智能自動化DDoS防御

許多商業組織難以及時有效地檢測分布式拒絕服務（DDoS）攻擊，大部分組織每分鐘的停機成本可能超過500美元，這并不只是風險。DDoS越來越被用作更廣泛的攻擊活動的一部分，這些攻擊活動包括以竊取重要信息資產為目標的勒索軟件和下載型惡意軟件。

Neustar對全球1000多位總監、經理、首席信息安全官、首席安全官、首席技術官進行了一項獨立調查，超過一半（51%）的受訪者表示他們的組織需要三個多小時才能檢測和識別一次DDoS攻擊。自2016年以來，這些數字變得越發嚴重。接近一半48%）的受訪者表示，檢測到DDoS攻擊后他們需要三個多小時進行響應，較2016年增加了8%。

DDoS攻擊規模日漸擴大且更加復雜

DDoS攻擊的規模和頻率發生了巨大變化，更重要的是，攻擊變得越來越復雜，持續時間也發生了變化。例如，根據NETSCOUT Arbor的第13次年度《全球基礎設施安全報告》，2017年，DDoS攻擊的平均持續時間為46分鐘左右，較前一年的55分鐘有所降低，但持續時間縮短并不等于風險降低，因為攻擊產生的影響會延續更長時間。例如，一個前端網站遭到了DDoS攻擊，依靠它進行通信的多個后端系統可能會用30多分鐘進行同步并恢復正常。而且與惡意軟件在組織內部一次潛伏好幾個月不同，DDoS攻擊在攻擊前沒有警告，對組織產生的是直接影響。

對于DDoS攻擊越來越高的復雜性，從利用物聯網（IoT）的多層僵尸網絡的出現便可窺見一斑。連接到互聯網的數百萬不安全設備為大規模的動態僵尸網絡創造了絕佳的“繁殖環境“，這讓傳統的防護策略難以招架。據估計，僅Mirai一種僵尸網絡就危害了全球50多萬臺IoT設備。

僵尸網絡不僅能發起大容量攻擊，而且會形成更為復雜的混合攻擊，包括：SYN洪水攻擊、UDP 洪水攻擊、閥蒸汽機（VSE）查詢洪水攻擊、GRE洪水攻擊、CK洪水攻擊（包括旨在破壞智能DDoS緩解系統的變體，或 IDMSes）、偽隨機 DNS標簽內容添加攻擊（也稱為DNS“水刑”攻擊）、HTTP GET攻擊、HTTP POST攻擊、HTTP HEAD攻擊。

這些攻擊技術遠遠超過直白的容量耗盡攻擊，Mirai及其衍生攻擊可以同時對以下目標發起攻擊：GRE隧道（在一些DDoS緩解架構中用于清洗流量）、可能受到攻擊的第三方向量（如DNS服務）、直接通過第7層（HTTP GET/POST）實施的應用。

智能自動化防護

“自動”和智能自動化是兩個不同的概念，如今的DDoS防護最佳做法需要智能自動化的本地和云端緩解策略。本地組件（置于防火墻和WAF等靜態設備之前）非常適合快速緩解大部分攻擊，尤其是難以檢測的應用層攻擊。云端DDoS防護能夠在真正的上行容量耗盡攻擊滲透您的互聯網連接之前將其緩解。

混合DDoS防護部署將本地組件與云端緩解策略結合起來，為應對如今的混合DDoS攻擊提供最全面的防護措施。從下面的例子可以看到智能自動化的意義所在。經過自定義的本地DDoS解決方案可以為在特定數據中心運行的特定應用提供保護。自定義的內容包括具有特定白名單/黑名單的策略、地理定位信息等。在攻擊發生之前，或者說在和平時期，這些位于本地的自定義策略被持續發送到云端DDoS防護服務。

當本地防護無法應對發生的攻擊時，云端DDoS防護會收到信號，此時，攻擊流量被自動重路由到適當的云端清洗中心，在這里，之前發送的自定義防護策略和其他措施自動應用到攻擊流量。這就是智能自動化的一個例子，攻擊流量分流更加智能，并利用之前發送的自定義策略進行自動緩解。

可行的自動化威脅情報和利用自動化流程（如果可能）對快速檢測和緩解今天日益復雜的混合DDoS攻擊至關重要。企業只有通過更深入地了解攻擊的范圍和內在作用機理，才能實現快速、高效的DDoS防護。

真正可行的威脅情報

真正可行的威脅情報具有以下特點：持續提供企業之外的真實網絡流量和威脅數據，流量樣本越大，數據越有效；根據環境對以上源數據進行優化處理：在數據點和相關的攻擊活動和具體威脅之間建立對應關系；高度可信，產生誤報的情報不是真正的情報。

通過考察多種來源的網絡攻擊數據，集中分析持續性惡意軟件的特征，真正可行的情報不僅識別單個威脅點，而且識別與攻擊活動相關的數據。結合根本的命令和控制基礎架構、歷史記錄以及相關的策略、技術和程序（TTP）等更廣泛的環境，數據變得更加可靠。

這種可靠情報對實現更高自動化、更高速度的DDoS檢測和有效防護至關重要。無論攻擊的規模有多大，基于最新可行威脅情報的自動化識別都可以發揮作用，不需要等到威脅達到容量上限再啟動緩解措施。您可以識別多種類型的DDoS攻擊，包括“低頻、慢速”的應用層攻擊。自動檢測特定類別的僵尸網絡可以阻止它們危害網絡，同時讓其他安全設備能夠發揮自身的作用。

許多DDoS防護措施可以實現自動化，例如阻止以帶寬、應用和協議為目標的特定類型的攻擊。自動化可以根據風險狀況和可信度提供多級防護，與安全服務提供商或ISP溝通威脅檢測和識別情況也可以實現自動化，從而提高上行DDoS緩解工作的速度和效率。

通過結合使用可行情報和智能自動化流程，您可以更好地管理如今的大容量攻擊。自動化還能夠讓您更高效地部署安全資源，并將這些資源集中用于威脅分類：更快檢測、識別和阻止真正威脅。例如，利用基于環境的可靠威脅情報（如IP信譽數據、當前的活躍惡意軟件和TTP）自動預先填充SOC調查可以加快DDoS和其他攻擊的威脅管理速度，并提高管理效率。