常見的DDoS攻擊通常以持續(xù)的高流量洪水的形式出現(xiàn)，流量逐漸上升，到達最高點，然后就是緩慢下降或突然下降。近年來，一種新的攻擊模式出現(xiàn)了。突發(fā)式攻擊，也稱為打了就跑DDoS攻擊，可以在隨機的時間間隔內(nèi)重復(fù)使用短時的突發(fā)高容量攻擊。每一次短暫的爆可能只持續(xù)幾秒鐘，但突發(fā)式攻擊活動則可以持續(xù)數(shù)小時甚至數(shù)天。這些攻擊每秒會向目標(biāo)發(fā)送數(shù)百Gbps的流量。

據(jù)我們的客戶稱，突發(fā)式攻擊越來越流行。去年，美國一家排名前五的運營商就親眼目睹了增加了10倍的突發(fā)式攻擊，其中70%-80%的攻擊的持續(xù)時間都不足一分鐘。在2017年進行的一項全面調(diào)查中，一半的受訪者都稱突發(fā)式攻擊增加了。

抵御突發(fā)式攻擊的挑戰(zhàn)

多數(shù)的企業(yè)內(nèi)部DDoS防護解決方案都能檢測到突發(fā)式攻擊，但多數(shù)解決方案也只能將不良(和合法)流量限制在一定的閾值，從而引發(fā)高誤報率。為了將誤報率降到最低，安全專家需要通過捕獲并分析流量來識別攻擊流量，并手動創(chuàng)建特征碼來攔截攻擊流量。如果在突發(fā)式攻擊過程中，攻擊矢量發(fā)生了變化，特征碼也必須適應(yīng)不斷變化的攻擊特征。重復(fù)的手動特征碼調(diào)整過程是一項勞動密集型任務(wù)，這就使得整個防護策略變得行不通。

同樣，多數(shù)的混合DDoS防護措施也都利用了速率閾值來啟動向云端DDoS防護措施提供商或清洗中心牽引。盡管如此，他們?nèi)匀粫馐芡瑯痈叩恼`報率，這是因為企業(yè)內(nèi)部DDoS設(shè)備和清洗中心DDoS設(shè)備都是采用速率限制和手動特征碼來查找攻擊流量，進而減少誤報。

突發(fā)式攻擊的行為式DoS檢測和緩解

為了恰如其分的防御突發(fā)式攻擊，需要不用的方法。

行為式DoS (BDoS)防護技術(shù)可以通過利用機器學(xué)習(xí)算法來有效地檢測并緩解突發(fā)式攻擊。這些算法可以了解正常流量行為，在攻擊中檢測流量異常，自動創(chuàng)建特征碼并調(diào)整防護措施來緩解攻擊。

BDoS可以為TCP、UDP、ICMP、IGMP等多個協(xié)議采集各種參數(shù)數(shù)據(jù)，并構(gòu)建和平時期的流量基線。為了檢測到攻擊，檢測引擎可以將實時統(tǒng)計數(shù)據(jù)與已創(chuàng)建的基線進行對比。

攻擊檢測結(jié)合了兩個參數(shù)。第一個是速率，即特定流量類型的帶寬。第二個是速率無關(guān)量，即特定流量類型在整個流量分布中所占的比例。

模糊邏輯推理系統(tǒng)可以測量攻擊程度(DoA)的覆蓋范圍。只有在綜合參數(shù)的整體DoA覆蓋范圍很高時，BDoS才會認定攻擊開始了，然后啟動攻擊處理。這就保證了精確的攻擊檢測。例如，由突發(fā)訪問引發(fā)的高容量流量將會出現(xiàn)高的速率異常，但速率無關(guān)量參數(shù)仍然是正常的。因此，整合的DoA覆蓋范圍不會引發(fā)BDoS啟動攻擊處理過程。然而，如果兩個參數(shù)都顯示出異常，整合DoA覆蓋范圍將會啟動攻擊處理過程，BDoS也會實時開始創(chuàng)建攔截特征碼。BDoS需要10-18秒來創(chuàng)建特征碼。

然而，由于沒有足夠時間來自動創(chuàng)建攔截特征碼，因此只持續(xù)幾秒鐘的突發(fā)式攻擊就可以繞過BDoS防護措施。這也是行為式突發(fā)攻擊防護的切入點。

行為式突發(fā)攻擊防護措施分析

行為式突發(fā)攻擊防護措施優(yōu)化了BDoS攻擊檢測和特征描述。

例如，在下面的突發(fā)式攻擊中，有三次爆發(fā)，每一次爆發(fā)只持續(xù)了幾秒鐘。

當(dāng)?shù)谝淮伪l(fā)出現(xiàn)時，由于高的DoA，BDoS檢測到了攻擊，并繼續(xù)對攻擊進行描述，創(chuàng)建攔截特征碼。由于第一次爆發(fā)在6秒鐘之后就結(jié)束了，因此還沒有創(chuàng)建特征碼。在第一次爆發(fā)和第二次爆發(fā)之間的空閑時間，BDoS可以緩存采集到的參數(shù)和狀態(tài)，生成候選特征碼，保存下來以便應(yīng)對下一次爆發(fā)。當(dāng)?shù)诙伪l(fā)出現(xiàn)時，BDoS會利用緩存信息，從停止的那一刻開始繼續(xù)創(chuàng)建特征碼。由于第二次爆發(fā)在8秒之后就結(jié)束了(總共耗時14秒)，BDoS還未完成特征碼創(chuàng)建。然而，當(dāng)?shù)谌伪l(fā)出現(xiàn)時，攻擊總共持續(xù)了18秒，BDoS成功完成了特征碼的創(chuàng)建，并攔截了攻擊。

在攻擊的整個生命周期中，由于應(yīng)用了有效的特征碼，因此BDoS可以即時攔截隨后的突發(fā)式攻擊。

突發(fā)式攻擊可以在攻擊生命周期內(nèi)改變矢量。這對于攻擊緩解策略而言是一個巨大挑戰(zhàn)，因為這涉及到了在突發(fā)攻擊在實時修改攔截特征碼。BDoS可以持續(xù)監(jiān)控攻擊流量并測量DoA。如果攻擊以這樣的方式發(fā)生了改變，已應(yīng)用的特征碼就會失效(即，DOA很高)，那么BDoS就可以調(diào)整特征碼，攔截易變的突發(fā)式攻擊。

有效防護突發(fā)式攻擊的混合DDoS防護措施

企業(yè)內(nèi)部的緩解解決方案可以實現(xiàn)內(nèi)聯(lián)式防護，但卻無法防御管道擁塞。只有整合了企業(yè)內(nèi)部和云端突發(fā)式攻擊防護措施的解決方案可以確保準(zhǔn)確、實時和完全自動化的攻擊緩解。