胥素芳 郭拴岐
(陜西警官職業(yè)學(xué)院 陜西省西安市 710016)
隨著網(wǎng)絡(luò)的普及,網(wǎng)絡(luò)帶寬的增加,高速廣泛互連的網(wǎng)絡(luò)給大家?guī)肀憷耐瑫r,也為DDoS攻擊創(chuàng)造了有利條件。據(jù)華為發(fā)布《2020年全球DDoS攻擊現(xiàn)狀與趨勢分析報(bào)告》中指出,2020年DDoS攻擊仍然呈整體上升態(tài)勢,攻擊者為了持續(xù)獲得顯著的攻擊效果,利用新技術(shù)使攻擊手法更復(fù)雜和多樣,提升了攻擊強(qiáng)度和復(fù)雜度,使得現(xiàn)有的防御技術(shù)更加難以緩解DDoS攻擊。[1]
隨著云計(jì)算、移動互聯(lián)網(wǎng)以及IoT產(chǎn)業(yè)的發(fā)展,攻擊源也不再只是個人PC和服務(wù)器,存在漏洞的物聯(lián)網(wǎng)設(shè)備也被控制利用來進(jìn)行DDoS攻擊,導(dǎo)致攻擊流量越來越大,危害也越來越大。2018年3月,全球著名的代碼及開源項(xiàng)目托管網(wǎng)站GitHub遭受峰值達(dá)到1.35Tbps的DDoS攻擊,創(chuàng)歷史新高,標(biāo)志著DDoS攻擊規(guī)模正式邁入Tb級。
技術(shù)的快速發(fā)展必然會導(dǎo)致分工,DDoS攻擊已經(jīng)有成熟的產(chǎn)業(yè)鏈,分工明確。黑客們專注于自己擅長的特定領(lǐng)域,有些負(fù)責(zé)挖掘漏洞、有的擅長開發(fā)工具、有的負(fù)責(zé)入侵,有的負(fù)責(zé)處理賬戶信息。DDoS攻擊工具和服務(wù)是中國地下黑市中最受歡迎的產(chǎn)品之一,平臺對外提供租用服務(wù),租用者不需要具備任何專業(yè)知識,只需要輸入攻擊目標(biāo)的地址就可以完成整個攻擊過程,門檻低,攻擊成本低。
在利用僵尸網(wǎng)絡(luò)的同時,攻擊流量越來越小,仿真程度越來越高,可以有效避開安全設(shè)備的檢測。攻擊不單純以消耗網(wǎng)絡(luò)帶寬為目標(biāo),多種攻擊方式混合。
隨著網(wǎng)絡(luò)的普及和應(yīng)用,信息技術(shù)快速發(fā)展,網(wǎng)絡(luò)空間的安全成為關(guān)注的焦點(diǎn),暴露在公眾視野中的可攻擊對象數(shù)量不斷擴(kuò)大。DDoS攻擊呈現(xiàn)組織化、規(guī)?;⒊掷m(xù)化的發(fā)展趨勢,對當(dāng)前的DDoS防護(hù)體系構(gòu)成了一系列新的挑戰(zhàn)。
在大多數(shù)網(wǎng)絡(luò)安全系統(tǒng)中,防護(hù)策略和關(guān)鍵點(diǎn)的決策主體依舊是人,處置效率很大程度上取決于人工經(jīng)驗(yàn),對沒有處置先例的新的攻擊事件,易陷入被動局面,被動應(yīng)對。
由于已知攻擊變種和未知攻擊的泛濫,靜態(tài)規(guī)則下制定的策略檢測效果衰減嚴(yán)重,有效告警占比下降,漏報(bào)攻擊占比提升,嚴(yán)重影響防護(hù)策略決策。
大流量防護(hù)場景下,數(shù)據(jù)源數(shù)量井噴式爆發(fā),導(dǎo)致檢測節(jié)點(diǎn)采集的數(shù)據(jù)關(guān)聯(lián)性弱,耦合度低,難以建立高質(zhì)量的數(shù)據(jù)分析模型,為攻擊判定提供可靠依據(jù)。
隨著攻擊技術(shù)的不斷發(fā)展,攻擊者可利用的工具與日俱增,目前各類攻擊事件中,很大一部分攻擊均經(jīng)過精心偽裝,針對這樣的攻擊,現(xiàn)有攻擊分析和防護(hù)技術(shù)很難有效應(yīng)對,傳統(tǒng)抗DDoS防護(hù)的不足逐漸暴露。由于攻擊序列獨(dú)特,難以捕捉規(guī)律,既有的檢測模型相對固定,此時需要人工抓包進(jìn)行分析處置,響應(yīng)效率大打折扣。部分攻擊者利用真實(shí)源主機(jī)發(fā)起攻擊,其訪問行為與正常用戶無異,原有的基于閾值和源認(rèn)證等檢測技術(shù)效果不佳。
隨著技術(shù)的進(jìn)步,人工智能和流量清洗技術(shù)助力DDoS攻擊的防護(hù)。借力技術(shù)的同時,統(tǒng)籌管理和布局不容忽視。在互聯(lián)網(wǎng)上沒有真正的孤島,網(wǎng)絡(luò)世界的互聯(lián)互通,使得安全防護(hù)要全方位綜合部署,不能寄希望于一點(diǎn)解決所有問題,應(yīng)建立多層次不同粒度的防護(hù),不同防護(hù)層次完成不同的任務(wù)。
單一的安全防護(hù)體系和被動的策略難以有效應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)攻擊。從網(wǎng)絡(luò)運(yùn)營商、網(wǎng)絡(luò)資源提供方、用戶全方位進(jìn)行防御,構(gòu)筑三道防線共同遏制DDoS攻擊。[2]
對于網(wǎng)絡(luò)運(yùn)營商要使用流量檢測設(shè)備對網(wǎng)內(nèi)任意目的地的流量進(jìn)行在線實(shí)時監(jiān)控,辨別攻擊來源區(qū)域,從而達(dá)到流量清洗。根據(jù)網(wǎng)絡(luò)的分層結(jié)構(gòu),對關(guān)鍵網(wǎng)絡(luò)結(jié)點(diǎn)部署多個DDoS異常流量監(jiān)測中心和DDoS異常流量清洗中心,并部署管理中心。在全網(wǎng)建立互聯(lián)網(wǎng)信譽(yù)機(jī)制,營造和創(chuàng)建良好的網(wǎng)絡(luò)秩序,利用運(yùn)營商骨干網(wǎng)絡(luò)優(yōu)勢,信用等級與相應(yīng)的網(wǎng)絡(luò)服務(wù)進(jìn)行掛鉤。
對于網(wǎng)絡(luò)資源提供方要做好本地DDoS防護(hù)。網(wǎng)絡(luò)資源提供方作為DDoS攻擊的主要對象,會率先感知并觸發(fā)防護(hù)功能。為了實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)需要有基礎(chǔ)的防御措施,在安全要求高條件允許的情況下可以借助DDoS檢測設(shè)備、清洗設(shè)備和管理中心。如果流量超過防御閾值就認(rèn)為有異常,觸發(fā)通告,再依據(jù)管理中心的策略進(jìn)行引流到清洗設(shè)備。通過清洗識別攻擊流量并處置。在此基礎(chǔ)上網(wǎng)絡(luò)資源提供方需要建立一套行之有效的管理制度,制定攻擊事件快速響應(yīng)預(yù)案,定期發(fā)布安全態(tài)勢報(bào)表、匯總異常事件、處置異常告警、分析流量趨勢等,定期按計(jì)劃對預(yù)案進(jìn)行審核和演練。
對于本地用戶做硬件配置升級、優(yōu)化資源使用,提高Web服務(wù)器的負(fù)載能力。通過基礎(chǔ)防御措施,比如隱匿網(wǎng)絡(luò)服務(wù)器的真實(shí)IP,優(yōu)化DNS解析,及時進(jìn)行更新和漏洞修補(bǔ),關(guān)閉存在安全隱患的端口和服務(wù),縮小暴露幾率,降低被攻擊的風(fēng)險(xiǎn)等。
流量清洗顧名思義就是對網(wǎng)絡(luò)中存在的異常流量進(jìn)行清洗,保證正常流量的傳輸和業(yè)務(wù)的連續(xù)性。在現(xiàn)有的流量清洗解決方案中,流量清洗系統(tǒng)一般包括異常流量檢測模塊、異常流量清洗模塊和管理中心模塊組成。要做到準(zhǔn)確高效的流量清洗,異常流量的分析檢測仍然是關(guān)鍵技術(shù)。當(dāng)前使用的檢測技術(shù)有攻擊特征匹配、IP信源檢查、協(xié)議完整性驗(yàn)證、客戶端真實(shí)性驗(yàn)證、速度檢查與限制、協(xié)議代理和驗(yàn)證等技術(shù)。通過對訪問請求進(jìn)行過濾分析,對異常流量通過特征、基線、回復(fù)確認(rèn)等各種方式對異常流量進(jìn)行識別、清洗,然后將正常訪問流量回注到原有網(wǎng)絡(luò)中,此時從被保護(hù)的主機(jī)來看,并不存在DDoS攻擊,服務(wù)恢復(fù)正常。[3]
傳統(tǒng)的DDoS攻擊檢測方法主要是通過對網(wǎng)絡(luò)中的數(shù)據(jù)類型(如:協(xié)議,標(biāo)志位)請求進(jìn)行統(tǒng)計(jì),當(dāng)統(tǒng)計(jì)結(jié)果偏離預(yù)設(shè)閾值時,則認(rèn)為攻擊發(fā)生。固定閾值的維護(hù)難度很大,無法自適應(yīng),要花費(fèi)運(yùn)維人員大量的精力和時間,閾值過大導(dǎo)致漏防,閾值過小導(dǎo)致誤防,這種方案實(shí)現(xiàn)比較簡單,不靈活,防護(hù)效果不佳,難以及時了解流量信息并調(diào)優(yōu)策略。如何分析流量趨勢、選定檢測閾值是決定防護(hù)效果的關(guān)鍵點(diǎn)也是難點(diǎn)問題。
常見的流量自學(xué)習(xí)功能普遍將所有應(yīng)用視為一個整體防護(hù)對象,根據(jù)一天中整個防護(hù)對象的流量趨勢篩選出峰值流量進(jìn)行自學(xué)習(xí)計(jì)算。此學(xué)習(xí)方式得到的結(jié)果雖然避免了固定閾值的“一刀切”式防護(hù),但仍然存在不可避免的缺陷:無法針對單個IP進(jìn)行流量分析、學(xué)習(xí)間隙過長導(dǎo)致模型粗糙、特殊時間段(如凌晨、午休時間等)流量數(shù)據(jù)無參考價值、正常流量增長誤報(bào)為攻擊等?;贏I自學(xué)功能對DDoS異常流量的檢測數(shù)據(jù)進(jìn)行采集和分析,基于歷史數(shù)據(jù)和當(dāng)前流量建模。網(wǎng)絡(luò)中的流量數(shù)據(jù)是一個典型的時間序列數(shù)據(jù)。流量數(shù)據(jù)可能會呈現(xiàn)出多種周期性,大周期中嵌套了小周期。除了具有周期性之外,還具有一定的趨勢性和隨機(jī)性。趨勢性是一段時間內(nèi)流量數(shù)據(jù)呈現(xiàn)一定程度的整體上升或下降的趨勢。隨機(jī)性則是由于每個時間點(diǎn),及每天的同一時間點(diǎn)使用網(wǎng)絡(luò)的情況都會有所不同,在一定的規(guī)律之外還包含著很大的隨機(jī)性。對流量的周期性、趨勢性和隨機(jī)性分開對數(shù)據(jù)進(jìn)行建模,分別采用不同算法進(jìn)行學(xué)習(xí)擬合。從數(shù)學(xué)模型的維度降低閾值判定過程中的主觀因素占比,使流量檢測閾值的界定流程標(biāo)準(zhǔn)化、簡單化。以NFDBPTD、STL等算法為基礎(chǔ),基于AI技術(shù)的DDoS異常流量攻擊防護(hù)提供高頻度、多維度、細(xì)粒度的AI自學(xué)習(xí)功能,深入流量成分及協(xié)議層進(jìn)行AI自學(xué)習(xí),得出流量趨勢和智能化的閾值,將固定檢測策略模版與AI智能化有效結(jié)合使用,通過AI算法學(xué)習(xí)經(jīng)驗(yàn)數(shù)據(jù),形成具備自學(xué)習(xí)、自進(jìn)化、自適應(yīng)特性的流量模型,將“被動應(yīng)對”發(fā)展成為“主動進(jìn)化”。實(shí)現(xiàn)安全防御經(jīng)歷從被動到主動防御,最終達(dá)到免疫。
在DDoS攻擊防御中通常依賴于對流量的信譽(yù)源分析。采用威脅情報(bào)庫、IP信譽(yù)庫等方式分析攻擊源的方式存在一定的缺陷。首先,這些庫覆蓋的IP地址是有限的。其次,這些庫中的信息具有一定的時效性。對外部對象信息未知且無有效參考信息時,可能導(dǎo)致攻擊漏防,防護(hù)策略只能采用籠統(tǒng)的告警閾值和策略,網(wǎng)絡(luò)互訪存在安全風(fēng)險(xiǎn)。
IP信譽(yù)分析不能僅僅依賴這些庫,還需要根據(jù)流量情況進(jìn)行動態(tài)調(diào)整,通過引入攻擊源的動態(tài)信譽(yù)調(diào)整算法來判斷流量中是否包含攻擊。通過對源IP的歷史數(shù)量、歸屬地、訪問頻率的分析學(xué)習(xí),可以提高以肉雞為主的應(yīng)用層攻擊的檢測效果。信譽(yù)風(fēng)險(xiǎn)感知技術(shù)為突破攻擊偽裝提供了新的思路,從流量樣本中提取風(fēng)險(xiǎn)評估要素,并根據(jù)源訪問行為模型和權(quán)威威脅情報(bào)的關(guān)聯(lián)分析,通過源歷史行為、源訪問頻率、源歸屬地等維度綜合判定源的信譽(yù)等級,在遭遇突發(fā)事件時能夠提供有針對性的處置建議,保障風(fēng)險(xiǎn)處置的實(shí)效性和有效性。在對流量進(jìn)行上述分析的基礎(chǔ)上結(jié)合行為分析。正常用戶訪問行為的訪問資源是無序的、不固定的,訪問頻率紊亂;僵尸網(wǎng)絡(luò)攻擊行為則因攻擊主題是程序設(shè)計(jì)出來的,靠輪詢完成一系列攻擊動作,攻擊目標(biāo)是精心選擇的,因此呈現(xiàn)出來的訪問行為是訪問資源固定、單一的,訪問頻率固定,單個源的pps可能不高,但QPS較高。
通過以上攻擊源動態(tài)信譽(yù)分析,可以有效提高DDoS防御能力,維護(hù)良好的網(wǎng)絡(luò)安全秩序。
本文分析了DDoS攻擊的現(xiàn)狀和防御DDoS攻擊面臨的挑戰(zhàn)。技術(shù)的不斷進(jìn)步,使得DDoS攻擊防護(hù)技術(shù)難度增大,所以在人工智能、流量清洗結(jié)合攻擊源動態(tài)信譽(yù)分析的同時,還需要全方位統(tǒng)籌管理、層層把關(guān)筑牢安全的防線,這樣才能達(dá)到事半功倍的效果。