知物由學 | 如何利用人工智能來對抗DDoS攻擊？

歡迎通路網易雲社群，了解更多網易技術産品營運經驗。

“知物由學”是網易雲易盾打造的一個品牌欄目，詞語出自漢·王充《論衡·實知》。人，能力有高下之分，學習才知道事物的道理，而後才有智慧，不去求問就不會知道。“知物由學”希望通過一篇篇技術幹貨、趨勢解讀、人物思考和沉澱給你帶來收獲的同時，也希望打開你的眼界，成就不一樣的你。當然，如果你有不錯的認知或分享，也歡迎通過郵件（[email protected]）投稿。

作者：Mark Stone  他早期是政府的CISSP網絡安全分析師，現在是技術領域的資深撰稿人。

以下是譯文：

分布式拒絕服務（DDoS）攻擊已經存在了20多年。不幸的是，它将繼續困擾首席資訊安全官（CISO）、首席資訊官（CIO）以及在可預見的未來幾乎所有涉及IT的人員。

随着技術的發展，這些攻擊的範圍和規模隻有越來越大。雖然很多防護系統可以擊退每秒有150個攻擊請求，但1,000 Gbps甚至更高量級的DDoS攻擊現在已經變得很常見了。而且，随着物聯網（IoT）裝置的不斷普及，攻擊隻會愈演愈烈。

如果你稍微了解一下Mirai僵屍網絡，是不是覺得很誇張？沒錯，它就是IoT放大了DDoS攻擊的毀滅性打擊的真是案例。随着人工智能（AI）的興起，機器學習已經開始在檢測和阻止這些攻擊方面發揮積極作用。

另一方面，攻擊行為的發起者也可以利用這種技術來進行DDoS攻擊。

AI時代發起DDoS攻擊很容易

據網易雲易盾安全工程師介紹，DDoS攻擊利益鍊日益成熟，攻擊成本正在越來越低。目前，DDoS攻擊地下産業鍊可以提供一整套的完善的服務，包含各種套餐，其中一個月幾十元就可以購買到DDoS攻擊服務。

圍繞這個話題其他安全工程師也有一些“怨言”：安全軟體提供商JASK安全研究主管Rod Soto表示，實施DDoS太簡單了，任何人都可以下載下傳一個讓公司遭受攻擊的免費工具。Soto說：“如果你是一個小公司，并且你有一個沒有抗D保護網，這就意味着你很脆弱。”

雖然簡單易用的工具無法産生大量的流量，但知識淵博的攻擊行為的發起者可以利用物聯網建立像Mirai這樣的僵屍網絡。利用大規模活動的物聯網裝置可以輕松擴充至1TB資料，以吞并任何系統或服務。

Soto說：“網絡犯罪分子可以用來反彈或反射其中任何一種方式連接配接裝置（比如前段時間非常流行的Memcache反射性攻擊），他可以通過僞造源IP，最後形成反射放大型DDoS攻擊，攻擊量可以放大至5W倍。”

善與惡：誰将赢得AI戰役？

為了抵制這些史詩般的DDoS攻擊，Soto寄希望于AI，希望它可以發揮關鍵作用。他解釋說，在最基本的定義中，機器學習是一種教計算機建構基于資料的算法的方法。該算法可以了解什麼是正常的，什麼是異常的，如果機器學習系統遇到異常活動，它就會采取相應的行動。

Soto表示，“機器學習專家與資料科學家、統計學以及盡可能多的資料放在一起肯定會産生非常奇妙的化學反應。你訓練機器學習，它會學習和推斷那些不清楚的事情，最終可以實時的對你訓練過甚至沒有訓練過的活動做出判斷。”

如果人工智能可以“說話”（現實中，某種形式的人工智能實際上可以“說話”），它會說這樣的話：“嘿，我知道你沒有訓練我做這件事，但根據我所看到的 X，Y和Z，我建議你做A或B，這樣可以會獲得什麼樣的結果。“

在一個硬币的背面：就像我們可以讓機器像人類一樣思考，在許多情況下，惡意行為的發起者也可以讓機器學習幫忙找出如何繞過防護算法。根據Soto的說法，一旦惡意行為的發起者發現并且了解了你的防護算法，他們可以改變攻擊目标保護自己的方式，并從理論上消除障礙。當DDoS發起時，攻擊目标的保護能力就會下降。

這不禁會讓我們想到到底誰赢誰輸的問題。如果保衛者和攻擊者可以從AI獲得同樣的利益來實作其各自的目的，那麼資源最豐富的人通常會占上風。

Soto說：“如果你的競争對手擁有資源、金錢、時間和高效的機制來處理針對已知目标的資料，那麼他們很有可能會成功。” 在防守端，這也是同樣的道理：你需要技巧和資源。令人敬畏的是，在人工智能技術未商品化之前，你需要大量的财務資源才能使用該技術。不過，幸運的是越來越多的安全類的人工智能技術提供商正在面向企業提供服務，網易雲易盾就是其中一家。

解決不可避免的物聯網沖擊

讓我們面對現實吧：自己建構可以用來防禦DDoS攻擊的AI是非常昂貴的，但雇用第三方安全公司來協助預防工作是一個很好的選擇。在聘請第三方安全公司時，不要等到你受到攻擊之後再邀請他們提供幫助。因為，今天安全領域的任何事情都一樣，主動性正在變得至關重要。

另外，并不是所有防止這些大規模攻擊的責任在于企業。物聯網行業必須在威脅行為提供者劫持物聯網裝置攻擊易受攻擊的目标并造成重大損害之前，解決連接配接裝置固有的安全問題。提前采取更強大的防禦措施，如機器學習，因為處理這種規模的攻擊是至關重要的。

如果我們了解DDoS，你就會發現它是有利可圖。隻要你有這種想法，惡意行為發起者就會繼續肆虐。雖然惡意行為發起者總是一個敵人，但請不要忘記，自滿也是一個同樣有害的對手。不要以為你不會受到DDoS攻擊，可能下一個就是你，因為在網際網路上沒有真正的流量孤島，有流量就可能有攻擊。譯者注：流量孤島是指不需要跟網際網路上的其他人交流資訊。

歡迎免費試用網易雲易盾安全服務。

相關文章：

【推薦】 測試角度的并發和幂等問題總結

【推薦】 責任鍊模式的使用-NettyChannelPipeline和MinaIoFilterChain分析