DDoS 攻擊防禦與入侵回應系統架構解析

13 分鐘閱讀

隨著 DDoS 攻擊的日益複雜和頻繁,構建有效的防禦機制已成為網路安全的重要課題。入侵回應系統 (IRS) 作為抵禦 DDoS 攻擊的核心防線,其架構設計直接影響著防禦效果。本文將分析幾種典型的 IRS 架構,包括根據過濾的 CITRA、強調協同合作的分散式管理架構、事件驅動的 EMERALD,以及根據置信度判斷的 CSM,並比較它們的優劣,提供工程師在實際應用中選擇最佳方案的參考。瞭解不同架構的特性,才能針對特定網路環境和攻擊模式,佈署最有效的 DDoS 防禦策略。

在現今網路環境中,分散式阻斷服務(DDoS)攻擊已成為常見且嚴峻的安全威脅。為了有效應對 DDoS 攻擊,入侵回應系統(IRS)扮演著至關重要的角色。本文探討了幾種不同型別的 IRS 架構,包括 CITRA、分散式管理架構、EMERALD 和 CSM,並分析了它們各自的優缺點以及適用場景。CITRA 是一種根據過濾的 DDoS 緩解策略,其優點在於快速反應和不間斷服務,但缺點是引數依賴性、頻寬限制和硬體要求。分散式管理架構透過協同合作的方式檢測 DDoS 攻擊並定位其來源,具有快速反應和高效性的優點,但缺點是多播依賴性和缺乏實驗證據。EMERALD 是一種事件監控和回應系統,具有可重用性、互操作性、可擴充套件性和及時回應的優點,但缺點是複雜性和資源消耗。CSM 是一種根據置信度判斷的動態對映系統,優點是分散式檢測和使用者追蹤,但缺點是回應延遲和誤判風險。選擇適合的 IRS 架構需要根據具體的網路環境和需求進行權衡,例如網路規模、攻擊型別和預算等因素。

分散式阻斷服務(DDoS)攻擊的應對與容錯:多種入侵回應系統(IRS)架構解析

面對日益猖獗的分散式阻斷服務(DDoS)攻擊,如何快速有效地反應並減輕其影響,成為現代網路安全的重要課題。入侵回應系統(IRS)作為一種關鍵的防禦機制,其架構設計直接影響了應對DDoS攻擊的效率和效果。本文將探討幾種具有代表性的IRS架構,分析它們的優缺點,並探討如何根據實際需求選擇最合適的方案。

CITRA:根據過濾的DDoS緩解策略

CITRA 是一種根據過濾的DDoS緩解策略,旨在透過調整引數和確保足夠的頻寬來最小化攻擊的影響。該系統的核心在於其過濾機制,能夠識別並丟棄惡意流量,同時允許合法流量透過。

CITRA 的運作方式:

  1. 流量監控: CITRA 持續監控網路流量,分析流量模式和特徵。
  2. 惡意流量識別: 透過設定的規則和引數,CITRA 能夠識別出惡意流量,例如來自已知攻擊源的流量或符合特定攻擊模式的流量。
  3. 流量過濾: 一旦檢測到惡意流量,CITRA 會立即啟動過濾機制,將這些流量丟棄,防止其影響正常服務。
  4. 頻寬管理: CITRA 還會監控頻寬使用情況,確保合法流量有足夠的頻寬可用,從而保證服務的連續性。

CITRA 的優點:

  • 快速反應: CITRA 能夠在短時間內(約 10 秒)啟動並最小化DDoS攻擊造成的損害。
  • 不間斷服務: 即使在攻擊期間,CITRA 也能夠維持服務的執行,儘管品質可能會有所下降。

CITRA 的缺點:

  • 引數依賴性: CITRA 的效能高度依賴於引數的選擇,不當的引數設定可能導致過濾效果不佳或誤傷合法流量。
  • 頻寬限制: 如果合法流量所需的頻寬超過系統的承受能力,CITRA 可能無法保證服務品質。
  • 硬體要求: 為了獲得更好的效能,CITRA 需要更強大的硬體支援,這可能會增加成本。

玄貓認為,CITRA 適用於對反應速度有較高要求的場景,例如線上遊戲或即時通訊服務。然而,在佈署 CITRA 時,需要仔細調整引數,並確保有足夠的頻寬和硬體資源。

分散式管理架構:協同檢測與回應

Koutepas 等人提出的分散式管理架構,透過協同合作的方式檢測DDoS攻擊並定位其來源。這種架構根據「協同域」的概念,每個域負責監控自身內部的流量,並且其他域分享資訊。

分散式管理架構的運作方式:

  1. 協同域: 網路被劃分為多個協同域,每個域負責監控自身內部的流量。
  2. 內部檢查: 每個域會檢查是否有DDoS攻擊源自內部,並生成警示。
  3. 警示傳輸: 如果一個域檢測到DDoS攻擊,它會將警示傳輸給其他可能受影響的網路。
  4. 攻擊機率判斷: 每個域的實體會觀察來自其他域的警示和本地IDS的報告,以判斷內部遭受攻擊的機率。
  5. 反應決策: 系統會檢查警示數量是否超過預定義的閾值,如果超過,則根據儲存在實體中的反應表採取適當的行動。

分散式管理架構的優點:

  • 快速反應: 相較於傳統的回溯機制,該系統能夠更快地做出反應。
  • 高效性: 透過分散式管理,系統能夠更有效地利用資源,提高整體效能。

分散式管理架構的缺點:

  • 多播依賴性: 系統嚴重依賴多播骨幹網路傳輸警示,如果攻擊者成功攻擊該骨幹網路,可能會嚴重限制系統的效能。
  • 缺乏實驗證據: 該架構的有效性缺乏實驗證據的支援,僅有理論分析。

玄貓認為,分散式管理架構適用於大型網路環境,特別是需要協同防禦的場景。然而,在佈署該架構時,需要仔細考慮多播骨幹網路的安全性,並進行充分的測試和驗證。

EMERALD:事件監控與回應系統

EMERALD 是一種動態對映系統,能夠監控事件並生成適當的回應行動。EMERALD 主要支援入侵檢測,並輔助自動回應生成。

EMERALD 的運作方式:

  1. 監控器: EMERALD 的主要實體是監控器,它具有明確定義的介面,用於接收和傳送來自第三方安全服務的事件資料和分析結果。
  2. 被動模式與主動模式: 監控器可以以被動模式(讀取網路封包或記錄的活動)或主動模式(掃描或探測)與環境互動。
  3. 分析引擎: 監控器使用目標事件流簽章分析以及根據設定檔的統計分析進行異常檢測。
  4. EMERALD 解析器例項: 每個監控器都包含一個反制決策引擎,稱為 EMERALD 解析器例項,用於融合或聚合來自其相關分析引擎的警示,並呼叫回應處理程式以保護資源免受惡意活動的侵害。

EMERALD 的優點:

  • 可重用性、互操作性和可擴充套件性: EMERALD 的架構具有高度的可重用性、互操作性和可擴充套件性,適用於大型網路基礎設施。
  • 及時回應: EMERALD 的模組化結構和有效的工具集能夠及時生成回應行動,從而最大限度地減少損害。
  • 分層組織: EMERALD 的分層監控器組織和協調的警示資訊交換有助於及時生成回應行動。

EMERALD 的缺點:

  • 複雜性: EMERALD 的架構較為複雜,需要專業的知識和技能才能進行組態和管理。
  • 資源消耗: EMERALD 的監控和分析功能可能會消耗大量的系統資源。

玄貓認為,EMERALD 適用於需要高度靈活性和可擴充套件性的場景,例如大型企業網路或雲端環境。在佈署 EMERALD 時,需要仔細規劃監控器的佈署位置和分析策略,並確保有足夠的資源支援。

CSM:協同安全管理器

CSM 是一種有效的動態對映系統,能夠在大型網路環境中檢測入侵,並根據計算出的攻擊置信度資訊選擇回應行動。

CSM 的運作方式:

  1. 安全管理器: CSM 透過協同工作的方式,根據個別異常檢測監控器(稱為安全管理器)的回饋來檢測入侵行為。
  2. 異常檢測: 安全管理器不僅觀察流量,還在攻擊檢測中扮演其他角色。當安全管理器檢測到可疑行為時,它會對其自身使用者執行異常檢測。
  3. 報告: 一旦檢測到任何異常,每個安全管理器都會將其報告給連線發起的安全管理器。
  4. 入侵處理程式: 一旦檢測到入侵,就會啟動一個專用元件(稱為入侵處理程式,IH)來決定一組回應行動。IH 的決策主要取決於所感知的攻擊嚴重性。

CSM 的優點:

  • 分散式檢測: CSM 不依賴於集中式元件來檢測攻擊的發生。
  • 使用者追蹤: 安全管理器可以隨著使用者在分散式環境中從一個主機移動到另一個主機,更新關於使用者活動的資訊。

CSM 的缺點:

  • 回應延遲: 只有在攻擊證據強烈且預計不立即採取回應行動會造成嚴重損害時,CSM 才會啟動回應生成過程。
  • 誤判風險: 如果安全管理器的異常檢測不準確,可能會導致誤判,從而採取不必要的回應行動。

玄貓認為,CSM 適用於需要高度分散式檢測和回應的場景,例如大型企業網路或雲端環境。在佈署 CSM 時,需要仔細組態安全管理器的異常檢測規則,並確保入侵處理程式能夠快速有效地做出決策。

玄貓解析:自適應入侵回應系統與分散式阻斷服務容錯技術

在網路安全領域,入侵回應系統(Intrusion Response System, IRS)扮演著至關重要的角色。傳統的 IRS 主要目標是阻止所有入侵行為,但隨著分散式阻斷服務(DDoS)攻擊日益複雜,僅僅依靠預防已不足夠。因此,更先進的自適應 IRS 和 DDoS 容錯技術應運而生。

AAIRS:動態代理的自適應入侵回應

AAIRS(Adaptive, Agent-Based IRS)是一種根據動態代理的自動化 IRS,由開發 CSM(Correlation and Situation Management)的同一研究團隊提出。這種系統的核心思想是利用多個入侵偵測系統(IDS)監控電腦系統,一旦偵測到異常行為或攻擊,便會產生入侵警示。

AAIRS 透過介面代理收集警示資訊,並建立一個模型,用於評估來自不同 IDS 的誤報和漏報情況,進而計算出一個攻擊可信度指標。這個指標會連同入侵統計資料一起傳送給主分析(MA)代理,MA 代理會根據目標應用程式和目標埠等引數,使用決策過程將情況分類別為現有事件或新型攻擊。

當 MA 識別出一個未知的入侵時,它會產生一個新的分析代理來處理該入侵。這個代理會使用回應分類別代理來分析事件,並產生適當的抽象回應動作。這些抽象回應動作會被轉發到戰術代理,由戰術代理使用回應工具包來實施。戰術代理會將抽象回應動作分解為具體動作,然後透過呼叫回應工具包中的適當元件來執行它們。

AAIRS 透過以下三個元件提供回應適應能力:

  1. 介面代理:透過修改與每個 IDS 相關聯的可信度指標來進行適應。
  2. 分析元件:接收額外的事件報告,這可能會導致重新分類別攻擊者型別和/或攻擊型別。
  3. 戰術代理:使用多種技術實施計劃的步驟,並在必要時透過選擇替代步驟來進行適應。

所有這些元件都會追蹤其計劃和動作的成功指標,並在後續的攻擊例項中使用最成功的指標。

α-LADS:輕量級自主防禦系統

Armstrong 等人提出了一種輕量級自主防禦系統(ADS),稱為 α-LADS,它使用部分可觀察馬可夫決策過程(PO-MDP)。這是一個根據主機的防禦系統,由一家名為 Alphatech 的公司開發,該公司後來被 BAE 系統收購。α-LADS 是一個使用 PO-MDP 隨機控制器開發的原型自主防禦系統。這項工作的主要重點是開發和分析控制器,並透過實驗評估其效能。

α-LADS 在抽象層面的兩個主要目標是:

  1. 在面對攻擊時選擇正確的回應集。
  2. 如果沒有發生任何攻擊,則不採取任何行動。

α-LADS 有一個隨機回饋控制器,它接收來自一個名為 CylantSecure 的異常感測器的輸入,並嘗試計算系統的攻擊發生機率。如果機率很高,它會呼叫執行器來回應感知到的攻擊。作者將該系統稱為部分可觀察,原因有二:

  1. 入侵偵測感測器產生的警示可能不準確或錯誤。
  2. 系統採取的回應動作可能無法使系統還原到正常運作狀態。

為了評估 α-LADS 的效能,作者使用了來自蠕蟲攻擊主機的資料,並為攻擊情境開發了一個馬可夫狀態模型。選擇了兩個入侵偵測器感測器來接收觀察結果。一個感測器用於監控 IP 埠上的活動,而另一個感測器用於監控在主機電腦上運作的行程。作者針對代表電腦系統典型使用的活動校準了這兩個感測器。

為了驗證,作者使用了透過結合隨機 HTTP 和 FTP 存取以及隨機發出命令而產生的訓練資料。從第一個實驗中,得出的結論是,建立在回饋控制器上的原型 ADS 在存在合法系統活動的情況下,比靜態控制器表現更好。從第二個實驗中,確定 α-LADS 也能夠回應未見過的攻擊。換句話說,當 α-LADS 接受了 FTP 伺服器上蠕蟲攻擊的訓練時,它能夠對抗類別似的蠕蟲攻擊。此外,α-LADS 也能夠對抗每個未知的攻擊例項。

SITAR:根據冗餘的入侵容錯系統

SITAR 入侵容錯系統的設計依賴於冗餘。其主要的架構元件是代理伺服器,它們有助於:

  1. 驗證傳入和傳出的網路流量。
  2. 偵測應用程式伺服器內部和之間的故障。

SITAR 透過使用冗餘和多樣化的內部元件來減輕成功入侵嘗試帶來的不良影響。它透過手動選擇不同的伺服器程式碼(例如 Apache 和 Internet Information Server 用於 Web 伺服器)以及選擇多個作業系統(例如 Linux、Solaris 和 Microsoft)來引入內部元件選擇的多樣性。使用多個伺服器的主要動機是,入侵者一次只能透過單次入侵嘗試相互入侵一個伺服器。

玄貓觀點:入侵回應系統的演進與未來

從上述討論中,玄貓認為,IRS 在大多數 IDS 中都具有獨立的存在,並負責產生回應活動。自適應和動態 IRS 能夠對抗大多數型別的 DDoS 攻擊,並最大限度地減少對網路資源的損害。在主動 IRS 中,回應是在攻擊發生之前產生的,它使用網路行為的機率分析。相反,在反應式 IRS 中,回應動作僅在根據從 IDS 收到的警示資訊分析確認攻擊後才採取。反應式和主動式 IRS 可以協同工作,以最大限度地減少已知和未知入侵對資源的損害。

面對日益複雜的網路威脅,DDoS 容錯系統的目標是使用容錯設計方法來保護網路及其資源免受惡意攻擊。入侵容錯不再以阻止所有入侵為目標,而是使用防止入侵導致系統安全故障的機制。傳統的容錯技術可用於容忍入侵和錯誤偵測與還原,或者可以應用錯誤遮罩技術來維持資料完整性或服務可用性,儘管存在入侵。然而,由於它們所暗示的冗餘,這種容錯技術通常對資料機密性有害。

總結來說,自適應入侵回應系統和 DDoS 容錯技術是現代網路安全不可或缺的組成部分。它們不僅能夠應對已知的威脅,還能透過學習和適應來應對未知的攻擊,從而為網路提供更全面的保護。

多層次防禦:根據IDS的DDoS入侵容錯技術

面對DDoS攻擊,僅僅依靠傳統的入侵偵測系統(IDS)可能不足以完全保護網路服務。入侵容錯系統(ITS)在此背景下應運而生,它不僅能夠偵測攻擊,更重要的是,能在攻擊發生時維持系統的可靠性和可用性。玄貓認為,ITS的核心在於即使部分系統元件受損,也能確保整體服務的持續運作。

入侵容錯系統的通用架構

入侵容錯系統的架構與IDS有相似之處,包括管理系統、監控元件和偵測元件。但ITS的關鍵區別在於反應元件,它採用容錯技術來防止入侵導致系統當機。

入侵容錯的三大原則

在設計入侵容錯系統時,多數研究人員遵循以下三個基本原則:

  1. 冗餘性:避免單點故障,確保系統有多個備份元件。
  2. 多樣性:利用不同種類別的軟體(例如,作業系統)來減輕常見的弱點。
  3. 重構:重新組態服務、元件和伺服器,以確保服務持續提供給合法使用者,即使在攻擊情況下也是如此。

DDoS容錯方法分類別

近年來,湧現了許多新穎的方法來提供網路社群容錯支援。玄貓將這些方法歸納為三大類別:

  1. 多層次IDS:透過整合多個層次的偵測來提高防禦能力。
  2. 中介軟體演算法:根據中介軟體演算法來管理和分散流量。
  3. 還原機制:透過快速還原受損元件來維持服務。

此外,研究人員還開發了混合方法,將這些方法成功結合,以提供最佳的容錯服務。

SITAR:根據多層次IDS的容錯架構

SITAR(Service Infrastructure for Intrusion Tolerance and Adaptation in Real-time)是一種用於分散式服務的架構,特別是針對商用現成伺服器(COTS)。SITAR的核心思想是,效果比原因更重要。在攻擊情況下,網路或系統必須首先存活下來,然後才能確定原因是攻擊還是意外故障。

SITAR的運作機制

SITAR依賴於冗餘性和多樣性。其架構包含以下關鍵元件:

  • 代理伺服器(PS):作為容錯服務的公共存取點,負責根據策略將請求轉發到適當的COTS伺服器。
  • 投票監視器(BM):根據多數投票或拜占庭協定來決定回應。
  • 接受監視器(AM):在回應轉發到BM之前,先檢查其有效性。
  • 自適應重組態(AR)模組:評估入侵威脅和成本/效能影響,並為系統生成新的重組態。
  • 稽核控制(AC):負責稽核ITS各個元件的行為。

SITAR的優勢與侷限

SITAR的優勢包括其可擴充套件性以及透過冗餘性和多樣性提供容錯服務的能力。它能夠處理未知攻擊和殭屍網路,並在檢測到攻擊時重新組態受損伺服器。

然而,SITAR也存在一些侷限性:

  1. 計算複雜度高。
  2. 接受測試特定於應用程式,需要特定組態。
  3. 僅在檢測到入侵時才執行自適應還原。

除了SITAR之外,還有其他一些重要的ITS被開發出來,例如DPASA(Designing Protection and Adaptation into a Survivable System Architecture)。這些系統旨在透過不同的方法來提高網路服務的容錯能力,確保在DDoS攻擊等惡劣情況下也能持續運作。

玄貓

玄貓

技術愛好者,專注於分享程式開發、雲端技術與 AI 應用的心得體會。