合上云的需求，具备全面自主可控的防护策略配置，正是网络安全建设的“刚需”产品。

面临挑战

从客户需求沟通到产品实施部署，过程中面临了如下挑战：

1、硬件产品较软件产品而言，多了硬件层面的需求，创宇ADS抗拒绝服务系统根据市场情况，推出了不同的硬件型号，对应不同的硬件配置。但本次案例，内蒙古自治区公路路政执法监察总队根据内部网络架构情况，提出了更多的网口需求，我司因此扩展网口，不断测试，最终经过验证，达成交付。在满足客户需求的同时，我司在后续的产品合作中，也积累了个性化定制的技术经验，也提升了产品的服务价值。

2、根据内蒙古自治区公路路政执法监察总队网络拓扑情况，进行串联部署的部署模式，需要进行一些部署模式相关的问题确认，对于较底层的技术问题，是网桥模式或是网关模式，都分别进行了验证，两种串联模式对应的网络情况不同，弄错则会导致业务不可用。

3、因疫情原因，产品的实施交付面临一定的困难，我司售后团队同本次项目的研发团队多次沟通，制定多个实施部署解决方案。针对本次交付的细节，也逐一确认沟通，以保证在产品交付的过程中完美无误。这体现了我司技术服务团队的专业性，是一支值得信赖的售后队伍。

以上挑战均在过程中逐一解决，无论是我司研发团队的技术能力，还是售后团队的服务能力，都为本次实施交付工作提供了技术支持保障，创宇ADS抗拒绝服务系统的产品实力也进一步提升。

应用技术与实施过程

分布式拒绝服务（Distributed Denial of Service，简称DDoS）是最常⻅的⽹络攻击之⼀。

攻击者通过控制不同位置的多台计算机作为攻击平台，对⼀个或多个⽬标发起DDoS攻击，消耗⽬标服务器性能或⽹络带宽，从⽽造成服务器⽆法正常地提供服务，致使业务中断，造成客户直接经济损失。

常见的攻击类型有：

流量型攻击：流量型DDoS攻击主要包括SYN Flood、ACK Flood、UDP Flood、ICMP Flood、RST Flood等。

Web应用层DDoS攻击：Web应⽤层攻击主要是HTTPGet Flood、HTTP Post Flood、CC等攻击。

畸形报文：畸形报⽂主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形报⽂、TCP畸形报⽂、UDP畸形报⽂等。

连接型DDoS攻击：主要是指TCP慢速连接攻击、连接耗尽攻击、Loic、Hoic、Slowloris、 Pyloris、Xoic等慢速攻击。

DNS DDoS攻击：DNS DDoS攻击主要包括DNS Request Flood、DNS Response Flood、虚假源 真实源DNS Query Flood、权威服务器攻击和Local服务器攻击等。

T级DDoS攻击时代已然来临，攻击规模与频率年年攀升，攻击峰值不断推⾼，根据知道创宇云防御平台数据，2020年拦截的DDoS攻击数据中，最⾼攻击峰值达到1T。

创宇ADS抗拒绝服务系统是知道创宇基于KSP操作系统自主研发的硬件抗分布式拒绝服务攻击系统。通过部署在客户本地的流量检测、流量清洗设备与中控管理系统，实现对全局流量的监控与检测，并对DDoS攻击流量进行全方位多层次清洗，全面、精准抵御各类DDoS攻击，保障业务高可用性。

工作技术原理如下：

1. 流量检测

通过流量镜像，将网络入口的混合流量复制到流量检测设备中进行检测分析，判断是否有可疑的异常流量存在，如果有，则将攻击信息通报至中控管理系统。

2. 流量牵引

当检测到异常流量时，中控管理系统通过动态路由宣告，将原来去往攻击目标IP的流量牵引至流量清洗设备进行清洗。

3 流量清洗

流量清洗设备根据检测分析结果，通过基础过滤、单包识别、智能清洗、高级过滤等策略，对DDoS攻击流量展开立体多层次清洗。

4. 流量回注

经过流量清洗设备清洗后的清洁流量，回注转发到应用服务器。

创宇ADS抗拒绝服务系统由流量检测系统、流量清洗系统、中控管理系统三部分组成。其中流量检测系统负责流量的统计、分析、检测和告警，流量清洗系统负责攻击流量的识别、分离和拦截，中控管理系统负责统一的流量调度、防护策略管理和数据统计、硬件性能监控等功能。

流量检测系统

流量检测系统用于异常流量监控和检测，负责流量的统计、分析、检测和告警。通过协议分析、畸形报文检测、异常流量分析等多维度对流量进行实时检测分析，对流量特征进行智能学习建模，提供近百种智能防护算法与检测策略配置，实现对SYN Flood、ACK Flood、UDP Flood、ICMP Flood等流量型攻击，HTTP、HTTPS、DNS、CC攻击等应用层攻击的全面精准检测。

1. 链路管理层负责底层管理链路，根据CPU负载自动将数据包分配到不同的CPU处理。

2. 预处理层负责对数据包进行解析，根据内置的畸形报文特征库，将畸形报文等异常流量直接拦截。

3. 协议统计层实时统计各种报文类型的数量和流量等信息，并实时发送给中控管理系统。

4. 异常流量分析层根据统计的信息使用流量特征自学习和报文状态检测等算法检测出异常流量。

流量清洗系统

流量清洗系统用于异常流量的识别和拦截，由链路管理层、基础过滤层、单包识别层、智能清洗层、高级过滤层组成，对DDoS攻击流量展开立体多层次清洗，确保正常流量则不受影响。

1. 链路管理层负责底层管理链路，根据CPU负载自动将数据包分配到不同的CPU处理。

2. 基础过滤层根据用户配置的黑白名单，畸形报文规则等对报文进行基础过滤。

3. 单包识别层分析协议头部和负载，进一步过滤较为复杂的攻击。

4. 智能清洗层使用信誉分析、源认证等算法对攻击进行智能清洗。

5. 高级过滤层根据自定义规则及限速策略对报文进行拦截或限速。清洗过程中的流量统计信息发送给中控管理系统用作报表展示。

中控管理系统

中控管理系统负责统一的流量调度、配置管理和数据统计，由IO层、管理层、应用层组成。通过将流量检测设备、清洗设备的数据进行关联分析和处理，实现对系统防护策略、威胁数据、设备监控等功能的集中管理。中控管理系统还能提供类型丰富的报表，支持多台设备统一管理、监控、维护，包括检测和清洗策略下发、状态监控、系统升级、报表集中等。

设备监控与管理

展示设备物理端口状态、系统CPU、内存监控、系统空间告警等。在集群部署环境下，支持对多台硬件设备的集中监控管理功能，满足大型系统的管理需求。

灵活多样的防护规则

ADS内置丰富的防护策略，客户根据自身业务特征自定义防护策略，支持自定义流量检测策略、流量清洗策略、畸形报文规则、黑白名单等功能。尤其是应对混合型攻击、应用层攻击，高度自主可控的定制策略能够更好的实现抗D效果。

通过对流量特征进行智能学习建模，提供近百种智能防护算法与检测、清洗策略配置。支持针对SYN Flood、 UDP Flood、 ICMP Flood、ACK Flood、畸形报文等不同攻击类型，自定义包速率阈值、流量阈值、异常流量占比等关键字段阈值。支持首包丢弃、源认证策略等多种防护策略自定义，实现防护策略与客户实际业务场景⾼度匹配的防护效果。

动态更新畸形规则

支持动态更新畸形报文规则，针对TCP、IP、UDP不同协议类型，动态更新包括源端口、目的端口、标志位，报文长度等关键字段，丰富检测规则的多样性，有效提升防护力度。

云端威胁库

通过将云端威胁库中的威胁信息下发到ADS本地，实现针对不同危险等级的风险IP匹配对应的防护策略，更加实时、精准的防护CC攻击。

抓包取证

支持自定义条件创建抓包任务，可以将攻击发生时的原始攻击报文进行抓包和存放，针对攻击类型、 IP、端口等条件获取对应的网络数据包，为攻击事后详细的分析与追查提供依据。

丰富的报表

流量报表：秒级实时报表，可视化监控全局流量、流量波动。提供全局及单IP流量统计、多维度流量分析、清洗前后流量对比等功能，帮助管理员实时、准确、直观掌握网络安全态势。

攻击报表：攻击流量实时监控，可视化报表展示攻击类型分布、攻击流量趋势、攻击事件详情统计等，支持多种查询条件，按不同攻击类型、目的IP查询生成攻击报表，支持自定义时间，按日报、周报、月报等多时间维度生成攻击报表。

告警报表：展示攻击时间、目的 IP、攻击类型、攻击流量、包速率等字段的详细信息。支持按时间、目的IP、攻击类型三种查询条件对数据进行筛选展示。

双栈兼容

全面支持IPv4/IPv6，有效实现IPv4/IPv6网络的流量清洗，为客户的IPv6网络迁移、改造与建设提供了安全保障。

黑白名单

支持流量检测系统、流量清洗系统黑白名单配置功能，通过设置黑白名单，在流量检测、流量清洗环节简化对特定IP的控制难度，实现高效拦截与放行。

商业变化

内蒙古自治区公路路政执法监察总队采购创宇ADS抗拒绝服务系统项目案例的完结，为内蒙古自治区公路路政执法监察总队、为知道创宇都带来了一定的商业价值。

对客户而言，响应了国家政策要求，按照管理规范和技术标准，完成了三级等级保护的安全基础设施建设。重视对数据安全的投入，实现了对全局流量的监控与检测，可以精准抵御各类DDoS攻击，也保障了数据系统的私密性要求、私有化部署要求。完善了政企机构网络安全体系，为国家安全贡献了力量。

相关企业介绍

·北京知道创宇信息技术股份有限公司

·内蒙古自治区公路路政执法监察总队

内蒙古自治区公路路政执法监察总队是内蒙古自治区交通运输厅直属单位。贯彻落实《公路法》、《收费公路管理条例》、《路政管理规定》、《内蒙古自治区公路条例》等法律法规，负责全区公路路政执法的组织、指导、监督等工作。承担国家、自治区投资建设和自治区统贷统还的高等级公路路政管理和公路超限超载的治理工作，依法维护路产、路权。