知物由学 | 如何利用人工智能来对抗DDoS攻击?

网易云易盾2018-06-26 21:52

“知物由学”是网易云易盾打造的一个品牌栏目,词语出自汉·王充《论衡·实知》。人,能力有高下之分,学习才知道事物的道理,而后才有智慧,不去求问就不会知道。“知物由学”希望通过一篇篇技术干货、趋势解读、人物思考和沉淀给你带来收获的同时,也希望打开你的眼界,成就不一样的你。当然,如果你有不错的认知或分享,也欢迎通过邮件(zhangyong02@corp.netease.com)投稿。


作者:Mark Stone  他早期是政府的CISSP网络安全分析师,现在是技术领域的资深撰稿人。


以下是译文:


分布式拒绝服务(DDoS)攻击已经存在了20多年。不幸的是,它将继续困扰首席信息安全官(CISO)、首席信息官(CIO)以及在可预见的未来几乎所有涉及IT的人员。




随着技术的发展,这些攻击的范围和规模只有越来越大。虽然很多防护系统可以击退每秒有150个攻击请求,但1,000 Gbps甚至更高量级的DDoS攻击现在已经变得很常见了。而且,随着物联网(IoT)设备的不断普及,攻击只会愈演愈烈。


如果你稍微了解一下Mirai僵尸网络,是不是觉得很夸张?没错,它就是IoT放大了DDoS攻击的毁灭性打击的真是案例。随着人工智能(AI)的兴起,机器学习已经开始在检测和阻止这些攻击方面发挥积极作用。

 

另一方面,攻击行为的发起者也可以利用这种技术来进行DDoS攻击。

 

AI时代发起DDoS攻击很容易

 

据网易云易盾安全工程师介绍,DDoS攻击利益链日益成熟,攻击成本正在越来越低。目前,DDoS攻击地下产业链可以提供一整套的完善的服务,包含各种套餐,其中一个月几十元就可以购买到DDoS攻击服务。

 

围绕这个话题其他安全工程师也有一些“怨言”:安全软件提供商JASK安全研究主管Rod Soto表示,实施DDoS太简单了,任何人都可以下载一个让公司遭受攻击的免费工具。Soto说:“如果你是一个小公司,并且你有一个没有抗D保护网,这就意味着你很脆弱。”

 

虽然简单易用的工具无法产生大量的流量,但知识渊博的攻击行为的发起者可以利用物联网创建像Mirai这样的僵尸网络。利用大规模活动的物联网设备可以轻松扩展至1TB数据,以吞并任何系统或服务。

 

Soto说:“网络犯罪分子可以用来反弹或反射其中任何一种方式连接设备(比如前段时间非常流行的Memcache反射性攻击),他可以通过伪造源IP,最后形成反射放大型DDoS攻击,攻击量可以放大至5W倍。”


善与恶:谁将赢得AI战役?


为了抵制这些史诗般的DDoS攻击,Soto寄希望于AI,希望它可以发挥关键作用。他解释说,在最基本的定义中,机器学习是一种教计算机构建基于数据的算法的方法。该算法可以了解什么是正常的,什么是异常的,如果机器学习系统遇到异常活动,它就会采取相应的行动。


Soto表示,“机器学习专家与数据科学家、统计学以及尽可能多的数据放在一起肯定会产生非常奇妙的化学反应。你训练机器学习,它会学习和推断那些不清楚的事情,最终可以实时的对你训练过甚至没有训练过的活动做出判断。”


如果人工智能可以“说话”(现实中,某种形式的人工智能实际上可以“说话”),它会说这样的话:“嘿,我知道你没有训练我做这件事,但根据我所看到的 X,Y和Z,我建议你做A或B,这样可以会获得什么样的结果。“


在一个硬币的背面:就像我们可以让机器像人类一样思考,在许多情况下,恶意行为的发起者也可以让机器学习帮忙找出如何绕过防护算法。根据Soto的说法,一旦恶意行为的发起者发现并且了解了你的防护算法,他们可以改变攻击目标保护自己的方式,并从理论上消除障碍。当DDoS发起时,攻击目标的保护能力就会下降。


这不禁会让我们想到到底谁赢谁输的问题。如果保卫者和攻击者可以从AI获得同样的利益来实现其各自的目的,那么资源最丰富的人通常会占上风。

 

Soto说:“如果你的竞争对手拥有资源、金钱、时间和高效的机制来处理针对已知目标的数据,那么他们很有可能会成功。” 在防守端,这也是同样的道理:你需要技巧和资源。令人敬畏的是,在人工智能技术未商品化之前,你需要大量的财务资源才能使用该技术。不过,幸运的是越来越多的安全类的人工智能技术提供商正在面向企业提供服务,网易云易盾就是其中一家。

 

解决不可避免的物联网冲击

 

让我们面对现实吧:自己构建可以用来防御DDoS攻击的AI是非常昂贵的,但雇用第三方安全公司来协助预防工作是一个很好的选择。在聘请第三方安全公司时,不要等到你受到攻击之后再邀请他们提供帮助。因为,今天安全领域的任何事情都一样,主动性正在变得至关重要。

 

另外,并不是所有防止这些大规模攻击的责任在于企业。物联网行业必须在威胁行为提供者劫持物联网设备攻击易受攻击的目标并造成重大损害之前,解决连接设备固有的安全问题。提前采取更强大的防御措施,如机器学习,因为处理这种规模的攻击是至关重要的。

 

如果我们了解DDoS,你就会发现它是有利可图。只要你有这种想法,恶意行为发起者就会继续肆虐。虽然恶意行为发起者总是一个敌人,但请不要忘记,自满也是一个同样有害的对手。不要以为你不会受到DDoS攻击,可能下一个就是你,因为在互联网上没有真正的流量孤岛,有流量就可能有攻击。译者注:流量孤岛是指不需要跟互联网上的其他人交流信息。


欢迎免费试用网易云易盾安全服务。