胥素芳 郭拴岐

（陜西警官職業(yè)學(xué)院 陜西省西安市 710016）

1 引言

隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)帶寬的增加，高速廣泛互連的網(wǎng)絡(luò)給大家?guī)肀憷耐瑫r，也為DDoS攻擊創(chuàng)造了有利條件。據(jù)華為發(fā)布《2020年全球DDoS攻擊現(xiàn)狀與趨勢分析報(bào)告》中指出，2020年DDoS攻擊仍然呈整體上升態(tài)勢，攻擊者為了持續(xù)獲得顯著的攻擊效果，利用新技術(shù)使攻擊手法更復(fù)雜和多樣，提升了攻擊強(qiáng)度和復(fù)雜度，使得現(xiàn)有的防御技術(shù)更加難以緩解DDoS攻擊。[1]

2 DDoS攻擊的現(xiàn)狀

2.1 攻擊流量逐年增大

隨著云計(jì)算、移動互聯(lián)網(wǎng)以及IoT產(chǎn)業(yè)的發(fā)展，攻擊源也不再只是個人PC和服務(wù)器，存在漏洞的物聯(lián)網(wǎng)設(shè)備也被控制利用來進(jìn)行DDoS攻擊，導(dǎo)致攻擊流量越來越大，危害也越來越大。2018年3月，全球著名的代碼及開源項(xiàng)目托管網(wǎng)站GitHub遭受峰值達(dá)到1.35Tbps的DDoS攻擊，創(chuàng)歷史新高，標(biāo)志著DDoS攻擊規(guī)模正式邁入Tb級。

2.2 地下黑產(chǎn)日趨成熟，DDoS攻擊平臺化

技術(shù)的快速發(fā)展必然會導(dǎo)致分工，DDoS攻擊已經(jīng)有成熟的產(chǎn)業(yè)鏈，分工明確。黑客們專注于自己擅長的特定領(lǐng)域，有些負(fù)責(zé)挖掘漏洞、有的擅長開發(fā)工具、有的負(fù)責(zé)入侵，有的負(fù)責(zé)處理賬戶信息。DDoS攻擊工具和服務(wù)是中國地下黑市中最受歡迎的產(chǎn)品之一，平臺對外提供租用服務(wù)，租用者不需要具備任何專業(yè)知識，只需要輸入攻擊目標(biāo)的地址就可以完成整個攻擊過程，門檻低，攻擊成本低。

2.3 DDoS攻擊越來越復(fù)雜

在利用僵尸網(wǎng)絡(luò)的同時，攻擊流量越來越小，仿真程度越來越高，可以有效避開安全設(shè)備的檢測。攻擊不單純以消耗網(wǎng)絡(luò)帶寬為目標(biāo)，多種攻擊方式混合。

3 DDoS防護(hù)的挑戰(zhàn)

隨著網(wǎng)絡(luò)的普及和應(yīng)用，信息技術(shù)快速發(fā)展，網(wǎng)絡(luò)空間的安全成為關(guān)注的焦點(diǎn)，暴露在公眾視野中的可攻擊對象數(shù)量不斷擴(kuò)大。DDoS攻擊呈現(xiàn)組織化、規(guī)?；⒊掷m(xù)化的發(fā)展趨勢，對當(dāng)前的DDoS防護(hù)體系構(gòu)成了一系列新的挑戰(zhàn)。

3.1 挑戰(zhàn)一：信息滯后，策略實(shí)時調(diào)整難度大

在大多數(shù)網(wǎng)絡(luò)安全系統(tǒng)中，防護(hù)策略和關(guān)鍵點(diǎn)的決策主體依舊是人，處置效率很大程度上取決于人工經(jīng)驗(yàn)，對沒有處置先例的新的攻擊事件，易陷入被動局面，被動應(yīng)對。

3.2 挑戰(zhàn)二：靜態(tài)的防護(hù)策略導(dǎo)致誤報(bào)漏報(bào)出現(xiàn)的幾率越來越高，告警處置決策難

由于已知攻擊變種和未知攻擊的泛濫，靜態(tài)規(guī)則下制定的策略檢測效果衰減嚴(yán)重，有效告警占比下降，漏報(bào)攻擊占比提升，嚴(yán)重影響防護(hù)策略決策。

3.3 挑戰(zhàn)三：數(shù)據(jù)膨脹，融合分析建模難

大流量防護(hù)場景下，數(shù)據(jù)源數(shù)量井噴式爆發(fā)，導(dǎo)致檢測節(jié)點(diǎn)采集的數(shù)據(jù)關(guān)聯(lián)性弱，耦合度低，難以建立高質(zhì)量的數(shù)據(jù)分析模型，為攻擊判定提供可靠依據(jù)。

3.4 挑戰(zhàn)四：傳統(tǒng)的DDoS防護(hù)難以應(yīng)對頻發(fā)的未知的攻擊

隨著攻擊技術(shù)的不斷發(fā)展，攻擊者可利用的工具與日俱增，目前各類攻擊事件中，很大一部分攻擊均經(jīng)過精心偽裝，針對這樣的攻擊，現(xiàn)有攻擊分析和防護(hù)技術(shù)很難有效應(yīng)對，傳統(tǒng)抗DDoS防護(hù)的不足逐漸暴露。由于攻擊序列獨(dú)特，難以捕捉規(guī)律，既有的檢測模型相對固定，此時需要人工抓包進(jìn)行分析處置，響應(yīng)效率大打折扣。部分攻擊者利用真實(shí)源主機(jī)發(fā)起攻擊，其訪問行為與正常用戶無異，原有的基于閾值和源認(rèn)證等檢測技術(shù)效果不佳。

4 DDoS攻擊的防護(hù)策略

隨著技術(shù)的進(jìn)步，人工智能和流量清洗技術(shù)助力DDoS攻擊的防護(hù)。借力技術(shù)的同時，統(tǒng)籌管理和布局不容忽視。在互聯(lián)網(wǎng)上沒有真正的孤島，網(wǎng)絡(luò)世界的互聯(lián)互通，使得安全防護(hù)要全方位綜合部署，不能寄希望于一點(diǎn)解決所有問題，應(yīng)建立多層次不同粒度的防護(hù)，不同防護(hù)層次完成不同的任務(wù)。

4.1 全方位綜合防御，層層構(gòu)筑防線

單一的安全防護(hù)體系和被動的策略難以有效應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)攻擊。從網(wǎng)絡(luò)運(yùn)營商、網(wǎng)絡(luò)資源提供方、用戶全方位進(jìn)行防御，構(gòu)筑三道防線共同遏制DDoS攻擊。[2]

對于網(wǎng)絡(luò)運(yùn)營商要使用流量檢測設(shè)備對網(wǎng)內(nèi)任意目的地的流量進(jìn)行在線實(shí)時監(jiān)控，辨別攻擊來源區(qū)域，從而達(dá)到流量清洗。根據(jù)網(wǎng)絡(luò)的分層結(jié)構(gòu)，對關(guān)鍵網(wǎng)絡(luò)結(jié)點(diǎn)部署多個DDoS異常流量監(jiān)測中心和DDoS異常流量清洗中心，并部署管理中心。在全網(wǎng)建立互聯(lián)網(wǎng)信譽(yù)機(jī)制，營造和創(chuàng)建良好的網(wǎng)絡(luò)秩序，利用運(yùn)營商骨干網(wǎng)絡(luò)優(yōu)勢，信用等級與相應(yīng)的網(wǎng)絡(luò)服務(wù)進(jìn)行掛鉤。

對于網(wǎng)絡(luò)資源提供方要做好本地DDoS防護(hù)。網(wǎng)絡(luò)資源提供方作為DDoS攻擊的主要對象，會率先感知并觸發(fā)防護(hù)功能。為了實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)需要有基礎(chǔ)的防御措施，在安全要求高條件允許的情況下可以借助DDoS檢測設(shè)備、清洗設(shè)備和管理中心。如果流量超過防御閾值就認(rèn)為有異常，觸發(fā)通告，再依據(jù)管理中心的策略進(jìn)行引流到清洗設(shè)備。通過清洗識別攻擊流量并處置。在此基礎(chǔ)上網(wǎng)絡(luò)資源提供方需要建立一套行之有效的管理制度，制定攻擊事件快速響應(yīng)預(yù)案，定期發(fā)布安全態(tài)勢報(bào)表、匯總異常事件、處置異常告警、分析流量趨勢等，定期按計(jì)劃對預(yù)案進(jìn)行審核和演練。

對于本地用戶做硬件配置升級、優(yōu)化資源使用，提高Web服務(wù)器的負(fù)載能力。通過基礎(chǔ)防御措施，比如隱匿網(wǎng)絡(luò)服務(wù)器的真實(shí)IP，優(yōu)化DNS解析，及時進(jìn)行更新和漏洞修補(bǔ)，關(guān)閉存在安全隱患的端口和服務(wù)，縮小暴露幾率，降低被攻擊的風(fēng)險(xiǎn)等。

4.2 借助DDoS流量清洗

流量清洗顧名思義就是對網(wǎng)絡(luò)中存在的異常流量進(jìn)行清洗，保證正常流量的傳輸和業(yè)務(wù)的連續(xù)性。在現(xiàn)有的流量清洗解決方案中，流量清洗系統(tǒng)一般包括異常流量檢測模塊、異常流量清洗模塊和管理中心模塊組成。要做到準(zhǔn)確高效的流量清洗，異常流量的分析檢測仍然是關(guān)鍵技術(shù)。當(dāng)前使用的檢測技術(shù)有攻擊特征匹配、IP信源檢查、協(xié)議完整性驗(yàn)證、客戶端真實(shí)性驗(yàn)證、速度檢查與限制、協(xié)議代理和驗(yàn)證等技術(shù)。通過對訪問請求進(jìn)行過濾分析，對異常流量通過特征、基線、回復(fù)確認(rèn)等各種方式對異常流量進(jìn)行識別、清洗，然后將正常訪問流量回注到原有網(wǎng)絡(luò)中，此時從被保護(hù)的主機(jī)來看，并不存在DDoS攻擊，服務(wù)恢復(fù)正常。[3]

4.3 AI助力DDoS攻擊

傳統(tǒng)的DDoS攻擊檢測方法主要是通過對網(wǎng)絡(luò)中的數(shù)據(jù)類型（如：協(xié)議，標(biāo)志位）請求進(jìn)行統(tǒng)計(jì)，當(dāng)統(tǒng)計(jì)結(jié)果偏離預(yù)設(shè)閾值時，則認(rèn)為攻擊發(fā)生。固定閾值的維護(hù)難度很大，無法自適應(yīng)，要花費(fèi)運(yùn)維人員大量的精力和時間，閾值過大導(dǎo)致漏防，閾值過小導(dǎo)致誤防，這種方案實(shí)現(xiàn)比較簡單，不靈活，防護(hù)效果不佳，難以及時了解流量信息并調(diào)優(yōu)策略。如何分析流量趨勢、選定檢測閾值是決定防護(hù)效果的關(guān)鍵點(diǎn)也是難點(diǎn)問題。

常見的流量自學(xué)習(xí)功能普遍將所有應(yīng)用視為一個整體防護(hù)對象，根據(jù)一天中整個防護(hù)對象的流量趨勢篩選出峰值流量進(jìn)行自學(xué)習(xí)計(jì)算。此學(xué)習(xí)方式得到的結(jié)果雖然避免了固定閾值的“一刀切”式防護(hù)，但仍然存在不可避免的缺陷：無法針對單個IP進(jìn)行流量分析、學(xué)習(xí)間隙過長導(dǎo)致模型粗糙、特殊時間段（如凌晨、午休時間等）流量數(shù)據(jù)無參考價值、正常流量增長誤報(bào)為攻擊等?；贏I自學(xué)功能對DDoS異常流量的檢測數(shù)據(jù)進(jìn)行采集和分析，基于歷史數(shù)據(jù)和當(dāng)前流量建模。網(wǎng)絡(luò)中的流量數(shù)據(jù)是一個典型的時間序列數(shù)據(jù)。流量數(shù)據(jù)可能會呈現(xiàn)出多種周期性，大周期中嵌套了小周期。除了具有周期性之外，還具有一定的趨勢性和隨機(jī)性。趨勢性是一段時間內(nèi)流量數(shù)據(jù)呈現(xiàn)一定程度的整體上升或下降的趨勢。隨機(jī)性則是由于每個時間點(diǎn)，及每天的同一時間點(diǎn)使用網(wǎng)絡(luò)的情況都會有所不同，在一定的規(guī)律之外還包含著很大的隨機(jī)性。對流量的周期性、趨勢性和隨機(jī)性分開對數(shù)據(jù)進(jìn)行建模，分別采用不同算法進(jìn)行學(xué)習(xí)擬合。從數(shù)學(xué)模型的維度降低閾值判定過程中的主觀因素占比，使流量檢測閾值的界定流程標(biāo)準(zhǔn)化、簡單化。以NFDBPTD、STL等算法為基礎(chǔ)，基于AI技術(shù)的DDoS異常流量攻擊防護(hù)提供高頻度、多維度、細(xì)粒度的AI自學(xué)習(xí)功能，深入流量成分及協(xié)議層進(jìn)行AI自學(xué)習(xí)，得出流量趨勢和智能化的閾值，將固定檢測策略模版與AI智能化有效結(jié)合使用，通過AI算法學(xué)習(xí)經(jīng)驗(yàn)數(shù)據(jù)，形成具備自學(xué)習(xí)、自進(jìn)化、自適應(yīng)特性的流量模型，將“被動應(yīng)對”發(fā)展成為“主動進(jìn)化”。實(shí)現(xiàn)安全防御經(jīng)歷從被動到主動防御，最終達(dá)到免疫。

4.4 攻擊源動態(tài)信譽(yù)分析

在DDoS攻擊防御中通常依賴于對流量的信譽(yù)源分析。采用威脅情報(bào)庫、IP信譽(yù)庫等方式分析攻擊源的方式存在一定的缺陷。首先，這些庫覆蓋的IP地址是有限的。其次，這些庫中的信息具有一定的時效性。對外部對象信息未知且無有效參考信息時，可能導(dǎo)致攻擊漏防，防護(hù)策略只能采用籠統(tǒng)的告警閾值和策略，網(wǎng)絡(luò)互訪存在安全風(fēng)險(xiǎn)。

IP信譽(yù)分析不能僅僅依賴這些庫，還需要根據(jù)流量情況進(jìn)行動態(tài)調(diào)整，通過引入攻擊源的動態(tài)信譽(yù)調(diào)整算法來判斷流量中是否包含攻擊。通過對源IP的歷史數(shù)量、歸屬地、訪問頻率的分析學(xué)習(xí)，可以提高以肉雞為主的應(yīng)用層攻擊的檢測效果。信譽(yù)風(fēng)險(xiǎn)感知技術(shù)為突破攻擊偽裝提供了新的思路，從流量樣本中提取風(fēng)險(xiǎn)評估要素，并根據(jù)源訪問行為模型和權(quán)威威脅情報(bào)的關(guān)聯(lián)分析，通過源歷史行為、源訪問頻率、源歸屬地等維度綜合判定源的信譽(yù)等級，在遭遇突發(fā)事件時能夠提供有針對性的處置建議，保障風(fēng)險(xiǎn)處置的實(shí)效性和有效性。在對流量進(jìn)行上述分析的基礎(chǔ)上結(jié)合行為分析。正常用戶訪問行為的訪問資源是無序的、不固定的，訪問頻率紊亂；僵尸網(wǎng)絡(luò)攻擊行為則因攻擊主題是程序設(shè)計(jì)出來的，靠輪詢完成一系列攻擊動作，攻擊目標(biāo)是精心選擇的，因此呈現(xiàn)出來的訪問行為是訪問資源固定、單一的，訪問頻率固定，單個源的pps可能不高，但QPS較高。

通過以上攻擊源動態(tài)信譽(yù)分析，可以有效提高DDoS防御能力，維護(hù)良好的網(wǎng)絡(luò)安全秩序。

5 結(jié)語

本文分析了DDoS攻擊的現(xiàn)狀和防御DDoS攻擊面臨的挑戰(zhàn)。技術(shù)的不斷進(jìn)步，使得DDoS攻擊防護(hù)技術(shù)難度增大，所以在人工智能、流量清洗結(jié)合攻擊源動態(tài)信譽(yù)分析的同時，還需要全方位統(tǒng)籌管理、層層把關(guān)筑牢安全的防線，這樣才能達(dá)到事半功倍的效果。