胥素芳 郭拴岐

（陜西警官職業(yè)學(xué)院 陜西省西安市 710016）

1 引言

隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)帶寬的增加，高速?gòu)V泛互連的網(wǎng)絡(luò)給大家?guī)?lái)便利的同時(shí)，也為DDoS攻擊創(chuàng)造了有利條件。據(jù)華為發(fā)布《2020年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析報(bào)告》中指出，2020年DDoS攻擊仍然呈整體上升態(tài)勢(shì)，攻擊者為了持續(xù)獲得顯著的攻擊效果，利用新技術(shù)使攻擊手法更復(fù)雜和多樣，提升了攻擊強(qiáng)度和復(fù)雜度，使得現(xiàn)有的防御技術(shù)更加難以緩解DDoS攻擊。[1]

2 DDoS攻擊的現(xiàn)狀

2.1 攻擊流量逐年增大

隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)以及IoT產(chǎn)業(yè)的發(fā)展，攻擊源也不再只是個(gè)人PC和服務(wù)器，存在漏洞的物聯(lián)網(wǎng)設(shè)備也被控制利用來(lái)進(jìn)行DDoS攻擊，導(dǎo)致攻擊流量越來(lái)越大，危害也越來(lái)越大。2018年3月，全球著名的代碼及開(kāi)源項(xiàng)目托管網(wǎng)站GitHub遭受峰值達(dá)到1.35Tbps的DDoS攻擊，創(chuàng)歷史新高，標(biāo)志著DDoS攻擊規(guī)模正式邁入Tb級(jí)。

2.2 地下黑產(chǎn)日趨成熟，DDoS攻擊平臺(tái)化

技術(shù)的快速發(fā)展必然會(huì)導(dǎo)致分工，DDoS攻擊已經(jīng)有成熟的產(chǎn)業(yè)鏈，分工明確。黑客們專注于自己擅長(zhǎng)的特定領(lǐng)域，有些負(fù)責(zé)挖掘漏洞、有的擅長(zhǎng)開(kāi)發(fā)工具、有的負(fù)責(zé)入侵，有的負(fù)責(zé)處理賬戶信息。DDoS攻擊工具和服務(wù)是中國(guó)地下黑市中最受歡迎的產(chǎn)品之一，平臺(tái)對(duì)外提供租用服務(wù)，租用者不需要具備任何專業(yè)知識(shí)，只需要輸入攻擊目標(biāo)的地址就可以完成整個(gè)攻擊過(guò)程，門檻低，攻擊成本低。

2.3 DDoS攻擊越來(lái)越復(fù)雜

在利用僵尸網(wǎng)絡(luò)的同時(shí)，攻擊流量越來(lái)越小，仿真程度越來(lái)越高，可以有效避開(kāi)安全設(shè)備的檢測(cè)。攻擊不單純以消耗網(wǎng)絡(luò)帶寬為目標(biāo)，多種攻擊方式混合。

3 DDoS防護(hù)的挑戰(zhàn)

隨著網(wǎng)絡(luò)的普及和應(yīng)用，信息技術(shù)快速發(fā)展，網(wǎng)絡(luò)空間的安全成為關(guān)注的焦點(diǎn)，暴露在公眾視野中的可攻擊對(duì)象數(shù)量不斷擴(kuò)大。DDoS攻擊呈現(xiàn)組織化、規(guī)模化、持續(xù)化的發(fā)展趨勢(shì)，對(duì)當(dāng)前的DDoS防護(hù)體系構(gòu)成了一系列新的挑戰(zhàn)。

3.1 挑戰(zhàn)一：信息滯后，策略實(shí)時(shí)調(diào)整難度大

在大多數(shù)網(wǎng)絡(luò)安全系統(tǒng)中，防護(hù)策略和關(guān)鍵點(diǎn)的決策主體依舊是人，處置效率很大程度上取決于人工經(jīng)驗(yàn)，對(duì)沒(méi)有處置先例的新的攻擊事件，易陷入被動(dòng)局面，被動(dòng)應(yīng)對(duì)。

3.2 挑戰(zhàn)二：靜態(tài)的防護(hù)策略導(dǎo)致誤報(bào)漏報(bào)出現(xiàn)的幾率越來(lái)越高，告警處置決策難

由于已知攻擊變種和未知攻擊的泛濫，靜態(tài)規(guī)則下制定的策略檢測(cè)效果衰減嚴(yán)重，有效告警占比下降，漏報(bào)攻擊占比提升，嚴(yán)重影響防護(hù)策略決策。

3.3 挑戰(zhàn)三：數(shù)據(jù)膨脹，融合分析建模難

大流量防護(hù)場(chǎng)景下，數(shù)據(jù)源數(shù)量井噴式爆發(fā)，導(dǎo)致檢測(cè)節(jié)點(diǎn)采集的數(shù)據(jù)關(guān)聯(lián)性弱，耦合度低，難以建立高質(zhì)量的數(shù)據(jù)分析模型，為攻擊判定提供可靠依據(jù)。

3.4 挑戰(zhàn)四：傳統(tǒng)的DDoS防護(hù)難以應(yīng)對(duì)頻發(fā)的未知的攻擊

隨著攻擊技術(shù)的不斷發(fā)展，攻擊者可利用的工具與日俱增，目前各類攻擊事件中，很大一部分攻擊均經(jīng)過(guò)精心偽裝，針對(duì)這樣的攻擊，現(xiàn)有攻擊分析和防護(hù)技術(shù)很難有效應(yīng)對(duì)，傳統(tǒng)抗DDoS防護(hù)的不足逐漸暴露。由于攻擊序列獨(dú)特，難以捕捉規(guī)律，既有的檢測(cè)模型相對(duì)固定，此時(shí)需要人工抓包進(jìn)行分析處置，響應(yīng)效率大打折扣。部分攻擊者利用真實(shí)源主機(jī)發(fā)起攻擊，其訪問(wèn)行為與正常用戶無(wú)異，原有的基于閾值和源認(rèn)證等檢測(cè)技術(shù)效果不佳。

4 DDoS攻擊的防護(hù)策略

隨著技術(shù)的進(jìn)步，人工智能和流量清洗技術(shù)助力DDoS攻擊的防護(hù)。借力技術(shù)的同時(shí)，統(tǒng)籌管理和布局不容忽視。在互聯(lián)網(wǎng)上沒(méi)有真正的孤島，網(wǎng)絡(luò)世界的互聯(lián)互通，使得安全防護(hù)要全方位綜合部署，不能寄希望于一點(diǎn)解決所有問(wèn)題，應(yīng)建立多層次不同粒度的防護(hù)，不同防護(hù)層次完成不同的任務(wù)。

4.1 全方位綜合防御，層層構(gòu)筑防線

單一的安全防護(hù)體系和被動(dòng)的策略難以有效應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)攻擊。從網(wǎng)絡(luò)運(yùn)營(yíng)商、網(wǎng)絡(luò)資源提供方、用戶全方位進(jìn)行防御，構(gòu)筑三道防線共同遏制DDoS攻擊。[2]

對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)商要使用流量檢測(cè)設(shè)備對(duì)網(wǎng)內(nèi)任意目的地的流量進(jìn)行在線實(shí)時(shí)監(jiān)控，辨別攻擊來(lái)源區(qū)域，從而達(dá)到流量清洗。根據(jù)網(wǎng)絡(luò)的分層結(jié)構(gòu)，對(duì)關(guān)鍵網(wǎng)絡(luò)結(jié)點(diǎn)部署多個(gè)DDoS異常流量監(jiān)測(cè)中心和DDoS異常流量清洗中心，并部署管理中心。在全網(wǎng)建立互聯(lián)網(wǎng)信譽(yù)機(jī)制，營(yíng)造和創(chuàng)建良好的網(wǎng)絡(luò)秩序，利用運(yùn)營(yíng)商骨干網(wǎng)絡(luò)優(yōu)勢(shì)，信用等級(jí)與相應(yīng)的網(wǎng)絡(luò)服務(wù)進(jìn)行掛鉤。

對(duì)于網(wǎng)絡(luò)資源提供方要做好本地DDoS防護(hù)。網(wǎng)絡(luò)資源提供方作為DDoS攻擊的主要對(duì)象，會(huì)率先感知并觸發(fā)防護(hù)功能。為了實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)需要有基礎(chǔ)的防御措施，在安全要求高條件允許的情況下可以借助DDoS檢測(cè)設(shè)備、清洗設(shè)備和管理中心。如果流量超過(guò)防御閾值就認(rèn)為有異常，觸發(fā)通告，再依據(jù)管理中心的策略進(jìn)行引流到清洗設(shè)備。通過(guò)清洗識(shí)別攻擊流量并處置。在此基礎(chǔ)上網(wǎng)絡(luò)資源提供方需要建立一套行之有效的管理制度，制定攻擊事件快速響應(yīng)預(yù)案，定期發(fā)布安全態(tài)勢(shì)報(bào)表、匯總異常事件、處置異常告警、分析流量趨勢(shì)等，定期按計(jì)劃對(duì)預(yù)案進(jìn)行審核和演練。

對(duì)于本地用戶做硬件配置升級(jí)、優(yōu)化資源使用，提高Web服務(wù)器的負(fù)載能力。通過(guò)基礎(chǔ)防御措施，比如隱匿網(wǎng)絡(luò)服務(wù)器的真實(shí)IP，優(yōu)化DNS解析，及時(shí)進(jìn)行更新和漏洞修補(bǔ)，關(guān)閉存在安全隱患的端口和服務(wù)，縮小暴露幾率，降低被攻擊的風(fēng)險(xiǎn)等。

4.2 借助DDoS流量清洗

流量清洗顧名思義就是對(duì)網(wǎng)絡(luò)中存在的異常流量進(jìn)行清洗，保證正常流量的傳輸和業(yè)務(wù)的連續(xù)性。在現(xiàn)有的流量清洗解決方案中，流量清洗系統(tǒng)一般包括異常流量檢測(cè)模塊、異常流量清洗模塊和管理中心模塊組成。要做到準(zhǔn)確高效的流量清洗，異常流量的分析檢測(cè)仍然是關(guān)鍵技術(shù)。當(dāng)前使用的檢測(cè)技術(shù)有攻擊特征匹配、IP信源檢查、協(xié)議完整性驗(yàn)證、客戶端真實(shí)性驗(yàn)證、速度檢查與限制、協(xié)議代理和驗(yàn)證等技術(shù)。通過(guò)對(duì)訪問(wèn)請(qǐng)求進(jìn)行過(guò)濾分析，對(duì)異常流量通過(guò)特征、基線、回復(fù)確認(rèn)等各種方式對(duì)異常流量進(jìn)行識(shí)別、清洗，然后將正常訪問(wèn)流量回注到原有網(wǎng)絡(luò)中，此時(shí)從被保護(hù)的主機(jī)來(lái)看，并不存在DDoS攻擊，服務(wù)恢復(fù)正常。[3]

4.3 AI助力DDoS攻擊

傳統(tǒng)的DDoS攻擊檢測(cè)方法主要是通過(guò)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)類型（如：協(xié)議，標(biāo)志位）請(qǐng)求進(jìn)行統(tǒng)計(jì)，當(dāng)統(tǒng)計(jì)結(jié)果偏離預(yù)設(shè)閾值時(shí)，則認(rèn)為攻擊發(fā)生。固定閾值的維護(hù)難度很大，無(wú)法自適應(yīng)，要花費(fèi)運(yùn)維人員大量的精力和時(shí)間，閾值過(guò)大導(dǎo)致漏防，閾值過(guò)小導(dǎo)致誤防，這種方案實(shí)現(xiàn)比較簡(jiǎn)單，不靈活，防護(hù)效果不佳，難以及時(shí)了解流量信息并調(diào)優(yōu)策略。如何分析流量趨勢(shì)、選定檢測(cè)閾值是決定防護(hù)效果的關(guān)鍵點(diǎn)也是難點(diǎn)問(wèn)題。

常見(jiàn)的流量自學(xué)習(xí)功能普遍將所有應(yīng)用視為一個(gè)整體防護(hù)對(duì)象，根據(jù)一天中整個(gè)防護(hù)對(duì)象的流量趨勢(shì)篩選出峰值流量進(jìn)行自學(xué)習(xí)計(jì)算。此學(xué)習(xí)方式得到的結(jié)果雖然避免了固定閾值的“一刀切”式防護(hù)，但仍然存在不可避免的缺陷：無(wú)法針對(duì)單個(gè)IP進(jìn)行流量分析、學(xué)習(xí)間隙過(guò)長(zhǎng)導(dǎo)致模型粗糙、特殊時(shí)間段（如凌晨、午休時(shí)間等）流量數(shù)據(jù)無(wú)參考價(jià)值、正常流量增長(zhǎng)誤報(bào)為攻擊等?；贏I自學(xué)功能對(duì)DDoS異常流量的檢測(cè)數(shù)據(jù)進(jìn)行采集和分析，基于歷史數(shù)據(jù)和當(dāng)前流量建模。網(wǎng)絡(luò)中的流量數(shù)據(jù)是一個(gè)典型的時(shí)間序列數(shù)據(jù)。流量數(shù)據(jù)可能會(huì)呈現(xiàn)出多種周期性，大周期中嵌套了小周期。除了具有周期性之外，還具有一定的趨勢(shì)性和隨機(jī)性。趨勢(shì)性是一段時(shí)間內(nèi)流量數(shù)據(jù)呈現(xiàn)一定程度的整體上升或下降的趨勢(shì)。隨機(jī)性則是由于每個(gè)時(shí)間點(diǎn)，及每天的同一時(shí)間點(diǎn)使用網(wǎng)絡(luò)的情況都會(huì)有所不同，在一定的規(guī)律之外還包含著很大的隨機(jī)性。對(duì)流量的周期性、趨勢(shì)性和隨機(jī)性分開(kāi)對(duì)數(shù)據(jù)進(jìn)行建模，分別采用不同算法進(jìn)行學(xué)習(xí)擬合。從數(shù)學(xué)模型的維度降低閾值判定過(guò)程中的主觀因素占比，使流量檢測(cè)閾值的界定流程標(biāo)準(zhǔn)化、簡(jiǎn)單化。以NFDBPTD、STL等算法為基礎(chǔ)，基于AI技術(shù)的DDoS異常流量攻擊防護(hù)提供高頻度、多維度、細(xì)粒度的AI自學(xué)習(xí)功能，深入流量成分及協(xié)議層進(jìn)行AI自學(xué)習(xí)，得出流量趨勢(shì)和智能化的閾值，將固定檢測(cè)策略模版與AI智能化有效結(jié)合使用，通過(guò)AI算法學(xué)習(xí)經(jīng)驗(yàn)數(shù)據(jù)，形成具備自學(xué)習(xí)、自進(jìn)化、自適應(yīng)特性的流量模型，將“被動(dòng)應(yīng)對(duì)”發(fā)展成為“主動(dòng)進(jìn)化”。實(shí)現(xiàn)安全防御經(jīng)歷從被動(dòng)到主動(dòng)防御，最終達(dá)到免疫。

4.4 攻擊源動(dòng)態(tài)信譽(yù)分析

在DDoS攻擊防御中通常依賴于對(duì)流量的信譽(yù)源分析。采用威脅情報(bào)庫(kù)、IP信譽(yù)庫(kù)等方式分析攻擊源的方式存在一定的缺陷。首先，這些庫(kù)覆蓋的IP地址是有限的。其次，這些庫(kù)中的信息具有一定的時(shí)效性。對(duì)外部對(duì)象信息未知且無(wú)有效參考信息時(shí)，可能導(dǎo)致攻擊漏防，防護(hù)策略只能采用籠統(tǒng)的告警閾值和策略，網(wǎng)絡(luò)互訪存在安全風(fēng)險(xiǎn)。

IP信譽(yù)分析不能僅僅依賴這些庫(kù)，還需要根據(jù)流量情況進(jìn)行動(dòng)態(tài)調(diào)整，通過(guò)引入攻擊源的動(dòng)態(tài)信譽(yù)調(diào)整算法來(lái)判斷流量中是否包含攻擊。通過(guò)對(duì)源IP的歷史數(shù)量、歸屬地、訪問(wèn)頻率的分析學(xué)習(xí)，可以提高以肉雞為主的應(yīng)用層攻擊的檢測(cè)效果。信譽(yù)風(fēng)險(xiǎn)感知技術(shù)為突破攻擊偽裝提供了新的思路，從流量樣本中提取風(fēng)險(xiǎn)評(píng)估要素，并根據(jù)源訪問(wèn)行為模型和權(quán)威威脅情報(bào)的關(guān)聯(lián)分析，通過(guò)源歷史行為、源訪問(wèn)頻率、源歸屬地等維度綜合判定源的信譽(yù)等級(jí)，在遭遇突發(fā)事件時(shí)能夠提供有針對(duì)性的處置建議，保障風(fēng)險(xiǎn)處置的實(shí)效性和有效性。在對(duì)流量進(jìn)行上述分析的基礎(chǔ)上結(jié)合行為分析。正常用戶訪問(wèn)行為的訪問(wèn)資源是無(wú)序的、不固定的，訪問(wèn)頻率紊亂；僵尸網(wǎng)絡(luò)攻擊行為則因攻擊主題是程序設(shè)計(jì)出來(lái)的，靠輪詢完成一系列攻擊動(dòng)作，攻擊目標(biāo)是精心選擇的，因此呈現(xiàn)出來(lái)的訪問(wèn)行為是訪問(wèn)資源固定、單一的，訪問(wèn)頻率固定，單個(gè)源的pps可能不高，但QPS較高。

通過(guò)以上攻擊源動(dòng)態(tài)信譽(yù)分析，可以有效提高DDoS防御能力，維護(hù)良好的網(wǎng)絡(luò)安全秩序。

5 結(jié)語(yǔ)

本文分析了DDoS攻擊的現(xiàn)狀和防御DDoS攻擊面臨的挑戰(zhàn)。技術(shù)的不斷進(jìn)步，使得DDoS攻擊防護(hù)技術(shù)難度增大，所以在人工智能、流量清洗結(jié)合攻擊源動(dòng)態(tài)信譽(yù)分析的同時(shí)，還需要全方位統(tǒng)籌管理、層層把關(guān)筑牢安全的防線，這樣才能達(dá)到事半功倍的效果。