YDT 4580-2023抗DDoS智能检测系统技术要求

ICS35.040

CCSL80

YD

中华人民共和国通信行业标准

YD/TXXXXX—XXXX

抗DDoS智能检测系统技术要求

Technicalrequirementsforanti-DDoSartificialintelligentdetectionsystem

（报批稿）

XXXX-XX-XX发布XXXX-XX-XX实施

中华人民共和国工业和信息化部发布

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中国通信标准化协会提出并归口。

本文件起草单位：中国移动通信集团有限公司、恒安嘉新（北京）科技股份公司、华为技术有限公

司、北京天融信网络安全技术有限公司。

本文件主要起草人：杨振刚、何申、粟栗、杜海涛、陈美玲、冉鹏、胡悦、周开宇、王龑。

II

YD/TXXXXX—XXXX

抗DDoS智能检测系统技术要求

1范围

本文件规定了抗DDoS智能检测系统的功能要求和性能要求，包括：数据采集、数据处理、数据智能

分析、智能化告警机制及处置能力等方面。

本文件适用于运营商、抗DDoS设备厂商进行DDoS攻击智能检测分析及处置的设备与系统建设，可指

导相关产品的设计、研发和选型过程。

2规范性引用文件

本文件没有规范性引用文件。

3术语和定义

下列术语和定义适用于本文件。

3.1

DDoS攻击distributeddenialofservice

一种分布的、协同的大规模DoS攻击方式，利用网络协议和操作系统的一些缺陷，将处于不同位置

的多个攻击者联合起来，对一个或多个目标服务发动网络带宽或系统资源消耗攻击，导致网络或系统不

胜负荷而停止提供正常的网络服务。

3.2深度报文检测deeppacketinspection，DPI

一种基于数据包的深度检测技术，针对不同的网络应用层载荷（例如HTTP、DNS等）进行深度检测。

3.3深度流检测deepflowinspection，DFI

一种基于流量行为的应用识别技术，以流为基本研究对象，从庞大的网络流数据中提取流的特征，

比如流大小、流速度等。

4缩略语

下列缩略语适用于本文件。

BPS：每秒传送的比特(bit)数（bitspersecond）

DOTS：DDoS开放威胁信令（DDoSOpenThreatSignaling）

PPS：每秒传送数据包数（packetpersecond）

5抗DDoS智能检测系统流程

抗DDoS智能检测系统主要由数据采集、数据处理及建模分析、两级防护告警、智能动态阈值调整、

联动检测、可视化6个过程组成，如图1所示。智能检测系统示例见附录A。

1

GB/TXXXXX—XXXX

图1抗DDoS智能检测系统过程

数据采集：系统的数据源来自系统接入的抗DDoS设备，数据采集范围为网络中路由交换设备转发的

数据包、发出日志信息等。通过统计、汇总、计算，为系统智能检测及处置提供基础数据来源；

数据处理：，通过数据还原、清洗，形成格式化数据，分析数据之间关联关系，并建立流量预测模

型，预测未来流量趋势；

防护机制：两级防护告警，通过防护对象中，防护组和防护IP两级划分，实现两级防护告警机制；

动态阈值：通过建立流量智能预测模型，结合动态调整算法，形成与时序、业务模型结合的动态告

警阈值基线，并进行动态阈值设置；

联动检测，针对防护对象进行特征属性分析，实现防护对象间相似度分析及分类，以联动模式实现

防护对象间攻击检测规则或者能力同步。

可视化展示：将数据分析结果，影响等采用多维度多角度的方式进行展现，从而方便对整个DDoS

攻击态势观测。

6功能要求

6.1数据采集

6.1.1采集方式及类型

应支持DPI逐包数据采集，对所有报文进行全流量的检测，进行逐一的统计和分析，需要包括但不

限于如下信息：报文的五元组、长度、TCPFlag，流量统计信息、报文信息，包括TCP会话行为，应用

层协议信息（HTTP、HTTPS、DNS、SIP）和访问行为等；

应DFI逐流数据采集，对设备发出流量信息的抽样统计结果，进行日志级别的统计和分析，例如

Netflow，需要包括但不限于如下信息：报文五元组、长度、TCPFlag、流量统计信息（包速率、带宽）

等；

其他统计信息：支持BPS和PPS两种流量统计数据，对网络流量状态的实时分析时间粒度不大于1分

钟；

6.1.2数据采集与存储

应支持采集来自抗DDoS设备部署网络中的、与流量数据相关的信息，这些数据需以统一的格式进行

集中存储。

应支持流量采集信息的方式满足智能检测的处理需求，如采集方式上应支持实时采集、定期采集，

数据类型和采集周期应可根据用户需求进行定制；

应具备一定的安全机制保证存储数据的完整性和保密性；

流量采集数据与日志信息保存时间应不少于1个月。

6.2数据处理及建模分析

6.2.1数据处理

2

YD/TXXXXX—XXXX

应支持通过对初步采集的数据，进行脏数据处理操作，包括且不限于空值数据处理、数据一致性处

理、补全缺失数据、数据归一化操作等；

应支持通过数据挖掘技术对采集的数据，进行关联分析,能够对数据进行历史分析和实时分析，应

至少提供1个月内的流量数据变化趋势分析；

6.2.2建模分析

应支持对流量数据信息与相关设备的流量日志信息进行统计汇总，并对数据间相关性进行统一分

析，并建立流量预测模型。

应支持通过人工智能方式对采集的数据，建立流量预测模型,能够基于历史数据，提供下一周期内

的流量数据预测趋势，需要包括但不限于流量高峰值（最大值）、流量平均值、流量低谷值（最小值）；

周期间隔应支持依据用户需求进行设定及修改。

应支持基于预测的流量，以及现有的DDoS防护阈值或者推荐阈值，给出防护组初始阈值上限和下限，

以及防护组内IP的初始阈值。

应支持以人工智能方式，预测防护组在周期间隔内的流量高峰值（最大值）、流量平均值、流量低

谷值（最小值），作为防护组阈值的上限和下限设定的参考阈值。

应支持以人工智能方式，预测防护组内IP在周期间隔内的流量高峰值（最大值）、平均值、低谷值

（最小值），作为防护组内IP阈值设定的参考阈值。

6.3两级防护告警机制

应对防护对象提供两级防护能力，第一级，以防护组为防护对象，通过防护组阈值上下门限设定，

识别攻击告警；第二级，以防护组内单独IP为防护对象，通过防护组单独IP动态防护阈值设定，识别攻

击告警；依据流量数据分析结果等，建立不同的警告方式。

6.3.1两级防护

应当支持防护组流量阈值和防护组内单IP流量阈值两种检测防护方式。

应当支持两种防护对象的检测方式同时参与检测防护的过程。

应当支持防护组阈值依据用户需求，进行阈值上下限设置（防护组容忍阈值设定）；应支持定期对

防护组阈值进行评估和统计，需要包括但不限于准确率，召回率等，并能够给出建议参考设置选择。防

护组阈值设置应满足表1要求。

表1防护组阈值设置

防护组阈值设置设置一设置二设置三

上限阈值流量高峰值流量高峰值流量平均值

下限阈值流量平均值流量低谷值流量低谷值

应当支持防护组内单IP阈值依据用户需求，进行动态阈值调整，详见6.4。

应支持定期对防护组阈值进行评估和统计，需要包括但不限于准确率，召回率等，并能够给出建议

参考设置选择。防护组IP阈值设置应满足表2的要求。

表2防护组IP阈值设置

防护组内IP阈值设置设置一设置二设置三

周期内阈值流量高峰值流量平均值流量低谷值

应可根据用户需求，进行防护阈值自动或者人工配置能力。

3

GB/TXXXXX—XXXX

6.3.2防护告警

应支持根据流量预测模型，能够对流量增长趋势进行预测，并依据流量预测趋势设定防护组内IP

阈值。

应支持通过两级防护对可能的DDoS攻击进行告警，当防护组阈值与防护组内IP阈值同时满足时，发

送攻击告警信息。

应当满足如下告警逻辑设定，如果防护组流量大于阈值上限，或者流量小于阈值下限，则检测防护

组内单IP流量是否超过阈值限制。如果防护组内单IP超过阈值限制，则发出异常流量检测告警。

应支持依据告警来源，提供分级告警，分为一级告警和二级告警，一级为最高级别告警。详见表3

所示。

表3分级告警

防护组阈值

超过防护组内IP阈值是否告警告警级别

超过阈值上限低于阈值下限

√×√√一级

×√√√一级

××√√二级

××××无

××√√二级

应具备DDoS攻击溯源智能分析能力，通过对攻击行为的分析，能够追溯攻击路径、攻击手法、应用

软件信息、攻击者，定位其可能的攻击IP地址。

6.4智能动态阈值调整

应支持通过智能分析，形成动态流量阈值曲线，根据阈值调整规则，进行以固定周期为单位的阈值

调整，并对阈值调整后的策略进行验证分析。

6.4.1能力要求

应支持通过对业务特征、用户特征的分析，建立动态阈值曲线智能预测模型，可对防护组内单IP

的防护阈值进行固定周期调整，以发现实时DDoS事件、或对潜在的DDoS攻击进行分析和预警。

应支持根据用户需求，设置预测模型学习周期，或者学习开始时间、学习结束时间。

应支持参考上一个周期的流量阈值设置，调整下一个周期的流量阈值。

计算公式：流量阈值=(上一周期流量阈值×权值)+(下一周期推荐流量阈值×(1-权值))。

其中，权值可根据用户需求设置。

每个学习周期结束，应支持得到如下阈值信息，当前阈值：是指当前防护配置的阈值。基线阈值：

是指通过模型训练学习得到的报文流量值。建议阈值：对当前阈值值和基线阈值经过加权计算得到的防

护策略建议阈值。

应支持根据告警误报统计结果和情况，对周期内的流量阈值参数进行打分评价，误告警率超过一定

数值，应支持动态修正防护阈值。

应支持通过界面、短信、邮件、接口等方式，向具有安全管理权限的技术和管理人员、第三方接入

平台提供阈值调整信息。

发现DDoS攻击事件时，应支持通过界面、短信、邮件、接口等方式，向具有安全管理权限的技术和

管理人员、第三方接入平台提供DDoS告警信息。

4

YD/TXXXXX—XXXX

接受阈值调整信息和告警信息的人员范围应当与预警等级相关联,不同人员应按照权限规则，接收

不同等级的信息。

应支持依据防护组和防护组内IP分别进行阈值预测，并可以通过图形方式进行可视化展示。

应支持记录每种攻击类型的告警阈值，并具备阈值调整能力。

应支持依据实际处置情况，反馈攻击流量大小，攻击类型，清洗结果等。

应支持具备阈值动态调整，及攻击数据存储和反馈的能力输出接口。

6.4.2阈值调整

应支持依据动态阈值基线进行防护组内单IP动态阈值调整。

应支持依据固定周期内的阈值数据，进行防护组内单IP动态阈值调整。固定周期可依据需求动态设

定。

6.4.3阈值评估

应支持依据攻击发生时间、攻击类型、攻击特征等信息，对阈值效果进行评估。

对于已经明确的DDoS攻击告警引起的阈值变化，可以提出阈值调整策略建议，供安全技术和管理人

员参考。

6.5联动检测机制

应支持通过防护对象相似度分析，以联动模式实现检测能力同步。

6.5.1防护对象相似度分析

应支持进行防护对象相似度计算分析，防护对象特征需要包括但不限于如下信息：业务类型、防护

IP数量、业务平均流量、业务峰值流量等。

应支持基于防护对象的相似程度进行分类或者聚类分析，可识别出具有相同防护需求的防护对象。

6.5.2检测规则同步

应支持具备同步更新防护对象模型以及模型参数的能力。

应支持依据已检测到真实攻击的防护对象的有效模型及参数，将规则模型或者参数同步至其他具有

相同相似度的防护对象。

6.6可视化展示

可视化展示能力。应提供多种查看移动智能终端网络安全信息和事件的可视化手段，以满足平台用

户的直观感知需求。

6.6.1呈现维度

应支持通过图示方式展示监测范围内，截至当前的一段时间内的DDoS攻击信息。

应支持通过图示方式展示动态阈值曲线与实际流量曲线对比图。

攻击信息展示应支持包括攻击类型、流量大小、地理及时间等信息。

应支持防护组告警统计展示，以及防护组内IP告警统计展示。

应支持提供大屏幕展示等展现方式。

5

GB/TXXXXX—XXXX

6.7知识库要求

应具有基于常用场景的服务器特征防护模型信息库，服务器类型包括且不限于：DNS服务器、Web

服务器、游戏服务器、视频服务器、文件存储服务器等。

应可根据平台用户需求定制化场景适用模型信息库。

7性能要求

实时性：对于实时采集到的数据，从采集数据开始，经过数据传输、存储，通过处理分析及建模训

练数据所需要的时间，应满足用户需求，在设定阈值下越小越好。时间阈值建议为1小时。

准确性：应支持通过对流量数据的分析，正确评估当前系统监测DDoS攻击态势，并准确展示安全状

况。应将DDoS攻击的误报率控制在许可的范围内，告警误报率应小于5%。

8安全要求

8.1数据采集安全要求

流量数据源以镜像进行数据采集的，应征得运营商或者数据所有者同意及认可。

流量数据源获取数据的方式、内容应符合国家相关法律法规要求。

8.2数据保存和使用要求

流量统计数据向外部传输数据时，应采取加密方式传输。

数据源自身在存储和传输数据时不应造成攻击信息的泄露，例如：攻击时间、攻击源IP地址等。

6

YD/TXXXXX—XXXX

附录A

（资料性）

DOTS框架下使用智能检测做阈值调整的流程和方法示例

用户身份相关数据包括用户身份标识信息和用户网络身份鉴权信息。

在实际落地使用的时候需要结合已有的部署和框架做具体的流程。本附录具体描述了在DOTS框架下

使用智能检测做阈值调整的流程和方法，将DOTS与智能检测结合起来，能够更加有效的提高抗DDoS的效

率。

DOTS框架作为IETF提出的DDoS开放威胁信令框架，能够将DDoS攻击威胁消息进行传递触发缓解操

作，框架如图A.1，包括四部分：受攻击对象（AttackTarget）,客户端(DOTSclient),服务端(DOTS

server)，缓解服务提供商(Mitigator)；缓解服务包括路由黑洞、流量清洗，以下流程默认采用清洗作

为缓解操作。

被攻击方攻击告警client

在上游执

行缓解

缓解处置方攻击告警server

图A.1DDoS协同缓解框架

第一步，受攻击对象感知到DDoS攻击，将攻击情况告知DOTSclient；

第二步，DOTSclient（使用HTTP协议）向DOTSserver发出缓解请求，缓解请求携带的参数中包

括攻击检测阈值参数target-Attack-Type-threshold，该参数用于记录每种攻击类型的检测告警阈值；

第三步，DOTSserver接收请求并通知Mitigator开始缓解服务，即通知清洗设备进行清洗操作；

第四步，mitigator缓解结束后可使用基于HTTP的协议将缓解结果返回DOTSserver，缓解结果包

括攻击流量大小（按攻击类型维度统计）、攻击类型、清洗结果等；

根据反馈的攻击流量大小可用于判断本次缓解请求的有效性：

⚫如果攻击流量小于设定的阈值，则表示为无效请求，即发生了攻击，但本次攻击不造成威

胁；

⚫如果不小于设定的阈值则表示为有效请求；

缓解请求的有效性可用于评估DOTSclient的缓解请求准确性。

第五步，DOTSserver根据缓解结果以攻击类型为单位调整对应的攻击检测策略，即设置的检测告

警阈值。基于第4步的请求有效性的判断，调整检测阈值。

如果缓解采用流量清洗的方式，根据清洗后的流量与清洗前的流量进行对比：

⚫如果清洗后的流量约等于（或约小于）清洗前的流量，则表示误告警，即实际并没有发生

该类型的DDoS攻击，则需要对检测策略进行调整；

⚫如果清洗后的流量小于清洗前的流量，则表示有效告警，再结合对缓解请求的有效性的评

估、反馈的缓解结果优化阈值更接近最新攻击情况；

第六步，阈值调整与优化使用6.4小节所述智能动态阈值调整的方法；

7

GB/TXXXXX—XXXX

第七步，形成稳定阈值调整后对target-Attack-Type-threshold进行修正并反馈到相应的检测节

点，在DOTS框架中可先将target-Attack-Type-threshold值反馈至DOTS客户端，再由客户端将调整

后的检测阈值反馈至受攻击对象（或受攻击对象所属的检测节点）。

_________________________________

8

YD/TXXXXX—XXXX

目次

前言................................................................................II

1范围.................................................................................1

2规范性引用文件.......................................................................1

3术语和定义...........................................................................1

4缩略语...............................................................................1

5抗DDoS智能检测系统流程..............................................................1

6功能要求.............................................................................2

6.1数据采集.........................................................................2

6.2数据处理及建模分析...............................................................2

6.3两级防护告警机制.................................................................3

6.4智能动态阈值调整.................................................................4

6.5联动检测机制.....................................................................5

6.6可视化展示.......................................................................5

6.7知识库要求.......................................................................6

7性能要求.............................................................................6

8安全要求.............................................................................6

8.1数据采集安全要求.................................................................6

8.2数据保存和使用要求...............................................................6

附录A（资料性）DOTS框架下使用智能检测做阈值调整的流程和方法示例.................7

I

YD/TXXXXX—XXXX

抗DDoS智能检测系统技术要求

1范围

本文件规定了抗DDoS智能检测系统的功能要求和性能要求，包括：数据采集、数据处理、数据智能

分析、智能化告警机制及处置能力等方面。

本文件适用于运营商、抗DDoS设备厂商进行DDoS攻击智能检测分析及处置的设备与系统建设，可指

导相关产品的设计、研发和选型过程。

2规范性引用文件

本文件没有规范性引用文件。

3术语和定义

下列术语和定义适用于本文件。

3.1

DDoS攻击distributeddenialofservice

一种分布的、协同的大规模DoS攻击方式，利用网络协议和操作系统的一些缺陷，将处于不同位置

的多个攻击者联合起来，对一个或多个目标服务发动网络带宽或系统资源消耗攻击，导致网络或系统不

胜负荷而停止提供正常的网络服务。

3.2深度报文检测deeppacketinspection，DPI

一种基于数据包的深度检测技术，针对不同的网络应用层载荷（例如HTTP、DNS等）进行深度检测。

3.3深度流检测deepflowinspection，DFI

一种基于流量行为的应用识别技术，以流为基本研究对象，从庞大的网络流数据中提取流的特征，

比如流大小、流速度等。

4缩略语

下列缩略语适用于本文件。

BPS：每秒传送的比特(bit)数（bitspersecond）

DOTS：DDoS开放威胁信令（DDoSOpenThreatSignaling）

PPS：每秒传送数据包数（packetpersecond）

5抗DDoS智能检测系统流程

抗DDoS智能检测系统主要由数据采集、数据处理及建模分析、两级防护告警、智能动态阈值调整、

联动检测、可视化6个过程组成，如图1所示。智能检测系统示例见附录A。

1

GB/TXXXXX—XXXX

图1抗DDoS智能检测系统过程

数据采集：系统的数据源来自系统接入的抗DDoS设备，数据采集范围为网络中路由交换设备转发的

数据包、发出日志信息等。通过统计、汇总、计算，为系统智能检测及处置提供基础数据来源；

数据处理：，通过数据还原、清洗，形成格式化数据，分析数据之间关联关系，并建立流量预测模

型，预测未来流量趋势；

防护机制：两级防护告警，通过防护对象中，防护组和防护IP两级划分，实现两级防护告警机制；

动态阈值：通过建立流量智能预测模型，结合动态调整算法，形成与时序、业务模型结合的动态告

警阈值基线，并进行动态阈值设置；

联动检测，针对防护对象进行特征属性分析，实现防护对象间相似度分析及分类，以联动模式实现

防护对象间攻击检测规则或者能力同步。

可视化展示：将数据分析结果，影响等采用多维度多角度的方式进行展现，从而方便对整个DDoS

攻击态势观测。

6功能要求

6.1数据采集

6.1.1采集方式及类型

应支持DPI逐包数据采集，对所有报文进行全流量的检测，进行逐一的统计和分析，需要包括但不

限于如下信息：报文的五元组、长度、TCPFlag，流量统计信息、报文信息，包括TCP会话行为，应用

层协议信息（HTTP、HTTPS、DNS、SIP）和访问行为等；

应DFI逐流数据采集，对设备发出流量信息的抽样统计结果，进行日志级别的统计和分析，例如

Netflow，需要包括但不限于如下信息：报文五元组、长度、TCPFlag、流量统计信息（包速率、带宽）

等；

其他统计信息：支持BPS和PPS两种流量统计数据，对网络流量状态的实时分析时间粒度不大于1分

钟；

6.1.2数据采集与存储

应支持采集来自抗DDoS设备部署网络中的、与流量数据相关的信息，这些数据需以统一的格式进行

集中存储。

应支持流量采集信息的方式满足智能检测的处理需求，如采集方式上应支持实时采集、定期采集，

数据类型和采集周期应可根据用户需求进行定制；

应具备一定的安全机制保证存储数据的完整性和保密性；

流量采集数据与日志信息保存时间应不少于1个月。

6.2数据处理及建模分析

6.2.1数据处理

2

YD/TXXXXX—XXXX

应支持通过对初步采集的数据，进行脏数据处理操作，包括且不限于空值数据处理、数据一致性处

理、补全缺失数据、数据归一化操作等；

应支持通过数据挖掘技术对采集的数据，进行关联分析,能够对数据进行历史分析和实时分析，应

至少提供1个月内的流量数据变化趋势分析；

6.2.2建模分析

应支持对流量数据信息与相关设备的流量日志信息进行统计汇总，并对数据间相关性进行统一分

析，并建立流量预测模型。

应支持通过人工智能方式对采集的数据，建立流量预测模型,能够基于历史数据，提供下一周期内

的流量数据预测趋势，需要包括但不限于流量高峰值（最大值）、流量平均值、流量低谷值（最小值）；

周期间隔应支持依据用户需求进行设定及修改。

应支持基于预测的流量，以及现有的DDoS防护阈值或者推荐阈值，给出防护组初始阈值上限和下限，

以及防护组内IP的初始阈值。

应支持以人工智能方式，预测防护组在周期间隔内的流量高峰值（最大值）、流量平均值、流量低

谷值（最小值），作为防护组阈值的上限和下限设定的参考阈值。

应支持以人工智能方式，预测防护组内IP在周期间隔内的流量高峰值（最大值）、平均值、低谷值

（最小值），作为防护组内IP阈值设定的参考阈值。

6.3两级防护告警机制

应对防护对象提供两级防护能力，第一级，以防护组为防护对象，通过防护组阈值上下门限设定，

识别攻击告警；第二级，以防护组内单独IP为防护对象，通过防护组单独IP动态防护阈值设定，识别攻

击告警；依据流量数据分析结果等，建立不同的警告方式。

6.3.1两级防护

应当支持防护组流量阈值和防护组内单IP流量阈值两种检测防护方式。

应当支持两种防护对象的检测方式同时参与检测防护的过程。

应当支持防护组阈值依据用户需求，进行阈值上下限设置（防护组容忍阈值设定）；应支持定期对

防护组阈值进行评估和统计，需要包括但不限于准确率，召回率等，并能够给出建议参考设置选择。防

护组阈值设置应满足表1要求。

表1防护组阈值设置

防护组阈值设置设置一设置二设置三

上限阈值流量高峰值流量高峰值流量平均值

下限阈值流量平均值流量低谷值流量低谷值

应当支持防护组内单IP阈值依据用户需求，进行动态阈值调整，详见6.4。

应支持定期对防护组阈值进行评估和统计，需要包括但不限于准确率，召回率等，并能够给出建议

参考设置选择。防护组IP阈值设置应满足表2的要求。

表2防护组IP阈值设置

防护组内IP阈值设置设置一设置二设置三

周期内阈值流量高峰值