譯者 | 陳峻
審校 | 重樓
讓我們從一個安全事件說起。想象一下,某天早上,貴公司的面向客戶的數字化平臺整體癱瘓了——網站無法加載,應用后臺不斷顯示報錯信息,客戶支持熱線被投訴打爆。與此同時,你的IT團隊通過忙碌的內部調查,認為這源自服務器問題或是云提供商的中斷。
不過30分鐘后,他們意識到自己正經受從未有過的分布式拒絕服務(DDoS)攻擊,也就是說,每一次他們阻止了一個流量攻擊源,攻擊者就會轉移到另一個流量源。而他們部署的每一條防御規則,都會在幾秒鐘內被繞過和規避。就在他們搞清楚事件的原因時,攻擊已經先后調整了三次。其實,這并未我們假設的噩夢場景,而是現代人工智能(AI)驅動的DDoS的顯著特征,它們正在許多組織的網絡和系統中發生。
回望過去,DDoS攻擊已經在網絡世界中存續了數十年,它們的迭代與發展早已遠超了大多數人固有想象中的“淹沒服務器,直至其崩潰”的表象。如今那些由人工智能加持的攻擊,可以更快地識別到應用漏洞,組織協調出多矢量的活動,并實時調整其最新攻擊策略。顯然,這對于負責保持系統平穩運行的IT領導、安全團隊和運維工程師來說,意味著需要重新思考本組織該如何應對此類新型攻擊并實施網絡防御。
下面,我們將和你依次討論:
- DDoS攻擊是如何從暴力洪水,演變為先進的人工智能驅動攻擊的?
- 傳統防御為何屢遭失敗,人工智能驅動的DDoS為何如此危險?
- 哪些防御策略能夠對抗適應性、智能的攻擊?
AI加速DDoS攻擊的演變
早期的DDoS攻擊采用的是直截了當的策略,即:產生比目標系統所能處理的更多的流量。由于這些攻擊的有效性源于規模效應而非復雜性,因此被檢測到的可能性較大。畢竟攻擊流量會表現出諸如:異常流量峰值、地理源集中、數據包模式重復、以及異常協議行為等明顯的特征。據此,安全團隊可以通過設置IP黑名單、限制速率和清洗流量等方式,來快速識別攻擊并采取對策。
如今,有了人工智能,攻擊者能夠通過分析大量的網絡流量數據,來引入新的復雜模式。人工智能算法方便了攻擊者實時地優化他們的戰術,根據目標的反應來自動調整攻擊參數。這種自適應性主要表現在,當安全人員實施對策來抵御攻擊時,攻擊者則可以實時調整他們的行動,使得安全對策難以企及。
據統計2024年,平均網絡攻擊量增加了120%,而攻擊的平均持續時間也增加了37%,攻擊者往往使用機器學習來進行如下操作:
- 規避檢測:通過研究并模仿正常的流量模式,由人工智能驅動的攻擊與合法流量正在趨向于融合。
- 資源最優化:僵尸網絡可以根據網絡中最薄弱的節點動態調整流量的分布,而不再緊盯著單個目標爆破。
- 啟動多向量戰爭:人工智能會協調網絡第3層、傳輸第4層、以及應用程序第7層同時開展攻擊,并即時改變戰術。
AI驅動的DDoS危害
人工智能會持續掃描目標系統的整個基礎設施,對每個錯誤的配置、每個暴露的端口、以及每種延遲的模式都進行編目,進而表注出潛在的、可利用的弱點。據此,攻擊者能夠在毫秒內改變戰術,而安全團隊則需要數小時來響應。顯然,兩者在速度上的差距,就會造成攻與防的失衡。
根據Cloudflare的《2024年應用安全報告》,2020年至2024年期間,應用層面上的攻擊增加了287%,而解決時間從幾分鐘延長到了平均4.7小時,畢竟安全團隊需要仔細分析微妙的統計異常,而不能憑借顯著的簽名,來區分復雜的攻擊流量與合法請求。
可見,傳統防御已無法跟上由人工智能驅動的、為可預測的威脅而構建的新型DDoS。就目前而言,DDoS攻擊平均每分鐘的開銷為6000美元,攻擊平均持續39分鐘,而每次事件所引發的財務影響約為234,000美元。此外,如果你考慮那些聲譽損害、客戶流失、以及因違反服務級別協議(SLA)而遭受的懲罰的話,一次復雜的攻擊帶來的損失可能高達七位數。
對抗自適應智能攻擊的防御策略
當人工智能驅動的攻擊遇到同樣由人工智能驅動的防御時,形勢恐怕就沒有那么悲觀了。下面讓我們討論一些可用于成功應對復雜DDoS攻擊的策略。
1.對抗性人工智能防御模型
此類防御模型的基本概念是:通過不斷重新訓練,來對抗由本系統生成的模擬人工智能攻擊,以構建一個持續反饋的循環。據此,每一次防御的更新都會觸發新的對抗性測試,并由每一次模擬攻擊來增強防御系統的抵御能力。可見,通過實施元學習系統,我們可以及時檢測到攻擊者何時正在探測現有的防御,并在實際攻擊開始之前,識別到系統級的IP輪換或速率限制測試等偵察模式,進而可以在主動攻擊期間啟用實時的模型更新,在數秒鐘內將新的模式納入現有的檢測邏輯之中。
2.生物行為識別分析
人工智能攻擊雖然可以模仿流量模式,但它們很難在生物識別層面復制真正的人類行為。據此,我們可以構建一個生物行為分析防御層,讓攻擊者的擊敗代價成倍增加。
例如,我們可以部署客戶端行為遙測,捕獲鼠標運動軌跡、點擊用時、滾動速度和鍵盤節奏等。據此,我們不僅能夠判斷用戶是否移動了鼠標,而且可以獲悉他們的行為模式,是否與機器人的神速復現存在著自然細微差異。
此外,使用“基于風險認證的漸進式驗證”,可以在挑戰的模式中,不斷升級可疑行為模式的權重。也就是說,低風險僅獲得JavaScript的驗證,中風險需獲得驗證碼的校驗,而高風險則要獲得多因素身份驗證或被臨時阻止。這種自適應挑戰的難度能夠使得攻擊難度成倍增加。畢竟,縱然攻擊者持續通過訓練機器學習模型來模仿人類行為,其所需要大規模生成的、令人信服的生物識別數據的算力成本,也可能會讓攻擊者不堪重負。
3.分布式蜜罐網絡
人工智能攻擊通常會通過探測目標系統的防御模式,來學習最佳可利用的策略與途徑。我們可以通過分布式蜜罐網絡,向攻擊者提供虛假的信息(即,以誘餌的形式讓攻擊者利用受控的蜜罐網絡中的那些偽缺陷),將其學習過程武器化(形成殺傷鏈),從而對攻擊者的行為進行偵察,并基于偵察到的情報,及時將新的防御模式部署并傳播到所有生產系統中。這樣一來,攻擊者的每一次探測嘗試,都會反過來對我們整個基礎設施起到加固的作用。可以說,該策略不再是過去的被動防御;而是主動的威脅饋送手段,利用人工智能攻擊的行為來實現提升,進而達到“魔高一尺,道高一丈”、水漲船高的效果。
4.量子對抗性(Quantum-Resistant)流量驗證
目前,人工智能攻擊正在試圖突破對量子計算威脅的防御。此類量子計算的安全防御旨在針對那些自適應性的智能攻擊,設法構建安全的基礎設施。我們可以實施基于NIST標準化的后量子加密協議,例如:將CRYSTALS-Kyber用于加密、將CRYSTALS-Dilithium用于簽名,以確保即使攻擊者部署了量子計算資源,你的身份驗證和驗證機制仍安全,且可以免受那些將加密驗證作為利用載體的AI攻擊類型。
可以說,部署了量子對抗性防御的組織將能夠獲得雙重保護,即:免受探查加密弱點的人工智能攻擊,以及阻斷下一代量子增強性攻擊的、面向未來的安全性。這將從根本上改變當前的攻防格局。
5.聯合式防御情報網絡
當前的一個趨勢是,復雜的人工智能攻擊多利用分布式的資源架構,探測不同地域、不同目標的防御漏洞,來構建全面的攻擊策略,進而在全球范圍內運行。顯然,單個組織往往無法防御那些具有全球分布式的人工智能攻擊架構。我們需要通過情報共享的方式,以及集體防御的模式,利用大規模的策略,來對抗復雜的自適應攻擊。
對此,聯合式防御網絡恰好能夠應對這樣規模的攻擊。它會將孤立的組織防御轉變為統一的情報層,針對網絡中各個參與者受到的每一次攻擊,都予以統一記錄,策略更新,進而推送給所有參與到該情報網絡的組織系統中,以實現加固與保護。可以說,利用人工智能驅動的威脅情報系統,我們可以分析聯合情報,識別跨越多個組織、地理區域或時間段的攻擊行為,達到統一安全基線的防御目的。
結論
綜上所述,我們正在面對的一個殘酷真相是:隨著DDoS攻擊向AI智能化的持續轉變,網絡威脅正在變得更加復雜,而傳統的防御概念與方式已顯露出了滯后。我們唯有利用AI對自己的系統及網絡基礎架構進行智能化、自動化的持續檢測,讓自己的防御概念與能力與時俱進,才不會被各種新型的網絡攻擊拋在后面。希望上文提供的五項應對抗自適應智能攻擊的防御策略,能夠對你有所幫助。
譯者介紹
陳峻(Julian Chen),51CTO社區編輯,具有十多年的IT項目實施經驗,善于對內外部資源與風險實施管控,專注傳播網絡與信息安全知識與經驗。
原文標題:Smart Attacks, Smarter Defenses: How AI is Transforming DDoS Attacks,作者:Lani Sodunke
