什么是基于行为分析的DDoS缓解技术

2023-06-21    分类: 网站建设

  无论我们选择香港服务器还是云服务器还承载业务,都必然绕不开DDoS的威胁。我们知道,典型的互联网安全设备预先包装了签名和规则,可以帮助识别简单的攻击。这在许多情况下是有效的,但是没有区分攻击流量和正在浏览网站的合法用户。基于签名的方法往往不能满足防御DDoS攻击的威胁。

  关于DDoS防御,首先在于攻击检测和识别。例如创新互联香港高防服务器,已集成完善的攻击自动化检测与处理系统,支持DDoS/SYN/UDP/ACK/ICMP/DNS/NTP/CC等各类攻击的精准检测,并自动切换高防线路实现保护。近日,美国FortiDDoS公司使用100%基于启发式/行为的检测方法可能为我们带来不同的思路。尽管基于行为的缓解措施具有某些无法避免的缺陷,但值得仔细研究。让我们仔细看看基于行为的DDoS缓解是什么。


  一、意图与内容

  基于行为分析的DDoS检测需要区分:攻击者想要通过攻击实现什么目的。为保持一定的侦测水平,攻击者往往试图将自己隐藏在已知的基于签名的检测方法中。基于行为的方法不容易被攻击者防范。

  例如,大量的/index.html请求到您的网站对一组预定义的规则可能并不奇怪,但是如果这些请求有一个服务器从未见过的卷,那么行为方法就可以认为这是一个潜在的攻击。

  以类似的方式,使用诸如Slowloris之类的攻击建立TCP连接在内容上是合法的,但是只能使用行为技术来识别。


什么是基于行为分析的DDoS缓解技术


  二、硬编码与自定义

  值得一提的另一个区别是自定义和硬编码规则集之间。您可以告诉您的DDoS设备停止包含某些属性的所有流量,例如,防火墙具有允许或拒绝ICMP ping的规则策略。行为缓解装置允许您限制每秒ping的数量,因此只有在低于特定速率时才允许ping。这种上下文信息使得攻击缓解更加准确。

  另一种硬编码政策与费率本身有关,不是行为性的。例如,一个小型的信用社可能有一个平均流量为10Mbps的网上银行应用程序。而另一处,有一家大型银行,可能会有10Gbps的平均流量。对于较小的信用社,如果流量突然增长到110 Mbps,它可以使服务器崩溃,而大型银行的服务器上增加100 Mbps只不过是一个小点。因此,有能力清晰地知道多少流量算是攻击,多少只是一个小点是行为缓解真正有效的地方。


  三、总数据量与流量精细化

  您怎么知道您是否遇到了DDoS攻击?只是总数据包数还是更多?

  由于应用层攻击与网络和传输层攻击相结合,粒度指的是能够针对攻击的维度。在网络访问中它是否是同一个用户代理,或者它是一个特定的URL,还是只是分段的数据包,等等?攻击缓解系统越细化,越能够将流量切分成准确的维度,从而避免在攻击过程中出现误报。


  四、固定与自适应

  互联网业务流量从来就不是静态的。任何互联网的流量都有其每日、每周、每月和每年的季节性。由于营销活动等原因,流量也可能突然激增。自适应系统能够具有随时间调整的行为流量阈值,以便任何剧烈变化被迅速识别为攻击。


      

本文名称:什么是基于行为分析的DDoS缓解技术
标题路径:https://www.cdcxhl.com/news/266006.html

成都网站建设公司_创新互联,为您提供App开发面包屑导航手机网站建设建站公司小程序开发静态网站

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

成都app开发公司