DDoS攻擊的防護策略

胥素芳 郭拴岐

（陜西警官職業學院 陜西省西安市 710016）

1 引言

隨著網絡的普及，網絡帶寬的增加，高速廣泛互連的網絡給大家帶來便利的同時，也為DDoS攻擊創造了有利條件。據華為發布《2020年全球DDoS攻擊現狀與趨勢分析報告》中指出，2020年DDoS攻擊仍然呈整體上升態勢，攻擊者為了持續獲得顯著的攻擊效果，利用新技術使攻擊手法更復雜和多樣，提升了攻擊強度和復雜度，使得現有的防御技術更加難以緩解DDoS攻擊。[1]

2 DDoS攻擊的現狀

2.1 攻擊流量逐年增大

隨著云計算、移動互聯網以及IoT產業的發展，攻擊源也不再只是個人PC和服務器，存在漏洞的物聯網設備也被控制利用來進行DDoS攻擊，導致攻擊流量越來越大，危害也越來越大。2018年3月，全球著名的代碼及開源項目托管網站GitHub遭受峰值達到1.35Tbps的DDoS攻擊，創歷史新高，標志著DDoS攻擊規模正式邁入Tb級。

2.2 地下黑產日趨成熟，DDoS攻擊平臺化

技術的快速發展必然會導致分工，DDoS攻擊已經有成熟的產業鏈，分工明確。黑客們專注于自己擅長的特定領域，有些負責挖掘漏洞、有的擅長開發工具、有的負責入侵，有的負責處理賬戶信息。DDoS攻擊工具和服務是中國地下黑市中最受歡迎的產品之一，平臺對外提供租用服務，租用者不需要具備任何專業知識，只需要輸入攻擊目標的地址就可以完成整個攻擊過程，門檻低，攻擊成本低。

2.3 DDoS攻擊越來越復雜

在利用僵尸網絡的同時，攻擊流量越來越小，仿真程度越來越高，可以有效避開安全設備的檢測。攻擊不單純以消耗網絡帶寬為目標，多種攻擊方式混合。

3 DDoS防護的挑戰

隨著網絡的普及和應用，信息技術快速發展，網絡空間的安全成為關注的焦點，暴露在公眾視野中的可攻擊對象數量不斷擴大。DDoS攻擊呈現組織化、規模化、持續化的發展趨勢，對當前的DDoS防護體系構成了一系列新的挑戰。

3.1 挑戰一：信息滯后，策略實時調整難度大

在大多數網絡安全系統中，防護策略和關鍵點的決策主體依舊是人，處置效率很大程度上取決于人工經驗，對沒有處置先例的新的攻擊事件，易陷入被動局面，被動應對。

3.2 挑戰二：靜態的防護策略導致誤報漏報出現的幾率越來越高，告警處置決策難

由于已知攻擊變種和未知攻擊的泛濫，靜態規則下制定的策略檢測效果衰減嚴重，有效告警占比下降，漏報攻擊占比提升，嚴重影響防護策略決策。

3.3 挑戰三：數據膨脹，融合分析建模難

大流量防護場景下，數據源數量井噴式爆發，導致檢測節點采集的數據關聯性弱，耦合度低，難以建立高質量的數據分析模型，為攻擊判定提供可靠依據。

3.4 挑戰四：傳統的DDoS防護難以應對頻發的未知的攻擊

隨著攻擊技術的不斷發展，攻擊者可利用的工具與日俱增，目前各類攻擊事件中，很大一部分攻擊均經過精心偽裝，針對這樣的攻擊，現有攻擊分析和防護技術很難有效應對，傳統抗DDoS防護的不足逐漸暴露。由于攻擊序列獨特，難以捕捉規律，既有的檢測模型相對固定，此時需要人工抓包進行分析處置，響應效率大打折扣。部分攻擊者利用真實源主機發起攻擊，其訪問行為與正常用戶無異，原有的基于閾值和源認證等檢測技術效果不佳。

4 DDoS攻擊的防護策略

隨著技術的進步，人工智能和流量清洗技術助力DDoS攻擊的防護。借力技術的同時，統籌管理和布局不容忽視。在互聯網上沒有真正的孤島，網絡世界的互聯互通，使得安全防護要全方位綜合部署，不能寄希望于一點解決所有問題，應建立多層次不同粒度的防護，不同防護層次完成不同的任務。

4.1 全方位綜合防御，層層構筑防線

單一的安全防護體系和被動的策略難以有效應對日益復雜的網絡攻擊。從網絡運營商、網絡資源提供方、用戶全方位進行防御，構筑三道防線共同遏制DDoS攻擊。[2]

對于網絡運營商要使用流量檢測設備對網內任意目的地的流量進行在線實時監控，辨別攻擊來源區域，從而達到流量清洗。根據網絡的分層結構，對關鍵網絡結點部署多個DDoS異常流量監測中心和DDoS異常流量清洗中心，并部署管理中心。在全網建立互聯網信譽機制，營造和創建良好的網絡秩序，利用運營商骨干網絡優勢，信用等級與相應的網絡服務進行掛鉤。

對于網絡資源提供方要做好本地DDoS防護。網絡資源提供方作為DDoS攻擊的主要對象，會率先感知并觸發防護功能。為了實現網絡安全防護需要有基礎的防御措施，在安全要求高條件允許的情況下可以借助DDoS檢測設備、清洗設備和管理中心。如果流量超過防御閾值就認為有異常，觸發通告，再依據管理中心的策略進行引流到清洗設備。通過清洗識別攻擊流量并處置。在此基礎上網絡資源提供方需要建立一套行之有效的管理制度，制定攻擊事件快速響應預案，定期發布安全態勢報表、匯總異常事件、處置異常告警、分析流量趨勢等，定期按計劃對預案進行審核和演練。

對于本地用戶做硬件配置升級、優化資源使用，提高Web服務器的負載能力。通過基礎防御措施，比如隱匿網絡服務器的真實IP，優化DNS解析，及時進行更新和漏洞修補，關閉存在安全隱患的端口和服務，縮小暴露幾率，降低被攻擊的風險等。

4.2 借助DDoS流量清洗

流量清洗顧名思義就是對網絡中存在的異常流量進行清洗，保證正常流量的傳輸和業務的連續性。在現有的流量清洗解決方案中，流量清洗系統一般包括異常流量檢測模塊、異常流量清洗模塊和管理中心模塊組成。要做到準確高效的流量清洗，異常流量的分析檢測仍然是關鍵技術。當前使用的檢測技術有攻擊特征匹配、IP信源檢查、協議完整性驗證、客戶端真實性驗證、速度檢查與限制、協議代理和驗證等技術。通過對訪問請求進行過濾分析，對異常流量通過特征、基線、回復確認等各種方式對異常流量進行識別、清洗，然后將正常訪問流量回注到原有網絡中，此時從被保護的主機來看，并不存在DDoS攻擊，服務恢復正常。[3]

4.3 AI助力DDoS攻擊

傳統的DDoS攻擊檢測方法主要是通過對網絡中的數據類型（如：協議，標志位）請求進行統計，當統計結果偏離預設閾值時，則認為攻擊發生。固定閾值的維護難度很大，無法自適應，要花費運維人員大量的精力和時間，閾值過大導致漏防，閾值過小導致誤防，這種方案實現比較簡單，不靈活，防護效果不佳，難以及時了解流量信息并調優策略。如何分析流量趨勢、選定檢測閾值是決定防護效果的關鍵點也是難點問題。

常見的流量自學習功能普遍將所有應用視為一個整體防護對象，根據一天中整個防護對象的流量趨勢篩選出峰值流量進行自學習計算。此學習方式得到的結果雖然避免了固定閾值的“一刀切”式防護，但仍然存在不可避免的缺陷：無法針對單個IP進行流量分析、學習間隙過長導致模型粗糙、特殊時間段（如凌晨、午休時間等）流量數據無參考價值、正常流量增長誤報為攻擊等。基于AI自學功能對DDoS異常流量的檢測數據進行采集和分析，基于歷史數據和當前流量建模。網絡中的流量數據是一個典型的時間序列數據。流量數據可能會呈現出多種周期性，大周期中嵌套了小周期。除了具有周期性之外，還具有一定的趨勢性和隨機性。趨勢性是一段時間內流量數據呈現一定程度的整體上升或下降的趨勢。隨機性則是由于每個時間點，及每天的同一時間點使用網絡的情況都會有所不同，在一定的規律之外還包含著很大的隨機性。對流量的周期性、趨勢性和隨機性分開對數據進行建模，分別采用不同算法進行學習擬合。從數學模型的維度降低閾值判定過程中的主觀因素占比，使流量檢測閾值的界定流程標準化、簡單化。以NFDBPTD、STL等算法為基礎，基于AI技術的DDoS異常流量攻擊防護提供高頻度、多維度、細粒度的AI自學習功能，深入流量成分及協議層進行AI自學習，得出流量趨勢和智能化的閾值，將固定檢測策略模版與AI智能化有效結合使用，通過AI算法學習經驗數據，形成具備自學習、自進化、自適應特性的流量模型，將“被動應對”發展成為“主動進化”。實現安全防御經歷從被動到主動防御，最終達到免疫。

4.4 攻擊源動態信譽分析

在DDoS攻擊防御中通常依賴于對流量的信譽源分析。采用威脅情報庫、IP信譽庫等方式分析攻擊源的方式存在一定的缺陷。首先，這些庫覆蓋的IP地址是有限的。其次，這些庫中的信息具有一定的時效性。對外部對象信息未知且無有效參考信息時，可能導致攻擊漏防，防護策略只能采用籠統的告警閾值和策略，網絡互訪存在安全風險。

IP信譽分析不能僅僅依賴這些庫，還需要根據流量情況進行動態調整，通過引入攻擊源的動態信譽調整算法來判斷流量中是否包含攻擊。通過對源IP的歷史數量、歸屬地、訪問頻率的分析學習，可以提高以肉雞為主的應用層攻擊的檢測效果。信譽風險感知技術為突破攻擊偽裝提供了新的思路，從流量樣本中提取風險評估要素，并根據源訪問行為模型和權威威脅情報的關聯分析，通過源歷史行為、源訪問頻率、源歸屬地等維度綜合判定源的信譽等級，在遭遇突發事件時能夠提供有針對性的處置建議，保障風險處置的實效性和有效性。在對流量進行上述分析的基礎上結合行為分析。正常用戶訪問行為的訪問資源是無序的、不固定的，訪問頻率紊亂；僵尸網絡攻擊行為則因攻擊主題是程序設計出來的，靠輪詢完成一系列攻擊動作，攻擊目標是精心選擇的，因此呈現出來的訪問行為是訪問資源固定、單一的，訪問頻率固定，單個源的pps可能不高，但QPS較高。

通過以上攻擊源動態信譽分析，可以有效提高DDoS防御能力，維護良好的網絡安全秩序。

5 結語

本文分析了DDoS攻擊的現狀和防御DDoS攻擊面臨的挑戰。技術的不斷進步，使得DDoS攻擊防護技術難度增大，所以在人工智能、流量清洗結合攻擊源動態信譽分析的同時，還需要全方位統籌管理、層層把關筑牢安全的防線，這樣才能達到事半功倍的效果。