◆張長(zhǎng)梅

(國(guó)家知識(shí)產(chǎn)權(quán)局專(zhuān)利局專(zhuān)利審查協(xié)作四川中心 四川 610200)

DDoS攻擊防范專(zhuān)利技術(shù)分析

◆張長(zhǎng)梅

(國(guó)家知識(shí)產(chǎn)權(quán)局專(zhuān)利局專(zhuān)利審查協(xié)作四川中心 四川 610200)

DDoS（Distributed Denial of Service，分布式拒絕式服務(wù)）攻擊是當(dāng)今互聯(lián)網(wǎng)的重要威脅之一，其前身是DoS攻擊，最基本的DoS攻擊是指攻擊者利用大量合理的服務(wù)請(qǐng)求來(lái)占用攻擊目標(biāo)過(guò)多的資源，從而使合法用戶(hù)無(wú)法得到服務(wù)的響應(yīng)。DDoS攻擊則是指攻擊者控制僵尸網(wǎng)絡(luò)中的大量僵尸主機(jī)向攻擊目標(biāo)發(fā)送大流量數(shù)據(jù)，耗盡攻擊目標(biāo)的系統(tǒng)資源，導(dǎo)致無(wú)法響應(yīng)正常的服務(wù)請(qǐng)求。

DDoS攻擊；Flood；畸形報(bào)文；掃描探測(cè)

0 引言

DDoS攻擊防范技術(shù)的技術(shù)分支是對(duì)應(yīng)于DDoS攻擊類(lèi)型的分類(lèi)，而 DDoS攻擊可以按照攻擊方式進(jìn)行分類(lèi)，也可以按照TCP/IP協(xié)議層進(jìn)行分類(lèi)。其中按照攻擊方式的分類(lèi)更符合攻擊防范技術(shù)的演進(jìn)路線，所以本文涉及到技術(shù)分支的分析，則主要是按照DDoS攻擊方式的劃分進(jìn)行分解。

1 DDoS攻擊的種類(lèi)

1.1 DDoS攻擊按照攻擊方式可以劃分為

（1）泛洪攻擊（Flood）是指攻擊者通過(guò)僵尸網(wǎng)絡(luò)、代理或直接向攻擊目標(biāo)發(fā)送大量的偽裝的請(qǐng)求服務(wù)報(bào)文，最終耗盡攻擊目標(biāo)的資源。發(fā)送的大量報(bào)文可以是TCP的SYN報(bào)文和ACK報(bào)文、UDP報(bào)文、ICMP報(bào)文、DNS報(bào)文、HTTP/HTTPS報(bào)文等。

（2）畸形或特殊報(bào)文攻擊（Malformation）是指攻擊者發(fā)送大量有缺陷或特殊控制作用的報(bào)文，從而造成主機(jī)或服務(wù)器在處理這類(lèi)報(bào)文時(shí)系統(tǒng)崩潰。

（3）掃描探測(cè)類(lèi)攻擊（Scan&Probe）是一種潛在的攻擊行為，并不具備直接的破壞行為，通常是攻擊者發(fā)送真正攻擊前的網(wǎng)絡(luò)探測(cè)行為，例如IP地址掃描和端口掃描。

1.2 DDoS攻擊按照TCP/IP協(xié)議層可以劃分為

（1）網(wǎng)絡(luò)層攻擊，常見(jiàn)的ICMP Flood攻擊、Smurf攻擊、大部分特殊控制報(bào)文攻擊、IP地址掃描攻擊。

（2）傳輸層攻擊，主要是針對(duì)TCP、UDP報(bào)文和端口的各類(lèi)攻擊，常見(jiàn)的大多是Flood類(lèi)攻擊，例如：SYN Flood、SYN-ACK Flood、ACK Flood、FIN/RST Flood、UDP Flood、DNS Flood 攻擊。

（3）應(yīng)用層攻擊，常見(jiàn)的有HTTP Flood、HTTPS Flood、SIP Flood攻擊。

2 專(zhuān)利技術(shù)發(fā)展概況

2.1 歷年專(zhuān)利申請(qǐng)量分析

截至目前已公開(kāi)的DDoS攻擊防范技術(shù)相關(guān)的全球?qū)＠暾?qǐng)量為2643、中國(guó)申請(qǐng)量為1137。DDoS攻擊的全球申請(qǐng)量劇增是在1999至2000年，這也正是DDoS攻擊“揚(yáng)名”的時(shí)期，最早追溯至1999年的為阿桑奇“復(fù)仇行動(dòng)”事件、明尼蘇打大學(xué)的計(jì)算機(jī)宕機(jī)事件，以及2000年的Amazon、CNN、eBay和Yahoo的被攻擊。接著，在2001年至2005年申請(qǐng)量也逐年上升，同期在華申請(qǐng)的申請(qǐng)量也開(kāi)始呈上升趨勢(shì)，也正是在在這個(gè)時(shí)期DDoS攻擊事件劇增，最典型的就是對(duì)Register.com和對(duì)eBay的又一次攻擊。然后就是在2012年至2013年的一次申請(qǐng)量劇增點(diǎn)，據(jù)當(dāng)時(shí)的報(bào)告顯示，2012年超過(guò)20Gbps的DDoS攻擊已成為普遍現(xiàn)象，就第三季度的DDoS攻擊數(shù)量比去年同期增長(zhǎng)了88%。

2.2 專(zhuān)利技術(shù)原創(chuàng)國(guó)分析

DDoS攻擊防范專(zhuān)利技術(shù)的原創(chuàng)國(guó)主要是美國(guó)、中國(guó)，其申請(qǐng)量總和占到了全球申請(qǐng)總量的近八成，其次是韓國(guó)、日本和歐洲，這也與各國(guó)數(shù)據(jù)通信領(lǐng)域的技術(shù)發(fā)展有很大關(guān)系。DDoS攻擊防范技術(shù)的專(zhuān)利申請(qǐng)量在2007年以前美國(guó)一致處于遙遙領(lǐng)先的位置，自2008年中國(guó)和美國(guó)的專(zhuān)利申請(qǐng)量開(kāi)始出現(xiàn)不相上下的格局，這也符合數(shù)據(jù)通信領(lǐng)域的發(fā)展趨勢(shì)，并反映了各國(guó)對(duì)網(wǎng)絡(luò)安全的重視程度。

2.3 主要申請(qǐng)人分析

全球申請(qǐng)量居于首位的申請(qǐng)人是思科，其作為全球數(shù)據(jù)通信技術(shù)實(shí)力最強(qiáng)的公司，在DDoS攻擊防范技術(shù)領(lǐng)域也必然是相當(dāng)重視的。另外全球前10位申請(qǐng)人中國(guó)內(nèi)申請(qǐng)人僅包括國(guó)內(nèi)通信巨頭公司華為公司和專(zhuān)門(mén)做安全產(chǎn)品的神州綠盟。

國(guó)內(nèi)申請(qǐng)量排名前5的申請(qǐng)人主要還是企業(yè)，其中包含了數(shù)據(jù)通信技術(shù)實(shí)力較強(qiáng)的華為、中興和華三，以及專(zhuān)注做安全產(chǎn)品的神州綠盟。最值得一提的當(dāng)屬2000年才成立的神州綠盟，專(zhuān)注于安全產(chǎn)品的研發(fā)，在網(wǎng)絡(luò)安全領(lǐng)域相當(dāng)于有競(jìng)爭(zhēng)力。

3 技術(shù)發(fā)展路線

DDoS攻擊類(lèi)型最典型的當(dāng)屬Flood攻擊，現(xiàn)針對(duì)DDoS攻擊防范的技術(shù)發(fā)展路線分析重點(diǎn)覆蓋針對(duì)Flood攻擊中各種攻擊類(lèi)型的防御。2000年以前最初提出的防御方式大多是使用新的協(xié)議進(jìn)行替代。2001年至2005年的專(zhuān)利申請(qǐng)涵蓋了DDoS攻擊防御技術(shù)的大多數(shù)基本防御手段。2006年至2010年的專(zhuān)利申請(qǐng)?zhí)岢龅腄DoS攻擊防御技術(shù)則主要是基于報(bào)文內(nèi)容本身進(jìn)行防御。至2011年以來(lái)，隨著各種DDoS攻擊技術(shù)的層出不窮，專(zhuān)利申請(qǐng)的技術(shù)方案也更具有針對(duì)性。

4 核心專(zhuān)利分析

核心專(zhuān)利的分析能夠快速體現(xiàn)行業(yè)的研究重點(diǎn)，現(xiàn)根據(jù)DDoS攻擊的主流防御方式篩選出5篇核心專(zhuān)利，覆蓋了基于歷史數(shù)據(jù)包、基于應(yīng)用層消息檢查、基于數(shù)據(jù)流的變化率、針對(duì)源IP地址認(rèn)證以及基于會(huì)話的事務(wù)類(lèi)型進(jìn)行攻擊防范，具體分析如下：

（1）US29109502A 主動(dòng)網(wǎng)絡(luò)防護(hù)系統(tǒng)與方法

本專(zhuān)利是由尖端技術(shù)公司于2001年提出的，其具體方案是通過(guò)跟蹤包的數(shù)據(jù)流上當(dāng)前存在的會(huì)話；收集其歷史包數(shù)據(jù)；過(guò)濾所跟蹤的會(huì)話和歷史包數(shù)據(jù)，以便根據(jù)統(tǒng)計(jì)分析而確定是否經(jīng)過(guò)多個(gè)會(huì)話的數(shù)據(jù)流中的包引起對(duì)網(wǎng)絡(luò)的威脅；以及通過(guò)響應(yīng)于所確定威脅的存在而阻止存在威脅的包來(lái)處理這些包的數(shù)據(jù)流中的包?？梢钥闯鲈摷軜?gòu)是攻擊防御思路的基礎(chǔ)模型。

（2）US715204A 基于應(yīng)用層消息檢查的網(wǎng)絡(luò)和應(yīng)用攻擊保護(hù)

本專(zhuān)利是思科技術(shù)公司于2002年提出的，其具體方案是通過(guò)檢查應(yīng)用層消息來(lái)保護(hù)網(wǎng)絡(luò)免受拒絕服務(wù)攻擊，確定該應(yīng)用層消息是否滿足一個(gè)或多個(gè)指定標(biāo)準(zhǔn)。如果消息滿足指定標(biāo)準(zhǔn)，則阻止包含該消息的數(shù)據(jù)分組被消息想要去往的應(yīng)用所接收。結(jié)果，服務(wù)器應(yīng)用的宿主并不在其目的可能僅僅是泛濫并淹沒(méi)服務(wù)器應(yīng)用的消息上浪費(fèi)處理資源。

（3）US91561101A 防止“拒絕服務(wù)”攻擊

本專(zhuān)利是IBM于2003年提出的，其具體方案是通過(guò)在服務(wù)器和網(wǎng)絡(luò)之間部署網(wǎng)絡(luò)處理器以與網(wǎng)絡(luò)的數(shù)據(jù)流速率大致相同的速率傳輸與外部網(wǎng)絡(luò)交換的數(shù)據(jù)，其通過(guò)監(jiān)視數(shù)據(jù)流，確定數(shù)據(jù)流的變化率，并修改指令，以便響應(yīng)于在預(yù)定邊界之外的變化率而丟棄包。本專(zhuān)利的發(fā)明構(gòu)思雖然是針對(duì)DoS攻擊的，但其實(shí)也給DDoS攻擊防御的技術(shù)方案提供了基于數(shù)據(jù)流變化率進(jìn)行防御的技術(shù)啟示。

（4）US79265304A利用TCP認(rèn)證IP源地址

本專(zhuān)利是思科于2004年提出的，其具體方案是通過(guò)截取根據(jù)由預(yù)定通信協(xié)議所指定的握手程序在網(wǎng)絡(luò)上從源地址定向到目標(biāo)計(jì)算機(jī)的打開(kāi)連接的請(qǐng)求，評(píng)估源地址的合法性以防止目標(biāo)計(jì)算機(jī)遭受惡意流量。這個(gè)方案對(duì)于檢測(cè)和阻止DDoS攻擊期間的欺騙性流量非常有用，當(dāng)然也可以由于其他目的而用于認(rèn)證源地址和連接請(qǐng)求。

（5）US2011055921A1防御分布式網(wǎng)絡(luò)泛洪攻擊

本專(zhuān)利是JUNIPER（叢林網(wǎng)絡(luò)公司）于2009年提出的，其具體方案是網(wǎng)絡(luò)安全設(shè)備執(zhí)行業(yè)務(wù)的三階段分析以識(shí)別惡意客戶(hù)端：監(jiān)測(cè)到受保護(hù)的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)連接；當(dāng)該連接的參數(shù)超過(guò)連接閾值時(shí)，監(jiān)測(cè)多個(gè)網(wǎng)絡(luò)會(huì)話的多個(gè)事務(wù)類(lèi)型；當(dāng)與至少一個(gè)與事務(wù)類(lèi)型相關(guān)聯(lián)的參數(shù)超過(guò)事務(wù)類(lèi)型閾值時(shí)，監(jiān)測(cè)與發(fā)起至少一個(gè)事務(wù)類(lèi)型的事務(wù)的網(wǎng)絡(luò)地址相關(guān)聯(lián)的通信。當(dāng)超過(guò)客戶(hù)端-事務(wù)閾值時(shí)，該設(shè)備對(duì)于網(wǎng)絡(luò)地址中的至少一個(gè)執(zhí)行程序化操作。當(dāng)然在這三個(gè)階段之前，還可以有一個(gè)學(xué)習(xí)階段以確定閾值。

5 結(jié)語(yǔ)

本文通過(guò)對(duì)DDoS攻擊防范技術(shù)專(zhuān)利文獻(xiàn)的梳理，尤其是對(duì)Flood攻擊防范技術(shù)的發(fā)展路線以及核心專(zhuān)利的分析，可以從整體上了解到當(dāng)前DDoS攻擊防范技術(shù)的演進(jìn)以及主流防范手段。

[1] 劉慶海，徐雪梅．Web服務(wù)在云網(wǎng)應(yīng)用層上的DDoS檢測(cè)攻擊系統(tǒng)[J]．電腦編程技巧與維護(hù)，2016．

[2] 張耀輝．云計(jì)算環(huán)境下DDoS攻擊及防御研究[J]．湖南郵電職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2016．