Radware:防御突发式攻击,你行吗?

2018-04-08 09:31:00 作者:ym 出处 : 比特网

  常见的DDoS攻击通常以持续的高流量洪水的形式出现,流量逐渐上升,到达最高点,然后就是缓慢下降或突然下降。近年来,一种新的攻击模式出现了。突发式攻击,也称为打了就跑DDoS攻击,可以在随机的时间间隔内重复使用短时的突发高容量攻击。每一次短暂的爆可能只持续几秒钟,但突发式攻击活动则可以持续数小时甚至数天。这些攻击每秒会向目标发送数百Gbps的流量。

  据我们的客户称,突发式攻击越来越流行。去年,美国一家排名前五的运营商就亲眼目睹了增加了10倍的突发式攻击,其中70%-80%的攻击的持续时间都不足一分钟。在2017年进行的一项全面调查中,一半的受访者都称突发式攻击增加了。

  抵御突发式攻击的挑战

  多数的企业内部DDoS防护解决方案都能检测到突发式攻击,但多数解决方案也只能将不良(和合法)流量限制在一定的阈值,从而引发高误报率。为了将误报率降到最低安全专家需要通过捕获并分析流量来识别攻击流量,并手动创建特征码来拦截攻击流量。如果在突发式攻击过程中,攻击矢量发生了变化,特征码也必须适应不断变化的攻击特征。重复的手动特征码调整过程是一项劳动密集型任务,这就使得整个防护策略变得行不通。

  同样,多数的混合DDoS防护措施也都利用了速率阈值来启动向端DDoS防护措施提供商或清洗中心牵引。尽管如此,他们仍然会遭受同样高的误报率,这是因为企业内部DDoS设备和清洗中心DDoS设备都是采用速率限制和手动特征码来查找攻击流量,进而减少误报。

  突发式攻击的行为式DoS检测和缓解

  为了恰如其分的防御突发式攻击,需要不用的方法。

  行为式DoS (BDoS)防护技术可以通过利用机器学习算法来有效地检测并缓解突发式攻击。这些算法可以了解正常流量行为,在攻击中检测流量异常,自动创建特征码并调整防护措施来缓解攻击。

  BDoS可以为TCP、UDP、ICMP、IGMP等多个协议采集各种参数数据,并构建和平时期的流量基线。为了检测到攻击,检测引擎可以将实时统计数据与已创建的基线进行对比。

  攻击检测结合了两个参数。第一个是速率,即特定流量类型的带宽。第二个是速率无关量,即特定流量类型在整个流量分布中所占的比例。

  模糊逻辑推理系统可以测量攻击程度(DoA)的覆盖范围。只有在综合参数的整体DoA覆盖范围很高时,BDoS才会认定攻击开始了,然后启动攻击处理。这就保证了精确的攻击检测。例如,由突发访问引发的高容量流量将会出现高的速率异常,但速率无关量参数仍然是正常的。因此,整合的DoA覆盖范围不会引发BDoS启动攻击处理过程。然而,如果两个参数都显示出异常,整合DoA覆盖范围将会启动攻击处理过程,BDoS也会实时开始创建拦截特征码。BDoS需要10-18秒来创建特征码。

  然而,由于没有足够时间来自动创建拦截特征码,因此只持续几秒钟的突发式攻击就可以绕过BDoS防护措施。这也是行为式突发攻击防护的切入点。

  行为式突发攻击防护措施分析

  行为式突发攻击防护措施优化了BDoS攻击检测和特征描述。

  例如,在下面的突发式攻击中,有三次爆发,每一次爆发只持续了几秒钟。

  当第一次爆发出现时,由于高的DoA,BDoS检测到了攻击,并继续对攻击进行描述,创建拦截特征码。由于第一次爆发在6秒钟之后就结束了,因此还没有创建特征码。在第一次爆发和第二次爆发之间的空闲时间,BDoS可以缓存采集到的参数和状态,生成候选特征码,保存下来以便应对下一次爆发。当第二次爆发出现时,BDoS会利用缓存信息,从停止的那一刻开始继续创建特征码。由于第二次爆发在8秒之后就结束了(总共耗时14秒),BDoS还未完成特征码创建。然而,当第三次爆发出现时,攻击总共持续了18秒,BDoS成功完成了特征码的创建,并拦截了攻击。

  在攻击的整个生命周期中,由于应用了有效的特征码,因此BDoS可以即时拦截随后的突发式攻击。

  突发式攻击可以在攻击生命周期内改变矢量。这对于攻击缓解策略而言是一个巨大挑战,因为这涉及到了在突发攻击在实时修改拦截特征码。BDoS可以持续监控攻击流量并测量DoA。如果攻击以这样的方式发生了改变,已应用的特征码就会失效(即,DOA很高),那么BDoS就可以调整特征码,拦截易变的突发式攻击。

  有效防护突发式攻击的混合DDoS防护措施

  企业内部的缓解解决方案可以实现内联式防护,但却无法防御管道拥塞。只有整合了企业内部和云端突发式攻击防护措施的解决方案可以确保准确、实时和完全自动化的攻击缓解。

最近更新
科普

科普图集
从《中国互联网+指数报告(2018)》看数字经济

从《中国互联网+指数报告(2018)》看数字经济>>详情

“互联网+”的这些新变化,你知道吗?

“互联网+”的这些新变化,你知道吗?>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。