全面防御——认识突发式攻击

被攻击多了防御能力也就会上来了----这是一个错误的想法，因为攻击也是会变的！如果跟不上攻击的变化，只会让自己全线瓦解。

小编之前也说过不少关于DDoS攻击的事情了，常见的DDoS攻击很多都是以持续的高流量洪水形式出现的，就好像是涨潮一样，流量逐渐上升，到达某个最高点，然后再缓慢地“退潮”或者直接突然下降。可是这几年又有出现一个新的攻击名字----突发式攻击；这个攻击模式有些人对它可能不是很熟悉，但是圈内人有些时候也会叫它“打了就跑DDoS攻击”。啥意思？就是它可以在随机的时间间隔内重复使用短时的突发高容量攻击；每一次短暂的爆发可能仅仅只持续几秒钟，但是这整个攻击活动则有可能持续几个小时还有可能几天；而且这些攻击每秒钟向目标发送的流量可能高达数百Gbps！

根据网络上的一些研究数据以及纳讯网络对维护团队的咨询，突发式攻击真的越来越流行了，很有可能会和传统的洪水攻击成为并列攻击兄弟了。

现在很多企业内部的DDoS防护解决方案其实都能检测到突发式攻击，可是有一个问题，误报率高！很多解决方案仅仅只能将流量限制在一定的阈值，这个却不能区分真实用户与不良攻击。所以为了降低误报率，许多安全专家需要通过捕获、分析流量来识别哪部分是攻击流量，然后手动创建特征码来拦截它们；这样的话如果在突发式攻击过程中的攻击矢量发生变化的话，那么特征码也得同步更改适应不断变化的攻击特征。这个时候重复的手动调整特征码的过程其实是一项劳动密集型的任务，能不能跟上变化不说，起码这说明了整个防护策略已经行不通了。

也有一些朋友说，不是还有云么？是的，现在多数的混合DDoS防护措施几乎都会利用速率阈值来启动云端DDoS防护措施或者清洗中心牵引；但是尽管用了云，他们其实也是有着同样的问题----误报率高；那是因为企业内部DDoS设备和清洗中心DDoS设备其实都是采用速率限制和手动特征码来查找攻击流量进而减少误报的，所以上云也不能完全解决防御。

那么面对突发式攻击这个挑战，我们又该如何抵御呢？给大家分享一个技术：行为式DoS (BDoS)防护技术！

BDoS防护技术可以通过利用机器学习算法来有效地检测并缓解突发式攻击。这些算法可以了解正常流量行为，在众多流量中检测出异常的流量，然后自动创建特征码并调整防护措施来缓解攻击。它可以为TCP、UDP、ICMP、IGMP等多个协议采集各种参数数据，并构建和平时期的流量基线；检测引擎可以将实时统计数据与已创建的基线进行对比从而检测到攻击。攻击检测结合了两个参数。第一个是速率，即特定流量类型的带宽；第二个是速率无关量，即特定流量类型在整个流量分布中所占的比例。模糊逻辑推理系统可以测量攻击程度的覆盖范围，只有在综合参数的整体DoA覆盖范围很高时，BDoS才会认定攻击开始了，然后就会启动攻击处理，这就保证了精确的攻击检测。

例如，由突发访问引发的高容量流量将会出现高的速率异常，但速率无关量参数仍然是正常的，所以整合的DoA覆盖范围不会引发BDoS启动攻击处理过程；但是如果两个参数都显示出异常，整合DoA覆盖范围将会启动攻击处理过程，BDoS也会实时开始创建拦截特征码；而BDoS需要10-18秒的时间来创建特征码。如果是只持续几秒钟的突发式攻击就可以绕过BDoS防护措施，因为根本就没有足够的时间来自动创建拦截特征码。所以这就是行为式突发攻击防护的切入点。

行为式突发攻击防护措施优化了BDoS攻击检测和特征描述。举个例子，在一个突发式攻击中，有三次爆发，每一次爆发只持续了几秒钟。

当第一次爆发出现时，由于高的DoA，BDoS检测到了攻击，并继续对攻击进行描述，创建拦截特征码。由于第一次爆发在6秒钟之后就结束了，因此还没有创建特征码；

在第一次爆发和第二次爆发之间的空闲时间，BDoS可以缓存采集到的参数和状态，生成候选特征码，保存下来以便应对下一次爆发；

当第二次爆发出现时，BDoS会利用缓存信息，从停止的那一刻开始继续创建特征码。第二次爆发在8秒之后就结束了(两次总共耗时14秒)，BDoS还未完成特征码创建；

当第三次爆发出现时，攻击总共持续了18秒，BDoS成功完成了特征码的创建，并拦截了攻击。因此在这个攻击的整个生命周期中，由于应用了有效的特征码，因此BDoS可以即时拦截随后的突发式攻击。

突发式攻击可以在攻击生命周期内改变矢量。这对于攻击缓解策略而言是一个巨大挑战，因为这涉及到了在突发攻击在实时修改拦截特征码。BDoS可以持续监控攻击流量并测量DoA。如果攻击以这样的方式发生了改变，已应用的特征码就会失效(即DOA很高)，那么BDoS就可以调整特征码，拦截易变的突发式攻击。

另外就是企业内部的缓解解决方案可以实现内联式防护，但却无法防御管道拥塞；只有整合了企业内部和云端突发式攻击防护措施的解决方案可以确保准确、实时和完全自动化的攻击缓解。

以上就是本文的全部内容，如果感觉对大家有帮助的话，欢迎搜索--纳讯网络；我们明天再见！