防御 DDoS 攻击的最有效方法是能够自动准确地识别攻击流量并将其丢弃。机器学习在有效的 DDoS 缓解策略中起着关键作用。
用于缓解攻击的机器学习算法采用各种学习、检测、表征和缓解方案:
- 创建正常或合法流量的配置文件,并检测异常或偏离正常流量的行为。
- 表征攻击流量并创建初始签名。
- 使用封闭反馈机制自动优化初始签名。在许多情况下,初始签名会出现误报,并且会在测量过程中签名的有效性时进行进一步优化。
- 确定攻击结束以停止缓解。
当攻击完全随机化时,积极保护模型采用签名生成逻辑,将所有流量放在一边,让合法流量在和平时期学习。
零时间缓解
虽然消极和积极的机器学习算法最擅长以最小的误报缓解攻击,但自动签名生成的过程可以持续几秒钟。老练的攻击者可能会使用这个没有签名的短窗口对目标发动大规模、短暂的突发攻击。这种攻击只能持续几秒钟,如果没有保护措施,可能会导致服务中断。这是速率限制非常有效的地方。它将攻击流量限制在受保护服务可以维持的速率,并填补几秒钟的缓解间隙,直到签名准备好。
速率限制立即启动攻击缓解,以提供零缓解时间,并且仅用于第一次发生。一旦签名准备就绪,它就会自动应用以减轻重复发生的攻击命中,同时消除误报。这确保了在整个攻击活动中持续零缓解时间。