張 彥1, 韋云凱, 唐義良, 周思佩

(1.奧斯陸大學(xué) 信息學(xué)院， 挪威 奧斯陸 0316;2.電子科技大學(xué) 信息與通信工程學(xué)院， 四川 成都 611731)

在互聯(lián)網(wǎng)、蜂窩網(wǎng)、物聯(lián)網(wǎng)等各種形態(tài)的傳統(tǒng)和新興網(wǎng)絡(luò)中，分布式攻擊非常普遍.其中最常見(jiàn)的是分布式拒絕服務(wù)攻擊(Distributed Denial of Service, DDoS)[1]，該攻擊旨在通過(guò)向受害者(機(jī)器或網(wǎng)絡(luò))發(fā)送大量流量以耗盡服務(wù)、連接容量或帶寬來(lái)拒絕或影響合法用戶的正常服務(wù).2018年2月，面向開(kāi)源軟件項(xiàng)目的著名托管平臺(tái)Github遭遇了可能是迄今為止最大的DDoS攻擊，最高訪問(wèn)量為1.35 Tbps，導(dǎo)致其經(jīng)歷了兩次間歇性不可訪問(wèn).Imperva公司的報(bào)告顯示，2018年DDoS攻擊峰值流量已達(dá)1.7 Tbps，在2019年4月的一起DDoS攻擊事件中，DDoS攻擊強(qiáng)度已達(dá)580Mpps(packets per second).多次的攻擊事件表明，對(duì)以DDoS為代表的分布式攻擊及其防御技術(shù)進(jìn)行研究，具有重要的理論意義和應(yīng)用價(jià)值.

當(dāng)前學(xué)術(shù)界和工業(yè)界都對(duì)分布式攻擊的防御進(jìn)行了大量的研究，并提出了諸多的防御方法.然而，道高一尺魔高一丈，分布式攻擊的方式也在不斷演變、進(jìn)化，目前針對(duì)分布式攻擊的防御策略一直處于被動(dòng)防范的境地.更為嚴(yán)重的是，隨著人工智能和分布式協(xié)作技術(shù)的迅猛發(fā)展，將分布式協(xié)作、人工智能融入到網(wǎng)絡(luò)攻擊的智能分布式攻擊也得到了迅速的發(fā)展.網(wǎng)絡(luò)中實(shí)施攻擊的主體將不再是單純的人類智能，而是以機(jī)器學(xué)習(xí)、神經(jīng)網(wǎng)絡(luò)等為代表的人工智能，尤其是以大數(shù)據(jù)、分布式訓(xùn)練與協(xié)作等為特征的分布式智能系統(tǒng)，這將導(dǎo)致安全攻防節(jié)奏、隱蔽性、速度、影響等方面發(fā)生根本性的變化, 從而使網(wǎng)絡(luò)安全面臨愈加巨大的威脅和挑戰(zhàn).

面對(duì)這種迅速發(fā)展的智能分布式攻擊，當(dāng)前的應(yīng)對(duì)思路還主要是傳統(tǒng)的防御模式和策略.然而，智能分布式攻擊對(duì)現(xiàn)有防御體系帶來(lái)的是跨代式的挑戰(zhàn)，傳統(tǒng)的防御體系面對(duì)這種智能分布式攻擊時(shí)將幾乎毫無(wú)招架之力.為此，本文針對(duì)智能分布式攻擊與防御問(wèn)題，進(jìn)行了如下分析：

(1)對(duì)傳統(tǒng)分布式攻擊與防御技術(shù)進(jìn)行分類與總結(jié)，為智能分布式攻擊與防御的分析研究提供了基礎(chǔ)；

(2)基于人工智能技術(shù)，分析了人工智能與分布式攻擊相結(jié)合的機(jī)制、模式與應(yīng)用現(xiàn)狀；

(3)以人工智能為基礎(chǔ)，總結(jié)了面向傳統(tǒng)分布式攻擊的智能防御措施，并探討了面向智能分布式攻擊的精準(zhǔn)反制策略.

1 傳統(tǒng)分布式攻擊與防御

本節(jié)首先對(duì)傳統(tǒng)分布式攻擊的類型與特征進(jìn)行了總結(jié)，在此基礎(chǔ)上，介紹了針對(duì)傳統(tǒng)分布式攻擊的防御方法.

1.1 分布式攻擊

分布式攻擊改變了點(diǎn)對(duì)點(diǎn)的攻擊模式，引入了多點(diǎn)對(duì)單點(diǎn)以及多點(diǎn)對(duì)多點(diǎn)的攻擊模式.在傳統(tǒng)的分布式攻擊系統(tǒng)中，存在一個(gè)以全局方式管理攻擊的分布式攻擊管理中心，攻擊發(fā)起者可以通過(guò)管理中心調(diào)度多個(gè)攻擊源，從而對(duì)攻擊目標(biāo)發(fā)起相應(yīng)的分布式攻擊.

分布式攻擊分類如圖1所示.分布式攻擊主要分為兩類：①分布式拒絕服務(wù)攻擊(DDoS);②其他網(wǎng)絡(luò)攻擊的分布式實(shí)施.DDoS攻擊是最常見(jiàn)的分布式攻擊[2-3]，該攻擊旨在通過(guò)向受害者(機(jī)器或網(wǎng)絡(luò))發(fā)送大量流量以耗盡服務(wù)、連接容量或帶寬來(lái)拒絕或影響合法用戶的正常服務(wù).其他網(wǎng)絡(luò)攻擊的分布式實(shí)施指?jìng)鹘y(tǒng)單點(diǎn)攻擊在多點(diǎn)上的應(yīng)用(如分布式中間人攻擊便是傳統(tǒng)中間人攻擊的分布式應(yīng)用)，在分布式協(xié)作的輔助下，這些攻擊的效果會(huì)得到顯著提升.

圖1 分布式攻擊分類Fig.1 Classification of distributed attack

1.1.1 DDoS攻擊

DDoS攻擊是使用多個(gè)分布式節(jié)點(diǎn)對(duì)目標(biāo)發(fā)動(dòng)的資源耗盡攻擊[4].這類攻擊并不直接或者永久地破壞數(shù)據(jù)，而是故意破壞資源的可用性，使合法用戶的請(qǐng)求得不到響應(yīng).

對(duì)于攻擊者來(lái)說(shuō)，連接到互聯(lián)網(wǎng)的每臺(tái)設(shè)備都能變成僵尸主機(jī).攻擊者通過(guò)發(fā)現(xiàn)聯(lián)網(wǎng)設(shè)備的漏洞，在這些設(shè)備中種植惡意代碼從而控制它們.在開(kāi)始攻擊之前，攻擊者會(huì)試圖控制盡可能多的設(shè)備，僵尸主機(jī)的數(shù)量可能達(dá)到數(shù)百甚至數(shù)千.僵尸網(wǎng)絡(luò)的大小決定了攻擊強(qiáng)度的級(jí)別和大小，大型僵尸網(wǎng)絡(luò)會(huì)發(fā)動(dòng)災(zāi)難性的攻擊[5].

DDoS攻擊通常使用的是常見(jiàn)的協(xié)議和服務(wù)，因此，從協(xié)議和服務(wù)的類型上很難對(duì)攻擊進(jìn)行區(qū)分.攻擊產(chǎn)生時(shí)，攻擊數(shù)據(jù)包經(jīng)過(guò)偽裝，其源IP地址被偽造，攻擊查找方很難對(duì)攻擊地址進(jìn)行確定，給分布式攻擊的檢測(cè)與防范帶來(lái)了難度.

按照不同的分類標(biāo)準(zhǔn)，可將DDoS攻擊分為六種不同的類型.

(1)基于攻擊效果：分為針對(duì)網(wǎng)絡(luò)帶寬流量攻擊和針對(duì)服務(wù)器主機(jī)資源耗盡攻擊.前者通過(guò)發(fā)送大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒(méi)而無(wú)法到達(dá)目的主機(jī)；后者是通過(guò)大量攻擊包導(dǎo)致目標(biāo)服務(wù)器的內(nèi)存、CPU等資源被內(nèi)核及應(yīng)用程序耗盡，從而無(wú)法向合法用戶提供網(wǎng)絡(luò)服務(wù).

(2)基于攻擊環(huán)節(jié)：分為網(wǎng)絡(luò)掃描攻擊和惡意軟件攻擊.DDoS在攻擊之前需要進(jìn)行網(wǎng)絡(luò)掃描[6]，攻擊者利用系統(tǒng)軟硬件或者網(wǎng)絡(luò)協(xié)議上存在的漏洞或者開(kāi)放端口，在未經(jīng)授權(quán)的情況下訪問(wèn)或者破壞系統(tǒng)資源.在發(fā)現(xiàn)了互聯(lián)網(wǎng)中具有漏洞的主機(jī)之后，攻擊者可以將惡意軟件通過(guò)代碼植入到該主機(jī)上，形成對(duì)該主機(jī)的挾持和控制.這些惡意應(yīng)用程序如廣告軟件、蠕蟲(chóng)、木馬等能夠竊取和泄露用戶個(gè)人數(shù)據(jù)、運(yùn)行惡意代碼、降低設(shè)備整體的性能，并且它們可以通過(guò)直接分布在服務(wù)器上，在應(yīng)用程序商店隱藏自己[7].

(3)基于自動(dòng)化程度[8]：根據(jù)DDoS攻擊的自動(dòng)化程度可以將DDoS攻擊分為手動(dòng)DDoS、半自動(dòng)DDoS以及自動(dòng)DDoS.手動(dòng)DDoS需要攻擊者自行網(wǎng)絡(luò)掃描、挾持控制漏洞設(shè)備并安裝攻擊代碼.半自動(dòng)攻擊中，攻擊者只需要在攻擊調(diào)度中心設(shè)置攻擊類型和強(qiáng)度，選擇攻擊目標(biāo)，然后調(diào)控負(fù)責(zé)攻擊程序處理的主機(jī)去自動(dòng)控制僵尸主機(jī)并且發(fā)起最后的DDoS攻擊.在自動(dòng)DDoS攻擊中，攻擊屬性的設(shè)定(比如攻擊類型、開(kāi)始時(shí)間、選擇攻擊目標(biāo)，等等)是在攻擊代碼中完成的，攻擊者只需要發(fā)送攻擊命令，攻擊設(shè)備和攻擊者之間只保持間接的通信，因此，被攻擊方很難發(fā)現(xiàn)攻擊者的身份.這種攻擊的主要弱點(diǎn)是攻擊者的后門面向僵尸主機(jī)開(kāi)放，防御者可以通過(guò)僵尸主機(jī)對(duì)攻擊者進(jìn)行追蹤和反擊.

(4)基于攻擊所利用的弱點(diǎn)：文獻(xiàn)[9-10]將DDoS攻擊分為洪泛DDoS攻擊和漏洞DDoS攻擊.洪泛DDoS攻擊是指攻擊者通過(guò)在網(wǎng)絡(luò)中發(fā)送大量報(bào)文來(lái)耗盡被攻擊者的網(wǎng)絡(luò)帶寬，從而阻止合法用戶的服務(wù)連接.洪泛DDoS攻擊可分為直接模式和間接模式.間接模式下，攻擊者通過(guò)篡改 IP 地址冒充被攻擊者向服務(wù)器發(fā)送請(qǐng)求，服務(wù)器則會(huì)將響應(yīng)發(fā)送至被攻擊者，從而耗盡被攻擊者的資源.在此服務(wù)器充當(dāng)了攻擊反射器的功能，因此間接模式的洪泛DDoS攻擊也稱為反射洪泛攻擊[11].Smurf攻擊和Fraggle攻擊都屬于此類攻擊.漏洞DDoS攻擊是指攻擊者利用網(wǎng)絡(luò)協(xié)議中的漏洞進(jìn)行攻擊，如基于TCP-SYN的攻擊、放大攻擊等.基于TCP-SYN的攻擊利用了TCP連接中三次握手的機(jī)制，攻擊者通過(guò)傳輸大量SYN數(shù)據(jù)包而不確認(rèn)響應(yīng)，阻塞服務(wù)器可用TCP連接隊(duì)列，消耗系統(tǒng)資源和可用帶寬，造成拒絕服務(wù).放大攻擊是指攻擊者通過(guò)某些網(wǎng)絡(luò)協(xié)議服務(wù)的特殊性使得自身發(fā)出的報(bào)文流量得到放大，常用于配合反射洪泛攻擊使大量的網(wǎng)絡(luò)流量涌向被攻擊者，達(dá)到更好的攻擊效果.

(5)按照DDoS攻擊所處的協(xié)議層次：根據(jù)協(xié)議層次劃分，DDoS攻擊的發(fā)生主要分布在應(yīng)用層及傳輸層/網(wǎng)絡(luò)層.雖然在數(shù)據(jù)鏈路層可以通過(guò)洪泛攻擊的方式來(lái)耗盡網(wǎng)絡(luò)資源，從而達(dá)到與DDoS攻擊同樣的效果，但是從方式和原理上來(lái)講，該類攻擊不具備DDoS攻擊的典型特征.表1展示了DDoS在不同協(xié)議層次中典型的攻擊類型.

表1按照受影響的協(xié)議層次對(duì)DDoS攻擊進(jìn)行分類

Table 1 Classification of DDoS attack according to protocol layer

協(xié)議層次攻擊類型示例應(yīng)用層反射/放大攻擊Smurf 攻擊和Fraggle 攻擊等HTTP 洪泛攻擊會(huì)話洪泛攻擊、請(qǐng)求洪泛攻擊、非對(duì)稱攻擊如HTTP get/post 洪泛、慢請(qǐng)求/慢響應(yīng)攻擊如Slowloris、HTTP 碎片攻擊等傳輸層/網(wǎng)絡(luò)層一般洪泛攻擊UDP、ICMP、DNS等利用協(xié)議漏洞的洪泛攻擊TCP-SYN、ACK & PUSH-ACK、RST/FIN 等反射/放大攻擊與應(yīng)用層的原理相似

(6)基于攻擊的速率：分為持續(xù)速率攻擊和可變速率攻擊.持續(xù)速率攻擊的攻擊性能參數(shù)不變，而可變速率可以改變攻擊的性能參數(shù)，根據(jù)攻擊效果的反饋進(jìn)行參數(shù)更改，使得對(duì)其進(jìn)行的檢測(cè)和預(yù)防更加困難[12].

1.1.2 其他網(wǎng)絡(luò)攻擊的分布式實(shí)施

除了DDoS攻擊，網(wǎng)絡(luò)中還存在其他網(wǎng)絡(luò)攻擊的分布式實(shí)施.對(duì)于常見(jiàn)的攻擊方式，可以通過(guò)在多個(gè)分布式節(jié)點(diǎn)上部署該攻擊方式，實(shí)現(xiàn)原有攻擊方式在強(qiáng)度、范圍、效果、持久度等方面的提升，如分布式的高級(jí)持續(xù)性威脅攻擊(Advanced Persistent Threat，APT)，分布式中間人攻擊(Man-in-the-MiddleAttack，MITM)，分布式嗅探攻擊等.

分布式APT攻擊在攻擊成功后廣泛使用遠(yuǎn)程訪問(wèn)工具(如Poison IVY)或遠(yuǎn)程訪問(wèn)特洛伊木馬來(lái)遠(yuǎn)程控制受害者[13-14].

MITM 攻擊中，攻擊者通過(guò)惡意修改自身網(wǎng)絡(luò)硬件MAC 地址或 IP 地址進(jìn)行身份偽裝，與通信兩端建立單獨(dú)的連接并交換接收數(shù)據(jù)，從而使得通信的兩端都認(rèn)為它們通過(guò)專用連接相互通信，但事實(shí)上整個(gè)對(duì)話是完全由攻擊者控制的[15]，常見(jiàn)的有 ARP 欺騙、DNS 欺騙、網(wǎng)頁(yè)劫持等.分布式MITM以攔截和篡改網(wǎng)絡(luò)流量為目的，極大地威脅著分布式智能網(wǎng)絡(luò)的通信安全.

分布式嗅探攻擊是指網(wǎng)絡(luò)信息交換過(guò)程中，利用分布式網(wǎng)絡(luò)嗅探工具得到在網(wǎng)絡(luò)中交互的數(shù)據(jù)包，從而對(duì)數(shù)據(jù)包完成智能分析，并得到網(wǎng)絡(luò)分析所需要的網(wǎng)絡(luò)數(shù)據(jù).在網(wǎng)絡(luò)嗅探中所得到的網(wǎng)絡(luò)數(shù)據(jù)通常包括網(wǎng)絡(luò)賬號(hào)、用戶口令信息、關(guān)鍵文本等重要數(shù)據(jù).嗅探攻擊工作在網(wǎng)絡(luò)環(huán)境底層，是極其安靜的，是一種被動(dòng)攻擊，此類攻擊很難被察覺(jué),只能針對(duì)敏感報(bào)文實(shí)施加密進(jìn)行防范.需要警惕的是嗅探攻擊不單在有線網(wǎng)絡(luò)上，在無(wú)線網(wǎng)絡(luò)也可以完成監(jiān)聽(tīng).比如在智能物聯(lián)網(wǎng)中，物與物主要通過(guò)無(wú)線網(wǎng)進(jìn)行數(shù)據(jù)交互，一旦被分布式網(wǎng)絡(luò)嗅探攻擊竊取了用戶信息，將造成隱私泄露和巨大的經(jīng)濟(jì)損失.

1.2 面向分布式攻擊的傳統(tǒng)防御機(jī)制

網(wǎng)絡(luò)中的分布式攻擊往往難以被檢測(cè)，原因主要有兩點(diǎn)：①在大多數(shù)情況下，攻擊發(fā)起時(shí)的流量與正常流量特征類似[4,16]；②分布式攻擊種類繁多，不同的分布式攻擊并不具有辨識(shí)度較高的共同屬性.

為了對(duì)分布式攻擊進(jìn)行防御，一些解決方案利用預(yù)防和反應(yīng)機(jī)制來(lái)減輕受害者網(wǎng)絡(luò)、中間網(wǎng)絡(luò)和源網(wǎng)絡(luò)中分布式攻擊的影響[17].分布式攻擊防御體系見(jiàn)圖2.

圖2 分布式攻擊的防御體系Fig.2 Defense hierarchy against distributed attack

最常用的防御機(jī)制包括攻擊預(yù)防、入侵檢測(cè)和攻擊反應(yīng)三部分.攻擊預(yù)防嘗試在攻擊造成損害之前過(guò)濾入口和出口流量，如常見(jiàn)的防火墻技術(shù)等.入侵檢測(cè)指的是對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中的各種主要信息進(jìn)行收集和分析，在不影響網(wǎng)絡(luò)指標(biāo)的前提下，檢測(cè)出計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中是否存在被外界攻擊或者違反某些安全性能的行為[18-19].通過(guò)收集到的入侵信息和證據(jù)，起到及時(shí)處理事故和恢復(fù)數(shù)據(jù)的作用.攻擊反應(yīng)旨在最大限度地減少分布式攻擊的損失[20-21].具體描述如下：

(1)攻擊預(yù)防：設(shè)備級(jí)別設(shè)置.在設(shè)備級(jí)存在一些基于身份驗(yàn)證的安全方案，如路由器和交換機(jī)，以防止網(wǎng)絡(luò)和設(shè)備遭受各種攻擊.它們還為DDoS攻擊提供了有效的第一道防線，具體方法有設(shè)置路由訪問(wèn)控制列表、串聯(lián)防火墻安全設(shè)備等.

(2)入侵檢測(cè).正常和攻擊模式的統(tǒng)計(jì)屬性可用于識(shí)別DDoS攻擊.一般來(lái)說(shuō)，首先計(jì)算常規(guī)數(shù)據(jù)的統(tǒng)計(jì)模型，然后使用統(tǒng)計(jì)歸納測(cè)試來(lái)確定新的數(shù)據(jù)實(shí)例是否屬于該模型，不符合模型規(guī)則的數(shù)據(jù)實(shí)例被歸為具有攻擊特性的數(shù)據(jù).也就是說(shuō)，入侵檢測(cè)是通過(guò)預(yù)處理器審計(jì)未知情況下的數(shù)據(jù)，形成數(shù)學(xué)向量形式，然后根據(jù)判決函數(shù)，運(yùn)用入侵檢測(cè)模型將這些數(shù)字向量分類，最后向決策系統(tǒng)提交分類結(jié)果，由決策系統(tǒng)做出判斷.檢測(cè)方式是多樣的，主要有基于流量、地址以及數(shù)據(jù)包頭信息變化等方式.機(jī)器學(xué)習(xí)技術(shù)在入侵檢測(cè)中具有相應(yīng)的應(yīng)用，如貝葉斯網(wǎng)絡(luò)、模糊邏輯、遺傳算法、K-NN算法、神經(jīng)網(wǎng)絡(luò)、多智能體智能代理系統(tǒng)(多agent系統(tǒng))、支持向量機(jī)等.統(tǒng)計(jì)學(xué)相關(guān)技術(shù)有參數(shù)化方法，常見(jiàn)的參數(shù)檢測(cè)方法如Parametric method、Operational、Spectral、Statistical moments等.此外，許多研究已經(jīng)建立了非參數(shù)方法作為抵御DDoS攻擊的有效防御方法.常見(jiàn)的非參數(shù)檢測(cè)方法有D-WARD，改變聚集樹(shù)(CATS)，低特征值(FFV)，回歸分析、馬爾可夫方法、統(tǒng)計(jì)分離和時(shí)間序列.

(3)攻擊反應(yīng).在攻擊監(jiān)測(cè)系統(tǒng)確定網(wǎng)絡(luò)遭到DDoS 攻擊后，防御系統(tǒng)能夠采取的有效響應(yīng)包括：確認(rèn)攻擊源、相應(yīng)地進(jìn)行漏洞修復(fù)、弱化攻擊.溯源機(jī)制是指通過(guò)一些機(jī)制識(shí)別攻擊的源頭，從而從源頭上減弱或者阻止攻擊.已有方法有基于熵變化、包標(biāo)記、逐跳跟蹤、ICMP消息傳遞、IP-Sec跟蹤等.

2 智能分布式攻擊

近些年，人工智能技術(shù)的發(fā)展使得智能分布式攻擊出現(xiàn)并引起了廣泛的關(guān)注，攻擊主體由人工實(shí)施變?yōu)橐愿咝?、自?dòng)、智能的人工智能發(fā)起攻擊，攻擊方式出現(xiàn)了與傳統(tǒng)模式全然不同的特點(diǎn).攻擊的速度、規(guī)模、模式、影響等都發(fā)生了根本性的變化.

2.1 人工智能

人工智能來(lái)源于“假設(shè)關(guān)于學(xué)習(xí)過(guò)程的每個(gè)方面以及所有的智力特征都可以被精確地描述，以使機(jī)器可以模擬學(xué)習(xí)過(guò)程”.人工智能技術(shù)通過(guò)了解智能的實(shí)質(zhì)，產(chǎn)生出一種新的能以人類智能相似的方式做出反應(yīng)的智能機(jī)器.

人類的學(xué)習(xí)過(guò)程主要有三個(gè)階段：①對(duì)外界事物的感知;②對(duì)感知到的事物進(jìn)行思考;③產(chǎn)生學(xué)習(xí)結(jié)果.同時(shí)，人類會(huì)持續(xù)對(duì)外界進(jìn)行感知，不斷重復(fù)過(guò)程，更新自己的學(xué)習(xí)結(jié)果.受人類智能啟發(fā)，人工智能也通過(guò)類似過(guò)程產(chǎn)生智能機(jī)器.機(jī)器通過(guò)“感知”過(guò)程收集外界數(shù)據(jù)，利用智能算法對(duì)數(shù)據(jù)進(jìn)行學(xué)習(xí)，得到學(xué)習(xí)結(jié)果.之后智能機(jī)器持續(xù)收集數(shù)據(jù)對(duì)學(xué)習(xí)結(jié)果進(jìn)行更新.人類有不同的學(xué)習(xí)方式，而人工智能中的智能算法便是機(jī)器不同學(xué)習(xí)方式的體現(xiàn)，即使是對(duì)同一份數(shù)據(jù)，不同的學(xué)習(xí)算法學(xué)習(xí)到的結(jié)果也會(huì)有些許差異，在實(shí)踐中需要根據(jù)不同的學(xué)習(xí)問(wèn)題選擇適合的算法.

人工智能的介入，將導(dǎo)致分布式攻擊的速度、規(guī)模、模式、影響等發(fā)生根本性的變化.這種變化是指數(shù)式的變化，原有的攻防機(jī)理、模型、策略等都不再適用.不僅如此，以大數(shù)據(jù)、分布式訓(xùn)練與協(xié)作等為特征的智能分布式攻擊，在攻防隱蔽性、協(xié)同效率、速度影響等方面更呈現(xiàn)出與傳統(tǒng)模式截然不同的特征.傳統(tǒng)的防御、反制方式難以奏效，尤其是隨著群體智能等相關(guān)技術(shù)的發(fā)展，攻擊方可以基于獨(dú)立自發(fā)而又高效協(xié)同的群體模式，實(shí)施更加隱蔽、高效、突發(fā)、全面、針對(duì)性的攻擊，這對(duì)網(wǎng)絡(luò)安全、經(jīng)濟(jì)安全、社會(huì)安全以至于國(guó)家安全都將帶來(lái)巨大的隱患.

2.2 基于人工智能的分布式攻擊

本小節(jié)從人工智能與分布式攻擊的結(jié)合方式、智能分布式攻擊模式、智能分布式攻擊現(xiàn)狀三個(gè)方面，對(duì)基于人工智能的分布式攻擊進(jìn)行分析.

2.2.1 人工智能與分布式攻擊的結(jié)合方式

人工智能與分布式攻擊的結(jié)合主要體現(xiàn)在三個(gè)方面：①利用人工智能學(xué)習(xí)特征環(huán)境增強(qiáng)攻擊效果與隱蔽性;②利用人工智能增強(qiáng)分布式協(xié)作效果;③利用人工智能實(shí)現(xiàn)攻擊方式的自我進(jìn)化.

(1)學(xué)習(xí)特征環(huán)境

在一個(gè)網(wǎng)絡(luò)環(huán)境中，其數(shù)據(jù)、數(shù)據(jù)傳送方法等均具有一定的網(wǎng)絡(luò)特征.利用人工智能對(duì)相關(guān)數(shù)據(jù)進(jìn)行收集、分析、建模的過(guò)程，可以使得分布式攻擊的攻擊方學(xué)習(xí)到一個(gè)網(wǎng)絡(luò)環(huán)境中關(guān)于正常數(shù)據(jù)、正常傳送方法等環(huán)境特征的甄別標(biāo)準(zhǔn)，在此基礎(chǔ)上，攻擊者可以參考這些標(biāo)準(zhǔn)，進(jìn)而在相關(guān)標(biāo)準(zhǔn)下選擇合適的攻擊手段.例如，將攻擊數(shù)據(jù)偽裝成具有正常特征的普通數(shù)據(jù)，從而使得攻擊更具隱蔽性，增強(qiáng)攻擊的危害性.

(2)提高分布式協(xié)作效果

分布式攻擊的效果，很大程度上取決于分布式協(xié)作效率的高低.與傳統(tǒng)的分布式攻擊不同，智能分布式攻擊的協(xié)作可以通過(guò)人工智能的參與，增強(qiáng)多個(gè)分布式攻擊節(jié)點(diǎn)間的協(xié)作效率.根據(jù)協(xié)同位置的不同，可分為智能中心統(tǒng)一協(xié)調(diào)分布式攻擊實(shí)體的類型，分布式智能攻擊實(shí)體獨(dú)立決策的類型，以及兩者結(jié)合的類型.類型不同，智能分布式攻擊的模式也不一樣，具體見(jiàn)2.2.2中的描述.

(3)攻擊方式的智能進(jìn)化

基于人工智能，可以實(shí)現(xiàn)分布式攻擊方式的自我演變與進(jìn)化.人工智能模塊分析不同攻擊方式下的攻擊效果，以及防御方的應(yīng)對(duì)措施，從而針對(duì)防御方的弱點(diǎn)自動(dòng)提升攻擊機(jī)制，實(shí)現(xiàn)攻擊方式的智能進(jìn)化.比如，防御方啟用了入侵檢測(cè)系統(tǒng)，其檢測(cè)結(jié)果就成為了攻擊效果的反饋數(shù)據(jù)，攻擊者可以通過(guò)人工智能技術(shù)對(duì)這種反饋數(shù)據(jù)進(jìn)行收集、分析、建模，得到相應(yīng)的統(tǒng)計(jì)模型，并基于該模型調(diào)整攻擊方式，從而使得入侵檢測(cè)系統(tǒng)失去防御的效果，攻擊方式也由此得到進(jìn)化.

2.2.2 智能分布式攻擊模式分析

根據(jù)智能實(shí)體與分布式攻擊實(shí)體協(xié)作的實(shí)施位置，智能分布式攻擊可以分為三種模式.

(1)基于中心控制節(jié)點(diǎn)的智能分布式攻擊

基于中心控制節(jié)點(diǎn)的智能分布式攻擊見(jiàn)圖3.

圖3 基于中心控制節(jié)點(diǎn)的智能分布式攻擊

Fig.3 Intelligent distributed attack based on central control node

如圖3所示，智能攻擊模塊只部署在攻擊發(fā)起者節(jié)點(diǎn)自身.這種模式下，攻擊發(fā)起節(jié)點(diǎn)作為智能中心控制節(jié)點(diǎn)，其他攻擊節(jié)點(diǎn)不具備獨(dú)立的決策和行動(dòng)能力，而是完全受中心控制節(jié)點(diǎn)的統(tǒng)一調(diào)配，采取相應(yīng)的行動(dòng).如智能中心節(jié)點(diǎn)控制大量分布在世界各處的僵尸主機(jī)發(fā)起直接攻擊或反射式攻擊等.這種方式可以提高分布式攻擊的整體性與一致性.

(2)分布式攻擊智能實(shí)體獨(dú)立決策型

全智能分布式攻擊見(jiàn)圖4.

如圖4所示，在所有攻擊節(jié)點(diǎn)中都部署智能攻擊模塊.所有分布式攻擊節(jié)點(diǎn)都有獨(dú)立的智能決策和行動(dòng)能力，可以基于智能分析獨(dú)立決定攻擊發(fā)起的時(shí)間、方式、范圍等.

圖4 全智能分布式攻擊Fig.4 Pure intelligent distributed attack

這種模式采用了群體智能的思想，各攻擊實(shí)體具有獨(dú)立的智能，同時(shí)又遵守一組預(yù)先設(shè)定的基本規(guī)則，從而形成遠(yuǎn)超單獨(dú)攻擊實(shí)體的更高層次的群體智慧和攻擊效果.由于各攻擊實(shí)體獨(dú)立決策，各個(gè)攻擊實(shí)體可以迅速地根據(jù)所處網(wǎng)絡(luò)環(huán)境的變化，靈活調(diào)整相應(yīng)的攻擊策略.

(3)中心+群智模式

中心+群智模式見(jiàn)圖5.

圖5 中心+群智模式Fig.5 Central intelligence + swarm intelligence pattern

如圖5所示，中心+群智模式是前面兩種模式的結(jié)合.各個(gè)分布式攻擊實(shí)體本身具備一定的智能決策能力，但是為了進(jìn)一步提高分布式協(xié)同效率，各攻擊實(shí)體同時(shí)接受中心智能控制實(shí)體的整體調(diào)度.從而，形成既有整體智能協(xié)同、又有個(gè)體獨(dú)立智能決策的模式.這種模式既可以更好地適應(yīng)網(wǎng)絡(luò)情況的快速變化，同時(shí)又可以保證智能分布式攻擊的整體性與一致性.

2.2.3 智能分布式攻擊現(xiàn)狀分析

目前，智能分布式攻擊的具體實(shí)例及研究披露都相對(duì)較少，智能DDoS攻擊是目前最常見(jiàn)的智能分布式網(wǎng)絡(luò)攻擊方式[22].傳統(tǒng)的DDoS攻擊可以通過(guò)提高客戶端到服務(wù)器的路徑可用性解決.但是智能DDoS攻擊除了擁塞節(jié)點(diǎn)之外，還可以進(jìn)入防御節(jié)點(diǎn)系統(tǒng)結(jié)構(gòu)，根據(jù)通信鏈確定受害者的鄰居，對(duì)受害者及其鄰居實(shí)施系統(tǒng)性的攻擊.由此，攻擊者可以顯著惡化損害，而不是純粹的隨機(jī)擁塞.具體而言，攻擊者可以使用攻擊公開(kāi)節(jié)點(diǎn)的結(jié)果來(lái)引導(dǎo)對(duì)其他公開(kāi)節(jié)點(diǎn)的后續(xù)擁塞攻擊，并且攻擊者可以遍歷轉(zhuǎn)發(fā)器節(jié)點(diǎn)之間的通信鏈，甚至能披露服務(wù)器以最終擁塞它并使服務(wù)完全癱瘓[23].

(1)自動(dòng)化工具

早期的DDoS攻擊大多是手動(dòng)的，攻擊者必須執(zhí)行幾個(gè)步驟，包括在最終攻擊發(fā)起之前檢測(cè)有漏洞的計(jì)算機(jī)以便在Internet上生成僵尸，端口掃描和部署惡意軟件.目前，隨著智能技術(shù)的發(fā)展，DDoS攻擊工具已經(jīng)變得自動(dòng)化和復(fù)雜化，從而允許攻擊者以最少的人力來(lái)自動(dòng)執(zhí)行所有或部分步驟[24].攻擊者可以配置特定于目標(biāo)的參數(shù)，而其他參數(shù)可以通過(guò)自動(dòng)化工具進(jìn)行管理.這些自動(dòng)攻擊工具包括Trinoo，Tribe Flood Network(TFN)，TFN2K，Trinity，Knight和Stacheldraht等，其中大部分都基于互聯(lián)網(wǎng)中繼聊天協(xié)議(IRC)工作，攻擊者所使用的控制主機(jī)和僵尸主機(jī)之間可以間接通信，而不必透露自己的身份[25].

(2)檢測(cè)逃避

與人工智能在分布式拒絕服務(wù)攻擊防御上的應(yīng)用相對(duì)應(yīng)，攻擊者可以學(xué)習(xí)模仿防御方的智能入侵檢測(cè)系統(tǒng)，對(duì)己方的攻擊流量特性進(jìn)行升級(jí)、偽裝，進(jìn)而使得防御方的入侵檢測(cè)效果減弱[26-27].

雖然目前智能分布式攻擊的具體方式披露很少，但是業(yè)界公認(rèn)智能分布式攻擊是未來(lái)分布式攻擊發(fā)展的必然方向.智能分布式攻擊的巨大危害值得引起人們的高度關(guān)注.學(xué)術(shù)界和工業(yè)界需要推動(dòng)相關(guān)技術(shù)的進(jìn)一步研究，為智能分布式攻擊所帶來(lái)的潛在威脅做好應(yīng)對(duì)準(zhǔn)備.

3 面向分布式攻擊的智能防御

隨著人工智能的發(fā)展，人工智能技術(shù)已被廣泛應(yīng)用到面向分布式攻擊的防御中.本節(jié)總結(jié)了面向傳統(tǒng)分布式攻擊的智能防御措施，并探討了面向智能分布式攻擊的精準(zhǔn)反制策略.

3.1 面向傳統(tǒng)分布式攻擊的智能防御

目前已有大量的研究將人工智能技術(shù)與傳統(tǒng)防御手段結(jié)合，實(shí)現(xiàn)對(duì)傳統(tǒng)分布式攻擊的高效防御.圖6概括了目前已應(yīng)用在普通分布式攻擊防御中的人工智能技術(shù).

圖6 人工智能技術(shù)分類Fig.6 Classification of artificial intelligence

3.1.1 基于機(jī)器學(xué)習(xí)的智能防御

機(jī)器學(xué)習(xí)是實(shí)現(xiàn)人工智能的一種重要方法，也是目前人工智能應(yīng)用最廣的技術(shù)之一.目前，機(jī)器學(xué)習(xí)技術(shù)逐步應(yīng)用到網(wǎng)絡(luò)防御，帶來(lái)了較好的防御效果[28].傳統(tǒng)機(jī)器學(xué)習(xí)包括常見(jiàn)的監(jiān)督學(xué)習(xí)、無(wú)監(jiān)督學(xué)習(xí)、半監(jiān)督學(xué)習(xí)以及強(qiáng)化學(xué)習(xí).

監(jiān)督學(xué)習(xí)如樸素貝葉斯、支持向量機(jī)、決策樹(shù)等.樸素貝葉斯算法在處理分類問(wèn)題上簡(jiǎn)單高效，該技術(shù)通常與統(tǒng)計(jì)算法一起用于檢測(cè)攻擊.Katkar等[29]利用分布式處理和樸素貝葉斯分類器對(duì)HTTP服務(wù)器進(jìn)行DDoS攻擊檢測(cè).Ajagekar等[30]基于多項(xiàng)式樸素貝葉斯算法進(jìn)行了數(shù)據(jù)預(yù)處理，改進(jìn)了DDoS檢測(cè)系統(tǒng)，實(shí)驗(yàn)結(jié)果表明其更簡(jiǎn)單有效.

支持向量機(jī)(SVM)目的是在特征空間找到最佳的分離超平面使得訓(xùn)練集上正負(fù)樣本間隔最大，由此進(jìn)行分類.Kato等[31]選擇了基于高斯核方法的支持向量機(jī)來(lái)訓(xùn)練和測(cè)試DDoS攻擊檢測(cè)系統(tǒng).Yang等[32]采用支持向量機(jī)方法對(duì)攻擊流量進(jìn)行識(shí)別，然后流表交付模塊根據(jù)流量識(shí)別結(jié)果動(dòng)態(tài)調(diào)整轉(zhuǎn)發(fā)策略以抵抗DDoS攻擊.Phan等[33]提出了基于SVM等方法的混合安全機(jī)制.

決策樹(shù)也是一種常見(jiàn)的監(jiān)督學(xué)習(xí)方法，是基于樹(shù)結(jié)構(gòu)來(lái)進(jìn)行決策的.Jiao等[27]利用兩個(gè)決策樹(shù)分類器提取TCP流量的有效特征來(lái)區(qū)分惡意流量和正常流量. Lakshminarasimman等[34]提出了一種基于決策樹(shù)的DDoS檢測(cè)機(jī)制，并對(duì)J48決策樹(shù)算法以及隨機(jī)森林算法進(jìn)行了對(duì)比.Zekri等[35]設(shè)計(jì)了一個(gè)基于決策樹(shù)的C4.5算法的DDoS檢測(cè)系統(tǒng).

無(wú)監(jiān)督學(xué)習(xí)如K-means算法，其實(shí)現(xiàn)起來(lái)比較簡(jiǎn)單，具有良好的聚類效果，因此應(yīng)用廣泛.Pramana等[36]將K-means算法運(yùn)用到DDoS的檢測(cè)系統(tǒng)中，并對(duì)其進(jìn)行了改進(jìn).另外，基于密度的聚類算法(DBSCAN)也有應(yīng)用，Dincalp等[37]用該算法對(duì)網(wǎng)絡(luò)流量進(jìn)行聚類，有效地檢測(cè)出DDoS攻擊.

半監(jiān)督學(xué)習(xí)使用大量的未標(biāo)記數(shù)據(jù)，并同時(shí)使用標(biāo)記數(shù)據(jù)，是監(jiān)督學(xué)習(xí)與無(wú)監(jiān)督學(xué)習(xí)相結(jié)合的一種學(xué)習(xí)方法.Kaur[38]將基于聚類算法的半監(jiān)督機(jī)器學(xué)習(xí)技術(shù)應(yīng)用于大數(shù)據(jù)集和決策樹(shù)的分類，在DDoS預(yù)測(cè)的精度上達(dá)到了很高的水平.Gu等[39]提出了一種半監(jiān)督加權(quán)K-means檢測(cè)方法，通過(guò)基于Hadoop的混合特征選擇算法來(lái)尋找最有效的特征集.

強(qiáng)化學(xué)習(xí)也是使用未標(biāo)記的數(shù)據(jù)，但是可以通過(guò)獎(jiǎng)懲函數(shù)來(lái)接近最優(yōu)解.Liu等[40]提出基于強(qiáng)化學(xué)習(xí)的框架，能夠在不同的攻擊場(chǎng)景下智能學(xué)習(xí)最優(yōu)的緩解策略，實(shí)時(shí)緩解DDoS攻擊.

3.1.2 基于人工免疫系統(tǒng)的智能防御

人工免疫系統(tǒng)是一種靈感來(lái)源于生物體免疫系統(tǒng)，用于解決計(jì)算機(jī)領(lǐng)域問(wèn)題的新興算法.近些年來(lái)也有不少學(xué)者將其應(yīng)用到分布式攻擊的防御上.人工免疫系統(tǒng)可以通過(guò)訓(xùn)練來(lái)區(qū)別正常行為和異常行為，從而檢測(cè)是否存在攻擊.Ramadhan等[41]利用人工免疫系統(tǒng)，設(shè)計(jì)了一種TCP洪泛攻擊檢測(cè)系統(tǒng).Igbe等[42-43]提出了基于樹(shù)突狀細(xì)胞算法的DDoS入侵檢測(cè)系統(tǒng).

3.1.3 基于Agent技術(shù)的智能防御

Agent是一個(gè)軟件實(shí)體或者是軟硬件實(shí)體的混合，能夠代表用戶執(zhí)行并行操作，它在學(xué)習(xí)能力、協(xié)同合作、反應(yīng)速率以及有效性上有較強(qiáng)的優(yōu)勢(shì)，以提高控制決策的智能性、靈活性，使控制結(jié)果更準(zhǔn)確[44].Duraipandian等[45]提出了一種基于智能Agent的DDoS攻擊防御體系結(jié)構(gòu)，使用信任機(jī)制在檢測(cè)到攻擊前活動(dòng)時(shí)提供早期警告.Kesavamoorthy等[46]提出了一種基于多Agent系統(tǒng)的DDoS檢測(cè)和防御方法，各Agent之間采用粒子群優(yōu)化方法.針對(duì)ISP邊界上的DDoS攻擊，Singh等[47]提出了一種基于協(xié)作Agent的分布式方案.

3.1.4 基于模糊邏輯的智能防御

模糊邏輯是建立在多值邏輯基礎(chǔ)上，運(yùn)用模糊集合來(lái)研究模糊性思維、語(yǔ)言形式及其規(guī)律的方法，是人工智能技術(shù)的一個(gè)重要分支.Shiaeles等[48]提出了一種基于平均數(shù)據(jù)包到達(dá)時(shí)間的模糊估計(jì)的DDoS檢測(cè)方法.Mondal等[49]針對(duì)云計(jì)算的安全性，設(shè)計(jì)了一種基于模糊邏輯的DDoS檢測(cè)方案，所有數(shù)據(jù)包在達(dá)到云平臺(tái)前都會(huì)經(jīng)過(guò)模糊系統(tǒng)的過(guò)濾.Singh等[50]結(jié)合了模糊邏輯以及遺傳算法提出了一種DDoS攻擊檢測(cè)方法.

3.1.5 基于人工神經(jīng)網(wǎng)絡(luò)的智能防御

人工神經(jīng)網(wǎng)絡(luò)也是人工智能領(lǐng)域興起的研究熱點(diǎn)，目前已有大量的研究將其應(yīng)用到分布式攻擊防御中.人工神經(jīng)網(wǎng)絡(luò)可分為前饋神經(jīng)網(wǎng)絡(luò)和反饋神經(jīng)網(wǎng)絡(luò).

前饋神經(jīng)網(wǎng)絡(luò)如RBF神經(jīng)網(wǎng)絡(luò)、卷積神經(jīng)網(wǎng)絡(luò)等.RBF神經(jīng)網(wǎng)絡(luò)使用徑向基函數(shù)作為隱層神經(jīng)元激活函數(shù).Chen等[51]利用改進(jìn)的RBF神經(jīng)網(wǎng)絡(luò)檢測(cè)DDoS攻擊，設(shè)計(jì)智能用戶控制系統(tǒng)來(lái)處理復(fù)雜多變的攻擊.Dayal等[52]基于RBF網(wǎng)絡(luò)進(jìn)行優(yōu)化學(xué)習(xí)，有效地區(qū)分了正常的大流量以及DDoS攻擊，并能夠在DDoS攻擊的早期階段進(jìn)行處理防御.Su等[53]利用RBF神經(jīng)網(wǎng)絡(luò)等技術(shù)恢復(fù)混亂的網(wǎng)絡(luò)流，并通過(guò)訓(xùn)練網(wǎng)絡(luò)流樣本來(lái)預(yù)測(cè)未來(lái)的網(wǎng)絡(luò)流以檢測(cè)DDoS攻擊.卷積神經(jīng)網(wǎng)絡(luò)(CNN)也是一類包含卷積計(jì)算且具有深度結(jié)構(gòu)的前饋神經(jīng)網(wǎng)絡(luò).Ghanbari等[54-55]對(duì)提取特征進(jìn)行卷積神經(jīng)網(wǎng)絡(luò)訓(xùn)練，并對(duì)CNN檢測(cè)數(shù)據(jù)的異常行為進(jìn)行測(cè)試，之后對(duì)該方法進(jìn)行改進(jìn)，將DDoS攻擊的檢測(cè)準(zhǔn)確率提高到87.35%.Spaulding等[56]利用卷積神經(jīng)網(wǎng)絡(luò)和長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)(LSTM)兩者結(jié)合的深度學(xué)習(xí)算法來(lái)檢測(cè)基于DNS的DDoS攻擊.Roopak等[57]在物聯(lián)網(wǎng)環(huán)境中提出了用于DDoS攻擊檢測(cè)的深度學(xué)習(xí)模型.

反饋神經(jīng)網(wǎng)絡(luò)有BP神經(jīng)網(wǎng)絡(luò)等.BP神經(jīng)網(wǎng)絡(luò)突出的優(yōu)點(diǎn)就是具有很強(qiáng)的非線性映射能力和柔性的網(wǎng)絡(luò)結(jié)構(gòu).Badve等[58]利用已知的無(wú)攻擊流量計(jì)算預(yù)測(cè)誤差，訓(xùn)練BP神經(jīng)網(wǎng)絡(luò)以提高系統(tǒng)性能.Ishitaki等[59]針對(duì)利用匿名網(wǎng)絡(luò)發(fā)起的DDoS，用BP神經(jīng)網(wǎng)絡(luò)設(shè)計(jì)了一個(gè)系統(tǒng)，能夠有效識(shí)別匿名網(wǎng)絡(luò)中的不良用戶行為.

3.2 面向智能分布式攻擊的智能反制

面對(duì)智能分布式攻擊的顛覆性威脅，傳統(tǒng)的防御策略將束手無(wú)策.同時(shí)，針對(duì)智能分布式攻擊的新型智能防御技術(shù)的研究尚未系統(tǒng)性地展開(kāi).本小節(jié)基于智能分布式攻擊的特點(diǎn)，探討了面向智能分布式攻擊的智能反制技術(shù)，變被動(dòng)防御為主動(dòng)出擊，以智對(duì)智，提前破壞智能分布式攻擊的關(guān)鍵點(diǎn)，實(shí)現(xiàn)智能化的主動(dòng)防御.

3.2.1 智能分布式攻擊的薄弱點(diǎn)分析

智能分布式攻擊技術(shù)主要包含分布式技術(shù)、智能技術(shù)、攻擊技術(shù)以及其他將整個(gè)攻擊鏈整合起來(lái)的輔助技術(shù).攻擊鏈條上的各個(gè)部分，都會(huì)有其薄弱點(diǎn)，可用于防御者進(jìn)行精準(zhǔn)反制.智能分布式攻擊的薄弱點(diǎn)分析主要集中在智能分布式攻擊關(guān)鍵點(diǎn)(集)發(fā)現(xiàn)與定位，以及分布式攻擊中人工智能的薄弱點(diǎn)分析，為智能反制提供明確的反制目標(biāo).

(1)智能分布式攻擊關(guān)鍵點(diǎn)(集)發(fā)現(xiàn)與定位

智能分布式攻擊的惡意節(jié)點(diǎn)數(shù)量一般很大，其交互共識(shí)網(wǎng)絡(luò)實(shí)質(zhì)上是一種復(fù)雜網(wǎng)絡(luò).由于復(fù)雜網(wǎng)絡(luò)具有無(wú)標(biāo)度特性，無(wú)標(biāo)度網(wǎng)絡(luò)對(duì)非定向攻擊具有較強(qiáng)的免疫力，而對(duì)于定向攻擊卻表現(xiàn)得相對(duì)脆弱.當(dāng)復(fù)雜網(wǎng)絡(luò)中5%～10%的關(guān)鍵節(jié)點(diǎn)同時(shí)失效時(shí)，通過(guò)攻擊這些“網(wǎng)絡(luò)要塞”可以迅速摧毀或者有效控制整個(gè)智能分布式攻擊.針對(duì)復(fù)雜網(wǎng)絡(luò)“魯棒但又脆弱”的基礎(chǔ)特性，可以對(duì)智能分布式攻擊網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)進(jìn)行探索和定位，通過(guò)破壞這些關(guān)鍵節(jié)點(diǎn)來(lái)降低智能分布式攻擊網(wǎng)絡(luò)的魯棒性和抗毀性，如圖7所示.

圖7 智能分布式攻擊關(guān)鍵節(jié)點(diǎn)Fig.7 Key points in intelligent distributed attack

但是，智能分布式攻擊關(guān)鍵節(jié)點(diǎn)的挖掘和探索仍是目前研究領(lǐng)域的一個(gè)難點(diǎn)，如何評(píng)估節(jié)點(diǎn)的重要程度以及挖掘出復(fù)雜網(wǎng)絡(luò)中重要的關(guān)鍵節(jié)點(diǎn)，都是亟需解決的問(wèn)題.

(2)智能分布式攻擊中人工智能薄弱點(diǎn)分析

智能分布式攻擊中人工智能的薄弱點(diǎn)分析要立足于兩個(gè)方面：人工智能技術(shù)如機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等本身的薄弱點(diǎn)，以及分布式建立人工智能時(shí)的可利用薄弱點(diǎn).因而，在利用人工智能的薄弱點(diǎn)方面，可以分為兩個(gè)階段：

①智能學(xué)習(xí)階段.攻擊方在進(jìn)行智能分布式攻擊的過(guò)程中，一個(gè)非常明顯的特征是，其惡意智能節(jié)點(diǎn)將處于不斷學(xué)習(xí)分析過(guò)程中.這個(gè)過(guò)程強(qiáng)烈依賴于三方面的資源：可用于智能學(xué)習(xí)的數(shù)據(jù)以及數(shù)據(jù)傳輸、分析所需要的通信資源、計(jì)算資源和存儲(chǔ)資源.通過(guò)建立該階段的薄弱點(diǎn)模型，系統(tǒng)描述各要素在智能學(xué)習(xí)階段的作用與影響.

②分布式共識(shí)達(dá)成階段.針對(duì)智能惡意節(jié)點(diǎn)間由分布式到匯聚過(guò)程中的時(shí)延(如時(shí)間先后帶來(lái)的結(jié)果不一致性)、共識(shí)機(jī)制(如確定性共識(shí)機(jī)制、隨機(jī)共識(shí)機(jī)制、拜占庭共識(shí)機(jī)制等)，研究其作用與影響，為精準(zhǔn)反制提供基礎(chǔ).

3.2.2 基于分布式智能的精準(zhǔn)反制

針對(duì)智能分布式攻擊中的薄弱點(diǎn)，需要建立分布式協(xié)同反制模型，研究以智對(duì)智的分布式協(xié)同反制技術(shù)，有效破壞攻擊方的分布式協(xié)同，并增強(qiáng)防御方在反制過(guò)程中的智能分布式對(duì)抗能力與協(xié)同效果，而且能夠根據(jù)攻擊方的攻擊態(tài)勢(shì)、防御方的反制效果，實(shí)現(xiàn)分布式智能協(xié)同反制技術(shù)的自升級(jí)、自進(jìn)化.

(1)針對(duì)智能分布式攻擊的反制技術(shù)

根據(jù)智能分布式攻擊中人工智能薄弱點(diǎn)分析可以將智能分布式攻擊的反制分為兩個(gè)階段.

①在智能學(xué)習(xí)階段反制.針對(duì)智能分布式攻擊，可以通過(guò)偽造虛假數(shù)據(jù)用于應(yīng)對(duì)智能惡意節(jié)點(diǎn)的學(xué)習(xí).并且，一旦發(fā)現(xiàn)可疑的攻擊節(jié)點(diǎn)或者攻擊報(bào)文，則根據(jù)網(wǎng)絡(luò)態(tài)勢(shì)演變溯源關(guān)鍵節(jié)點(diǎn)，有針對(duì)性地生成虛假數(shù)據(jù)，干擾相應(yīng)關(guān)鍵惡意節(jié)點(diǎn)的認(rèn)知學(xué)習(xí)，同時(shí)進(jìn)行相應(yīng)局部資源的限制(減少通信帶寬、邊緣計(jì)算、存儲(chǔ)能力等)，截?cái)?限制攻擊關(guān)鍵節(jié)點(diǎn)大量的通信和服務(wù)資源，從而導(dǎo)致分布式攻擊關(guān)鍵節(jié)點(diǎn)的失效，達(dá)到反制攻擊網(wǎng)絡(luò)的目標(biāo).

②分布式共識(shí)達(dá)成階段反制.對(duì)于不同的分布式共識(shí)機(jī)制(如確定性共識(shí)機(jī)制、隨機(jī)共識(shí)機(jī)制、拜占庭共識(shí)機(jī)制等)，可以有不同代價(jià)的反制方案，策反/阻斷相應(yīng)數(shù)量惡意節(jié)點(diǎn)的共識(shí)過(guò)程，則分布式智能攻擊將無(wú)法達(dá)成行為共識(shí).另外，對(duì)于不同優(yōu)先級(jí)的業(yè)務(wù)，可以按照從策反/阻斷一個(gè)惡意節(jié)點(diǎn)(低優(yōu)先級(jí))，到策反/阻斷三分之一惡意節(jié)點(diǎn)(一般優(yōu)先級(jí))，再到策反/阻斷半數(shù)惡意節(jié)點(diǎn)(高優(yōu)先級(jí))來(lái)應(yīng)對(duì)相應(yīng)的惡意攻擊，使其無(wú)法達(dá)成一致性協(xié)議.

(2)反制節(jié)點(diǎn)間的智能協(xié)同

在進(jìn)行智能分布式攻擊的精準(zhǔn)反制過(guò)程中，其主要工作由專用反制節(jié)點(diǎn)進(jìn)行.與此同時(shí)，也可以發(fā)動(dòng)非專用節(jié)點(diǎn)(普通節(jié)點(diǎn))輔助進(jìn)行分布式協(xié)同反制.因此，網(wǎng)絡(luò)中的節(jié)點(diǎn)可以分為兩類：資源充足節(jié)點(diǎn)和資源受限節(jié)點(diǎn).專門用于對(duì)智能分布式攻擊進(jìn)行反制的節(jié)點(diǎn)，通常是資源充足節(jié)點(diǎn).部分反制專用節(jié)點(diǎn)，以及反制臨時(shí)啟用的普通節(jié)點(diǎn)，可以視為資源受限節(jié)點(diǎn).

因此，需要協(xié)同專用反制節(jié)點(diǎn)與網(wǎng)絡(luò)普通節(jié)點(diǎn)，進(jìn)行精準(zhǔn)反制功能的分布式部署，從而在個(gè)體節(jié)點(diǎn)功能和資源受限的情況下，通過(guò)分布式協(xié)作的群智形式，面向智能分布式攻擊，實(shí)現(xiàn)強(qiáng)大的精準(zhǔn)反制能力.

(3)智能反制技術(shù)的演進(jìn)

智能分布式攻擊具有自升級(jí)、自進(jìn)化的特點(diǎn)，單一而固定的防御手段不足以面對(duì)攻擊方可能產(chǎn)生的攻擊進(jìn)化.這要求防御方的反制技術(shù)仍需要不斷地自我升級(jí)、自我演進(jìn)，以面對(duì)可能的更為強(qiáng)大的智能分布式攻擊.自我演進(jìn)機(jī)制需要精確獲知攻擊方的攻擊動(dòng)態(tài)、效果、防御方反制引起的攻擊方變化等信息，并根據(jù)這些信息建立攻防雙方的演化預(yù)測(cè)模型，從而對(duì)防御方的精準(zhǔn)反制策略和模型進(jìn)行相應(yīng)地升級(jí)、進(jìn)化，以便在面向智能分布式攻擊時(shí)，可以實(shí)現(xiàn)更為強(qiáng)大的協(xié)同精準(zhǔn)反制能力.

4 結(jié) 論

隨著人工智能和分布式技術(shù)的發(fā)展，從面向傳統(tǒng)分布式攻擊的防御到面向新型的基于人工智能技術(shù)的分布式攻擊智能防御，智能分布式攻擊與防御已經(jīng)成為未來(lái)網(wǎng)絡(luò)安全領(lǐng)域的核心問(wèn)題之一.本文在對(duì)分布式攻擊方式及防御機(jī)制進(jìn)行總結(jié)、介紹的基礎(chǔ)上，分析了人工智能技術(shù)介入后，分布式攻擊與人工智能相結(jié)合的機(jī)制、模式與應(yīng)用現(xiàn)狀.在防御方面，本文總結(jié)了目前常見(jiàn)的面向傳統(tǒng)分布式攻擊的智能防御措施，并探討了面向智能分布式攻擊的精準(zhǔn)反制策略.隨著智能分布式攻擊方式的迅速發(fā)展，相關(guān)研究工作應(yīng)該盡快開(kāi)展，以應(yīng)對(duì)未來(lái)的安全威脅.