◆張長梅

(國家知識產(chǎn)權(quán)局專利局專利審查協(xié)作四川中心 四川 610200)

DDoS攻擊防范專利技術(shù)分析

◆張長梅

(國家知識產(chǎn)權(quán)局專利局專利審查協(xié)作四川中心 四川 610200)

DDoS（Distributed Denial of Service，分布式拒絕式服務(wù)）攻擊是當今互聯(lián)網(wǎng)的重要威脅之一，其前身是DoS攻擊，最基本的DoS攻擊是指攻擊者利用大量合理的服務(wù)請求來占用攻擊目標過多的資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。DDoS攻擊則是指攻擊者控制僵尸網(wǎng)絡(luò)中的大量僵尸主機向攻擊目標發(fā)送大流量數(shù)據(jù)，耗盡攻擊目標的系統(tǒng)資源，導(dǎo)致無法響應(yīng)正常的服務(wù)請求。

DDoS攻擊；Flood；畸形報文；掃描探測

0 引言

DDoS攻擊防范技術(shù)的技術(shù)分支是對應(yīng)于DDoS攻擊類型的分類，而 DDoS攻擊可以按照攻擊方式進行分類，也可以按照TCP/IP協(xié)議層進行分類。其中按照攻擊方式的分類更符合攻擊防范技術(shù)的演進路線，所以本文涉及到技術(shù)分支的分析，則主要是按照DDoS攻擊方式的劃分進行分解。

1 DDoS攻擊的種類

1.1 DDoS攻擊按照攻擊方式可以劃分為

（1）泛洪攻擊（Flood）是指攻擊者通過僵尸網(wǎng)絡(luò)、代理或直接向攻擊目標發(fā)送大量的偽裝的請求服務(wù)報文，最終耗盡攻擊目標的資源。發(fā)送的大量報文可以是TCP的SYN報文和ACK報文、UDP報文、ICMP報文、DNS報文、HTTP/HTTPS報文等。

（2）畸形或特殊報文攻擊（Malformation）是指攻擊者發(fā)送大量有缺陷或特殊控制作用的報文，從而造成主機或服務(wù)器在處理這類報文時系統(tǒng)崩潰。

（3）掃描探測類攻擊（Scan&Probe）是一種潛在的攻擊行為，并不具備直接的破壞行為，通常是攻擊者發(fā)送真正攻擊前的網(wǎng)絡(luò)探測行為，例如IP地址掃描和端口掃描。

1.2 DDoS攻擊按照TCP/IP協(xié)議層可以劃分為

（1）網(wǎng)絡(luò)層攻擊，常見的ICMP Flood攻擊、Smurf攻擊、大部分特殊控制報文攻擊、IP地址掃描攻擊。

（2）傳輸層攻擊，主要是針對TCP、UDP報文和端口的各類攻擊，常見的大多是Flood類攻擊，例如：SYN Flood、SYN-ACK Flood、ACK Flood、FIN/RST Flood、UDP Flood、DNS Flood 攻擊。

（3）應(yīng)用層攻擊，常見的有HTTP Flood、HTTPS Flood、SIP Flood攻擊。

2 專利技術(shù)發(fā)展概況

2.1 歷年專利申請量分析

截至目前已公開的DDoS攻擊防范技術(shù)相關(guān)的全球?qū)＠暾埩繛?643、中國申請量為1137。DDoS攻擊的全球申請量劇增是在1999至2000年，這也正是DDoS攻擊“揚名”的時期，最早追溯至1999年的為阿桑奇“復(fù)仇行動”事件、明尼蘇打大學的計算機宕機事件，以及2000年的Amazon、CNN、eBay和Yahoo的被攻擊。接著，在2001年至2005年申請量也逐年上升，同期在華申請的申請量也開始呈上升趨勢，也正是在在這個時期DDoS攻擊事件劇增，最典型的就是對Register.com和對eBay的又一次攻擊。然后就是在2012年至2013年的一次申請量劇增點，據(jù)當時的報告顯示，2012年超過20Gbps的DDoS攻擊已成為普遍現(xiàn)象，就第三季度的DDoS攻擊數(shù)量比去年同期增長了88%。

2.2 專利技術(shù)原創(chuàng)國分析

DDoS攻擊防范專利技術(shù)的原創(chuàng)國主要是美國、中國，其申請量總和占到了全球申請總量的近八成，其次是韓國、日本和歐洲，這也與各國數(shù)據(jù)通信領(lǐng)域的技術(shù)發(fā)展有很大關(guān)系。DDoS攻擊防范技術(shù)的專利申請量在2007年以前美國一致處于遙遙領(lǐng)先的位置，自2008年中國和美國的專利申請量開始出現(xiàn)不相上下的格局，這也符合數(shù)據(jù)通信領(lǐng)域的發(fā)展趨勢，并反映了各國對網(wǎng)絡(luò)安全的重視程度。

2.3 主要申請人分析

全球申請量居于首位的申請人是思科，其作為全球數(shù)據(jù)通信技術(shù)實力最強的公司，在DDoS攻擊防范技術(shù)領(lǐng)域也必然是相當重視的。另外全球前10位申請人中國內(nèi)申請人僅包括國內(nèi)通信巨頭公司華為公司和專門做安全產(chǎn)品的神州綠盟。

國內(nèi)申請量排名前5的申請人主要還是企業(yè)，其中包含了數(shù)據(jù)通信技術(shù)實力較強的華為、中興和華三，以及專注做安全產(chǎn)品的神州綠盟。最值得一提的當屬2000年才成立的神州綠盟，專注于安全產(chǎn)品的研發(fā)，在網(wǎng)絡(luò)安全領(lǐng)域相當于有競爭力。

3 技術(shù)發(fā)展路線

DDoS攻擊類型最典型的當屬Flood攻擊，現(xiàn)針對DDoS攻擊防范的技術(shù)發(fā)展路線分析重點覆蓋針對Flood攻擊中各種攻擊類型的防御。2000年以前最初提出的防御方式大多是使用新的協(xié)議進行替代。2001年至2005年的專利申請涵蓋了DDoS攻擊防御技術(shù)的大多數(shù)基本防御手段。2006年至2010年的專利申請?zhí)岢龅腄DoS攻擊防御技術(shù)則主要是基于報文內(nèi)容本身進行防御。至2011年以來，隨著各種DDoS攻擊技術(shù)的層出不窮，專利申請的技術(shù)方案也更具有針對性。

4 核心專利分析

核心專利的分析能夠快速體現(xiàn)行業(yè)的研究重點，現(xiàn)根據(jù)DDoS攻擊的主流防御方式篩選出5篇核心專利，覆蓋了基于歷史數(shù)據(jù)包、基于應(yīng)用層消息檢查、基于數(shù)據(jù)流的變化率、針對源IP地址認證以及基于會話的事務(wù)類型進行攻擊防范，具體分析如下：

（1）US29109502A 主動網(wǎng)絡(luò)防護系統(tǒng)與方法

本專利是由尖端技術(shù)公司于2001年提出的，其具體方案是通過跟蹤包的數(shù)據(jù)流上當前存在的會話；收集其歷史包數(shù)據(jù)；過濾所跟蹤的會話和歷史包數(shù)據(jù)，以便根據(jù)統(tǒng)計分析而確定是否經(jīng)過多個會話的數(shù)據(jù)流中的包引起對網(wǎng)絡(luò)的威脅；以及通過響應(yīng)于所確定威脅的存在而阻止存在威脅的包來處理這些包的數(shù)據(jù)流中的包?？梢钥闯鲈摷軜?gòu)是攻擊防御思路的基礎(chǔ)模型。

（2）US715204A 基于應(yīng)用層消息檢查的網(wǎng)絡(luò)和應(yīng)用攻擊保護

本專利是思科技術(shù)公司于2002年提出的，其具體方案是通過檢查應(yīng)用層消息來保護網(wǎng)絡(luò)免受拒絕服務(wù)攻擊，確定該應(yīng)用層消息是否滿足一個或多個指定標準。如果消息滿足指定標準，則阻止包含該消息的數(shù)據(jù)分組被消息想要去往的應(yīng)用所接收。結(jié)果，服務(wù)器應(yīng)用的宿主并不在其目的可能僅僅是泛濫并淹沒服務(wù)器應(yīng)用的消息上浪費處理資源。

（3）US91561101A 防止“拒絕服務(wù)”攻擊

本專利是IBM于2003年提出的，其具體方案是通過在服務(wù)器和網(wǎng)絡(luò)之間部署網(wǎng)絡(luò)處理器以與網(wǎng)絡(luò)的數(shù)據(jù)流速率大致相同的速率傳輸與外部網(wǎng)絡(luò)交換的數(shù)據(jù)，其通過監(jiān)視數(shù)據(jù)流，確定數(shù)據(jù)流的變化率，并修改指令，以便響應(yīng)于在預(yù)定邊界之外的變化率而丟棄包。本專利的發(fā)明構(gòu)思雖然是針對DoS攻擊的，但其實也給DDoS攻擊防御的技術(shù)方案提供了基于數(shù)據(jù)流變化率進行防御的技術(shù)啟示。

（4）US79265304A利用TCP認證IP源地址

本專利是思科于2004年提出的，其具體方案是通過截取根據(jù)由預(yù)定通信協(xié)議所指定的握手程序在網(wǎng)絡(luò)上從源地址定向到目標計算機的打開連接的請求，評估源地址的合法性以防止目標計算機遭受惡意流量。這個方案對于檢測和阻止DDoS攻擊期間的欺騙性流量非常有用，當然也可以由于其他目的而用于認證源地址和連接請求。

（5）US2011055921A1防御分布式網(wǎng)絡(luò)泛洪攻擊

本專利是JUNIPER（叢林網(wǎng)絡(luò)公司）于2009年提出的，其具體方案是網(wǎng)絡(luò)安全設(shè)備執(zhí)行業(yè)務(wù)的三階段分析以識別惡意客戶端：監(jiān)測到受保護的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)連接；當該連接的參數(shù)超過連接閾值時，監(jiān)測多個網(wǎng)絡(luò)會話的多個事務(wù)類型；當與至少一個與事務(wù)類型相關(guān)聯(lián)的參數(shù)超過事務(wù)類型閾值時，監(jiān)測與發(fā)起至少一個事務(wù)類型的事務(wù)的網(wǎng)絡(luò)地址相關(guān)聯(lián)的通信。當超過客戶端-事務(wù)閾值時，該設(shè)備對于網(wǎng)絡(luò)地址中的至少一個執(zhí)行程序化操作。當然在這三個階段之前，還可以有一個學習階段以確定閾值。

5 結(jié)語

本文通過對DDoS攻擊防范技術(shù)專利文獻的梳理，尤其是對Flood攻擊防范技術(shù)的發(fā)展路線以及核心專利的分析，可以從整體上了解到當前DDoS攻擊防范技術(shù)的演進以及主流防范手段。

[1] 劉慶海，徐雪梅．Web服務(wù)在云網(wǎng)應(yīng)用層上的DDoS檢測攻擊系統(tǒng)[J]．電腦編程技巧與維護，2016．

[2] 張耀輝．云計算環(huán)境下DDoS攻擊及防御研究[J]．湖南郵電職業(yè)技術(shù)學院學報，2016．