DDoS攻击的防护策略

2021-11-20胥素芳郭拴岐

电子技术与软件工程 2021年14期

胥素芳郭拴岐

（陕西警官职业学院陕西省西安市 710016）

1 引言

随着网络的普及，网络带宽的增加，高速广泛互连的网络给大家带来便利的同时，也为DDoS攻击创造了有利条件。据华为发布《2020年全球DDoS攻击现状与趋势分析报告》中指出，2020年DDoS攻击仍然呈整体上升态势，攻击者为了持续获得显著的攻击效果，利用新技术使攻击手法更复杂和多样，提升了攻击强度和复杂度，使得现有的防御技术更加难以缓解DDoS攻击。[1]

2 DDoS攻击的现状

2.1 攻击流量逐年增大

随着云计算、移动互联网以及IoT产业的发展，攻击源也不再只是个人PC和服务器，存在漏洞的物联网设备也被控制利用来进行DDoS攻击，导致攻击流量越来越大，危害也越来越大。2018年3月，全球著名的代码及开源项目托管网站GitHub遭受峰值达到1.35Tbps的DDoS攻击，创历史新高，标志着DDoS攻击规模正式迈入Tb级。

2.2 地下黑产日趋成熟，DDoS攻击平台化

技术的快速发展必然会导致分工，DDoS攻击已经有成熟的产业链，分工明确。黑客们专注于自己擅长的特定领域，有些负责挖掘漏洞、有的擅长开发工具、有的负责入侵，有的负责处理账户信息。DDoS攻击工具和服务是中国地下黑市中最受欢迎的产品之一，平台对外提供租用服务，租用者不需要具备任何专业知识，只需要输入攻击目标的地址就可以完成整个攻击过程，门槛低，攻击成本低。

2.3 DDoS攻击越来越复杂

在利用僵尸网络的同时，攻击流量越来越小，仿真程度越来越高，可以有效避开安全设备的检测。攻击不单纯以消耗网络带宽为目标，多种攻击方式混合。

3 DDoS防护的挑战

随着网络的普及和应用，信息技术快速发展，网络空间的安全成为关注的焦点，暴露在公众视野中的可攻击对象数量不断扩大。DDoS攻击呈现组织化、规模化、持续化的发展趋势，对当前的DDoS防护体系构成了一系列新的挑战。

3.1 挑战一：信息滞后，策略实时调整难度大

在大多数网络安全系统中，防护策略和关键点的决策主体依旧是人，处置效率很大程度上取决于人工经验，对没有处置先例的新的攻击事件，易陷入被动局面，被动应对。

3.2 挑战二：静态的防护策略导致误报漏报出现的几率越来越高，告警处置决策难

由于已知攻击变种和未知攻击的泛滥，静态规则下制定的策略检测效果衰减严重，有效告警占比下降，漏报攻击占比提升，严重影响防护策略决策。

3.3 挑战三：数据膨胀，融合分析建模难

大流量防护场景下，数据源数量井喷式爆发，导致检测节点采集的数据关联性弱，耦合度低，难以建立高质量的数据分析模型，为攻击判定提供可靠依据。

3.4 挑战四：传统的DDoS防护难以应对频发的未知的攻击

随着攻击技术的不断发展，攻击者可利用的工具与日俱增，目前各类攻击事件中，很大一部分攻击均经过精心伪装，针对这样的攻击，现有攻击分析和防护技术很难有效应对，传统抗DDoS防护的不足逐渐暴露。由于攻击序列独特，难以捕捉规律，既有的检测模型相对固定，此时需要人工抓包进行分析处置，响应效率大打折扣。部分攻击者利用真实源主机发起攻击，其访问行为与正常用户无异，原有的基于阈值和源认证等检测技术效果不佳。

4 DDoS攻击的防护策略

随着技术的进步，人工智能和流量清洗技术助力DDoS攻击的防护。借力技术的同时，统筹管理和布局不容忽视。在互联网上没有真正的孤岛，网络世界的互联互通，使得安全防护要全方位综合部署，不能寄希望于一点解决所有问题，应建立多层次不同粒度的防护，不同防护层次完成不同的任务。

4.1 全方位综合防御，层层构筑防线

单一的安全防护体系和被动的策略难以有效应对日益复杂的网络攻击。从网络运营商、网络资源提供方、用户全方位进行防御，构筑三道防线共同遏制DDoS攻击。[2]

对于网络运营商要使用流量检测设备对网内任意目的地的流量进行在线实时监控，辨别攻击来源区域，从而达到流量清洗。根据网络的分层结构，对关键网络结点部署多个DDoS异常流量监测中心和DDoS异常流量清洗中心，并部署管理中心。在全网建立互联网信誉机制，营造和创建良好的网络秩序，利用运营商骨干网络优势，信用等级与相应的网络服务进行挂钩。

对于网络资源提供方要做好本地DDoS防护。网络资源提供方作为DDoS攻击的主要对象，会率先感知并触发防护功能。为了实现网络安全防护需要有基础的防御措施，在安全要求高条件允许的情况下可以借助DDoS检测设备、清洗设备和管理中心。如果流量超过防御阈值就认为有异常，触发通告，再依据管理中心的策略进行引流到清洗设备。通过清洗识别攻击流量并处置。在此基础上网络资源提供方需要建立一套行之有效的管理制度，制定攻击事件快速响应预案，定期发布安全态势报表、汇总异常事件、处置异常告警、分析流量趋势等，定期按计划对预案进行审核和演练。

对于本地用户做硬件配置升级、优化资源使用，提高Web服务器的负载能力。通过基础防御措施，比如隐匿网络服务器的真实IP，优化DNS解析，及时进行更新和漏洞修补，关闭存在安全隐患的端口和服务，缩小暴露几率，降低被攻击的风险等。

4.2 借助DDoS流量清洗

流量清洗顾名思义就是对网络中存在的异常流量进行清洗，保证正常流量的传输和业务的连续性。在现有的流量清洗解决方案中，流量清洗系统一般包括异常流量检测模块、异常流量清洗模块和管理中心模块组成。要做到准确高效的流量清洗，异常流量的分析检测仍然是关键技术。当前使用的检测技术有攻击特征匹配、IP信源检查、协议完整性验证、客户端真实性验证、速度检查与限制、协议代理和验证等技术。通过对访问请求进行过滤分析，对异常流量通过特征、基线、回复确认等各种方式对异常流量进行识别、清洗，然后将正常访问流量回注到原有网络中，此时从被保护的主机来看，并不存在DDoS攻击，服务恢复正常。[3]

4.3 AI助力DDoS攻击

传统的DDoS攻击检测方法主要是通过对网络中的数据类型（如：协议，标志位）请求进行统计，当统计结果偏离预设阈值时，则认为攻击发生。固定阈值的维护难度很大，无法自适应，要花费运维人员大量的精力和时间，阈值过大导致漏防，阈值过小导致误防，这种方案实现比较简单，不灵活，防护效果不佳，难以及时了解流量信息并调优策略。如何分析流量趋势、选定检测阈值是决定防护效果的关键点也是难点问题。

常见的流量自学习功能普遍将所有应用视为一个整体防护对象，根据一天中整个防护对象的流量趋势筛选出峰值流量进行自学习计算。此学习方式得到的结果虽然避免了固定阈值的“一刀切”式防护，但仍然存在不可避免的缺陷：无法针对单个IP进行流量分析、学习间隙过长导致模型粗糙、特殊时间段（如凌晨、午休时间等）流量数据无参考价值、正常流量增长误报为攻击等。基于AI自学功能对DDoS异常流量的检测数据进行采集和分析，基于历史数据和当前流量建模。网络中的流量数据是一个典型的时间序列数据。流量数据可能会呈现出多种周期性，大周期中嵌套了小周期。除了具有周期性之外，还具有一定的趋势性和随机性。趋势性是一段时间内流量数据呈现一定程度的整体上升或下降的趋势。随机性则是由于每个时间点，及每天的同一时间点使用网络的情况都会有所不同，在一定的规律之外还包含着很大的随机性。对流量的周期性、趋势性和随机性分开对数据进行建模，分别采用不同算法进行学习拟合。从数学模型的维度降低阈值判定过程中的主观因素占比，使流量检测阈值的界定流程标准化、简单化。以NFDBPTD、STL等算法为基础，基于AI技术的DDoS异常流量攻击防护提供高频度、多维度、细粒度的AI自学习功能，深入流量成分及协议层进行AI自学习，得出流量趋势和智能化的阈值，将固定检测策略模版与AI智能化有效结合使用，通过AI算法学习经验数据，形成具备自学习、自进化、自适应特性的流量模型，将“被动应对”发展成为“主动进化”。实现安全防御经历从被动到主动防御，最终达到免疫。

4.4 攻击源动态信誉分析

在DDoS攻击防御中通常依赖于对流量的信誉源分析。采用威胁情报库、IP信誉库等方式分析攻击源的方式存在一定的缺陷。首先，这些库覆盖的IP地址是有限的。其次，这些库中的信息具有一定的时效性。对外部对象信息未知且无有效参考信息时，可能导致攻击漏防，防护策略只能采用笼统的告警阈值和策略，网络互访存在安全风险。

IP信誉分析不能仅仅依赖这些库，还需要根据流量情况进行动态调整，通过引入攻击源的动态信誉调整算法来判断流量中是否包含攻击。通过对源IP的历史数量、归属地、访问频率的分析学习，可以提高以肉鸡为主的应用层攻击的检测效果。信誉风险感知技术为突破攻击伪装提供了新的思路，从流量样本中提取风险评估要素，并根据源访问行为模型和权威威胁情报的关联分析，通过源历史行为、源访问频率、源归属地等维度综合判定源的信誉等级，在遭遇突发事件时能够提供有针对性的处置建议，保障风险处置的实效性和有效性。在对流量进行上述分析的基础上结合行为分析。正常用户访问行为的访问资源是无序的、不固定的，访问频率紊乱；僵尸网络攻击行为则因攻击主题是程序设计出来的，靠轮询完成一系列攻击动作，攻击目标是精心选择的，因此呈现出来的访问行为是访问资源固定、单一的，访问频率固定，单个源的pps可能不高，但QPS较高。

通过以上攻击源动态信誉分析，可以有效提高DDoS防御能力，维护良好的网络安全秩序。