DDoS攻击防范专利技术分析

2017-03-10张长梅

网络安全技术与应用 2017年11期

关键词：会话应用层申请量

◆张长梅

(国家知识产权局专利局专利审查协作四川中心四川 610200)

DDoS攻击防范专利技术分析

◆张长梅

(国家知识产权局专利局专利审查协作四川中心四川 610200)

DDoS（Distributed Denial of Service，分布式拒绝式服务）攻击是当今互联网的重要威胁之一，其前身是DoS攻击，最基本的DoS攻击是指攻击者利用大量合理的服务请求来占用攻击目标过多的资源，从而使合法用户无法得到服务的响应。DDoS攻击则是指攻击者控制僵尸网络中的大量僵尸主机向攻击目标发送大流量数据，耗尽攻击目标的系统资源，导致无法响应正常的服务请求。

DDoS攻击；Flood；畸形报文；扫描探测

0 引言

DDoS攻击防范技术的技术分支是对应于DDoS攻击类型的分类，而 DDoS攻击可以按照攻击方式进行分类，也可以按照TCP/IP协议层进行分类。其中按照攻击方式的分类更符合攻击防范技术的演进路线，所以本文涉及到技术分支的分析，则主要是按照DDoS攻击方式的划分进行分解。

1 DDoS攻击的种类

1.1 DDoS攻击按照攻击方式可以划分为

（1）泛洪攻击（Flood）是指攻击者通过僵尸网络、代理或直接向攻击目标发送大量的伪装的请求服务报文，最终耗尽攻击目标的资源。发送的大量报文可以是TCP的SYN报文和ACK报文、UDP报文、ICMP报文、DNS报文、HTTP/HTTPS报文等。

（2）畸形或特殊报文攻击（Malformation）是指攻击者发送大量有缺陷或特殊控制作用的报文，从而造成主机或服务器在处理这类报文时系统崩溃。

（3）扫描探测类攻击（Scan&Probe）是一种潜在的攻击行为，并不具备直接的破坏行为，通常是攻击者发送真正攻击前的网络探测行为，例如IP地址扫描和端口扫描。

1.2 DDoS攻击按照TCP/IP协议层可以划分为

（1）网络层攻击，常见的ICMP Flood攻击、Smurf攻击、大部分特殊控制报文攻击、IP地址扫描攻击。

（2）传输层攻击，主要是针对TCP、UDP报文和端口的各类攻击，常见的大多是Flood类攻击，例如：SYN Flood、SYN-ACK Flood、ACK Flood、FIN/RST Flood、UDP Flood、DNS Flood 攻击。

（3）应用层攻击，常见的有HTTP Flood、HTTPS Flood、SIP Flood攻击。

2 专利技术发展概况

2.1 历年专利申请量分析

截至目前已公开的DDoS攻击防范技术相关的全球专利申请量为2643、中国申请量为1137。DDoS攻击的全球申请量剧增是在1999至2000年，这也正是DDoS攻击“扬名”的时期，最早追溯至1999年的为阿桑奇“复仇行动”事件、明尼苏打大学的计算机宕机事件，以及2000年的Amazon、CNN、eBay和Yahoo的被攻击。接着，在2001年至2005年申请量也逐年上升，同期在华申请的申请量也开始呈上升趋势，也正是在在这个时期DDoS攻击事件剧增，最典型的就是对Register.com和对eBay的又一次攻击。然后就是在2012年至2013年的一次申请量剧增点，据当时的报告显示，2012年超过20Gbps的DDoS攻击已成为普遍现象，就第三季度的DDoS攻击数量比去年同期增长了88%。

2.2 专利技术原创国分析

DDoS攻击防范专利技术的原创国主要是美国、中国，其申请量总和占到了全球申请总量的近八成，其次是韩国、日本和欧洲，这也与各国数据通信领域的技术发展有很大关系。DDoS攻击防范技术的专利申请量在2007年以前美国一致处于遥遥领先的位置，自2008年中国和美国的专利申请量开始出现不相上下的格局，这也符合数据通信领域的发展趋势，并反映了各国对网络安全的重视程度。

2.3 主要申请人分析

全球申请量居于首位的申请人是思科，其作为全球数据通信技术实力最强的公司，在DDoS攻击防范技术领域也必然是相当重视的。另外全球前10位申请人中国内申请人仅包括国内通信巨头公司华为公司和专门做安全产品的神州绿盟。

国内申请量排名前5的申请人主要还是企业，其中包含了数据通信技术实力较强的华为、中兴和华三，以及专注做安全产品的神州绿盟。最值得一提的当属2000年才成立的神州绿盟，专注于安全产品的研发，在网络安全领域相当于有竞争力。

3 技术发展路线

DDoS攻击类型最典型的当属Flood攻击，现针对DDoS攻击防范的技术发展路线分析重点覆盖针对Flood攻击中各种攻击类型的防御。2000年以前最初提出的防御方式大多是使用新的协议进行替代。2001年至2005年的专利申请涵盖了DDoS攻击防御技术的大多数基本防御手段。2006年至2010年的专利申请提出的DDoS攻击防御技术则主要是基于报文内容本身进行防御。至2011年以来，随着各种DDoS攻击技术的层出不穷，专利申请的技术方案也更具有针对性。

4 核心专利分析

核心专利的分析能够快速体现行业的研究重点，现根据DDoS攻击的主流防御方式筛选出5篇核心专利，覆盖了基于历史数据包、基于应用层消息检查、基于数据流的变化率、针对源IP地址认证以及基于会话的事务类型进行攻击防范，具体分析如下：

（1）US29109502A 主动网络防护系统与方法

本专利是由尖端技术公司于2001年提出的，其具体方案是通过跟踪包的数据流上当前存在的会话；收集其历史包数据；过滤所跟踪的会话和历史包数据，以便根据统计分析而确定是否经过多个会话的数据流中的包引起对网络的威胁；以及通过响应于所确定威胁的存在而阻止存在威胁的包来处理这些包的数据流中的包。可以看出该架构是攻击防御思路的基础模型。

（2）US715204A 基于应用层消息检查的网络和应用攻击保护

本专利是思科技术公司于2002年提出的，其具体方案是通过检查应用层消息来保护网络免受拒绝服务攻击，确定该应用层消息是否满足一个或多个指定标准。如果消息满足指定标准，则阻止包含该消息的数据分组被消息想要去往的应用所接收。结果，服务器应用的宿主并不在其目的可能仅仅是泛滥并淹没服务器应用的消息上浪费处理资源。

（3）US91561101A 防止“拒绝服务”攻击

本专利是IBM于2003年提出的，其具体方案是通过在服务器和网络之间部署网络处理器以与网络的数据流速率大致相同的速率传输与外部网络交换的数据，其通过监视数据流，确定数据流的变化率，并修改指令，以便响应于在预定边界之外的变化率而丢弃包。本专利的发明构思虽然是针对DoS攻击的，但其实也给DDoS攻击防御的技术方案提供了基于数据流变化率进行防御的技术启示。

（4）US79265304A利用TCP认证IP源地址

本专利是思科于2004年提出的，其具体方案是通过截取根据由预定通信协议所指定的握手程序在网络上从源地址定向到目标计算机的打开连接的请求，评估源地址的合法性以防止目标计算机遭受恶意流量。这个方案对于检测和阻止DDoS攻击期间的欺骗性流量非常有用，当然也可以由于其他目的而用于认证源地址和连接请求。

（5）US2011055921A1防御分布式网络泛洪攻击

本专利是JUNIPER（丛林网络公司）于2009年提出的，其具体方案是网络安全设备执行业务的三阶段分析以识别恶意客户端：监测到受保护的网络设备的网络连接；当该连接的参数超过连接阈值时，监测多个网络会话的多个事务类型；当与至少一个与事务类型相关联的参数超过事务类型阈值时，监测与发起至少一个事务类型的事务的网络地址相关联的通信。当超过客户端-事务阈值时，该设备对于网络地址中的至少一个执行程序化操作。当然在这三个阶段之前，还可以有一个学习阶段以确定阈值。