DDoS攻擊防范專利技術分析

◆張長梅

(國家知識產權局專利局專利審查協作四川中心 四川 610200)

DDoS攻擊防范專利技術分析

◆張長梅

(國家知識產權局專利局專利審查協作四川中心 四川 610200)

DDoS（Distributed Denial of Service，分布式拒絕式服務）攻擊是當今互聯網的重要威脅之一，其前身是DoS攻擊，最基本的DoS攻擊是指攻擊者利用大量合理的服務請求來占用攻擊目標過多的資源，從而使合法用戶無法得到服務的響應。DDoS攻擊則是指攻擊者控制僵尸網絡中的大量僵尸主機向攻擊目標發送大流量數據，耗盡攻擊目標的系統資源，導致無法響應正常的服務請求。

DDoS攻擊；Flood；畸形報文；掃描探測

0 引言

DDoS攻擊防范技術的技術分支是對應于DDoS攻擊類型的分類，而 DDoS攻擊可以按照攻擊方式進行分類，也可以按照TCP/IP協議層進行分類。其中按照攻擊方式的分類更符合攻擊防范技術的演進路線，所以本文涉及到技術分支的分析，則主要是按照DDoS攻擊方式的劃分進行分解。

1 DDoS攻擊的種類

1.1 DDoS攻擊按照攻擊方式可以劃分為

（1）泛洪攻擊（Flood）是指攻擊者通過僵尸網絡、代理或直接向攻擊目標發送大量的偽裝的請求服務報文，最終耗盡攻擊目標的資源。發送的大量報文可以是TCP的SYN報文和ACK報文、UDP報文、ICMP報文、DNS報文、HTTP/HTTPS報文等。

（2）畸形或特殊報文攻擊（Malformation）是指攻擊者發送大量有缺陷或特殊控制作用的報文，從而造成主機或服務器在處理這類報文時系統崩潰。

（3）掃描探測類攻擊（Scan&Probe）是一種潛在的攻擊行為，并不具備直接的破壞行為，通常是攻擊者發送真正攻擊前的網絡探測行為，例如IP地址掃描和端口掃描。

1.2 DDoS攻擊按照TCP/IP協議層可以劃分為

（1）網絡層攻擊，常見的ICMP Flood攻擊、Smurf攻擊、大部分特殊控制報文攻擊、IP地址掃描攻擊。

（2）傳輸層攻擊，主要是針對TCP、UDP報文和端口的各類攻擊，常見的大多是Flood類攻擊，例如：SYN Flood、SYN-ACK Flood、ACK Flood、FIN/RST Flood、UDP Flood、DNS Flood 攻擊。

（3）應用層攻擊，常見的有HTTP Flood、HTTPS Flood、SIP Flood攻擊。

2 專利技術發展概況

2.1 歷年專利申請量分析

截至目前已公開的DDoS攻擊防范技術相關的全球專利申請量為2643、中國申請量為1137。DDoS攻擊的全球申請量劇增是在1999至2000年，這也正是DDoS攻擊“揚名”的時期，最早追溯至1999年的為阿桑奇“復仇行動”事件、明尼蘇打大學的計算機宕機事件，以及2000年的Amazon、CNN、eBay和Yahoo的被攻擊。接著，在2001年至2005年申請量也逐年上升，同期在華申請的申請量也開始呈上升趨勢，也正是在在這個時期DDoS攻擊事件劇增，最典型的就是對Register.com和對eBay的又一次攻擊。然后就是在2012年至2013年的一次申請量劇增點，據當時的報告顯示，2012年超過20Gbps的DDoS攻擊已成為普遍現象，就第三季度的DDoS攻擊數量比去年同期增長了88%。

2.2 專利技術原創國分析

DDoS攻擊防范專利技術的原創國主要是美國、中國，其申請量總和占到了全球申請總量的近八成，其次是韓國、日本和歐洲，這也與各國數據通信領域的技術發展有很大關系。DDoS攻擊防范技術的專利申請量在2007年以前美國一致處于遙遙領先的位置，自2008年中國和美國的專利申請量開始出現不相上下的格局，這也符合數據通信領域的發展趨勢，并反映了各國對網絡安全的重視程度。

2.3 主要申請人分析

全球申請量居于首位的申請人是思科，其作為全球數據通信技術實力最強的公司，在DDoS攻擊防范技術領域也必然是相當重視的。另外全球前10位申請人中國內申請人僅包括國內通信巨頭公司華為公司和專門做安全產品的神州綠盟。

國內申請量排名前5的申請人主要還是企業，其中包含了數據通信技術實力較強的華為、中興和華三，以及專注做安全產品的神州綠盟。最值得一提的當屬2000年才成立的神州綠盟，專注于安全產品的研發，在網絡安全領域相當于有競爭力。

3 技術發展路線

DDoS攻擊類型最典型的當屬Flood攻擊，現針對DDoS攻擊防范的技術發展路線分析重點覆蓋針對Flood攻擊中各種攻擊類型的防御。2000年以前最初提出的防御方式大多是使用新的協議進行替代。2001年至2005年的專利申請涵蓋了DDoS攻擊防御技術的大多數基本防御手段。2006年至2010年的專利申請提出的DDoS攻擊防御技術則主要是基于報文內容本身進行防御。至2011年以來，隨著各種DDoS攻擊技術的層出不窮，專利申請的技術方案也更具有針對性。

4 核心專利分析

核心專利的分析能夠快速體現行業的研究重點，現根據DDoS攻擊的主流防御方式篩選出5篇核心專利，覆蓋了基于歷史數據包、基于應用層消息檢查、基于數據流的變化率、針對源IP地址認證以及基于會話的事務類型進行攻擊防范，具體分析如下：

（1）US29109502A 主動網絡防護系統與方法

本專利是由尖端技術公司于2001年提出的，其具體方案是通過跟蹤包的數據流上當前存在的會話；收集其歷史包數據；過濾所跟蹤的會話和歷史包數據，以便根據統計分析而確定是否經過多個會話的數據流中的包引起對網絡的威脅；以及通過響應于所確定威脅的存在而阻止存在威脅的包來處理這些包的數據流中的包。可以看出該架構是攻擊防御思路的基礎模型。

（2）US715204A 基于應用層消息檢查的網絡和應用攻擊保護

本專利是思科技術公司于2002年提出的，其具體方案是通過檢查應用層消息來保護網絡免受拒絕服務攻擊，確定該應用層消息是否滿足一個或多個指定標準。如果消息滿足指定標準，則阻止包含該消息的數據分組被消息想要去往的應用所接收。結果，服務器應用的宿主并不在其目的可能僅僅是泛濫并淹沒服務器應用的消息上浪費處理資源。

（3）US91561101A 防止“拒絕服務”攻擊

本專利是IBM于2003年提出的，其具體方案是通過在服務器和網絡之間部署網絡處理器以與網絡的數據流速率大致相同的速率傳輸與外部網絡交換的數據，其通過監視數據流，確定數據流的變化率，并修改指令，以便響應于在預定邊界之外的變化率而丟棄包。本專利的發明構思雖然是針對DoS攻擊的，但其實也給DDoS攻擊防御的技術方案提供了基于數據流變化率進行防御的技術啟示。

（4）US79265304A利用TCP認證IP源地址

本專利是思科于2004年提出的，其具體方案是通過截取根據由預定通信協議所指定的握手程序在網絡上從源地址定向到目標計算機的打開連接的請求，評估源地址的合法性以防止目標計算機遭受惡意流量。這個方案對于檢測和阻止DDoS攻擊期間的欺騙性流量非常有用，當然也可以由于其他目的而用于認證源地址和連接請求。

（5）US2011055921A1防御分布式網絡泛洪攻擊

本專利是JUNIPER（叢林網絡公司）于2009年提出的，其具體方案是網絡安全設備執行業務的三階段分析以識別惡意客戶端：監測到受保護的網絡設備的網絡連接；當該連接的參數超過連接閾值時，監測多個網絡會話的多個事務類型；當與至少一個與事務類型相關聯的參數超過事務類型閾值時，監測與發起至少一個事務類型的事務的網絡地址相關聯的通信。當超過客戶端-事務閾值時，該設備對于網絡地址中的至少一個執行程序化操作。當然在這三個階段之前，還可以有一個學習階段以確定閾值。

5 結語

本文通過對DDoS攻擊防范技術專利文獻的梳理，尤其是對Flood攻擊防范技術的發展路線以及核心專利的分析，可以從整體上了解到當前DDoS攻擊防范技術的演進以及主流防范手段。

[1] 劉慶海，徐雪梅．Web服務在云網應用層上的DDoS檢測攻擊系統[J]．電腦編程技巧與維護，2016．

[2] 張耀輝．云計算環境下DDoS攻擊及防御研究[J]．湖南郵電職業技術學院學報，2016．