Akamai Behavioral DDoS Engine:现代 DDoS 抵御技术的创新性突破
DDoS 威胁形势在不断演变
随着数字化基础设施的发展, 分布式拒绝服务 (DDoS) 攻击所带来的威胁也日益严重。曾经非常简单的容量耗尽型攻击,现已演变为高度复杂的多媒介攻击,专门针对应用层最薄弱的环节。依赖流量吞吐量、静态阈值和签名的传统防御机制,已难以应对这种复杂威胁,因此迫切需要更灵活、更智能的防护策略。
DDoS 攻击领域的关键趋势
- 多媒介攻击: 攻击者越来越倾向于结合使用多种攻击媒介,这给静态防御带来了识别和抵御攻击方面的难题。过去 18 个月内,高科技、商业和社交媒体行业总共发生了 11 万亿次第 7 层 DDoS 攻击 。
- API 漏洞利用: 随着企业越来越依赖 API,攻击者便开始利用这些入侵点。仅 2024 年,就发现了 1080 亿次 API 攻击 ,其中许多都是 DDoS 攻击。
- 威胁复杂性不断增加: 受 地缘政治紧张局势的影响,金融服务行业的第 7 层 DDoS 攻击量显著上升。此类攻击正变得日益复杂,常会利用僵尸网络和 AI 技术,并且 以欧洲各大银行为目标的攻击也显著增多。
Behavioral DDoS Engine 简介*
为抵御此类不断演变的威胁,Akamai 开发出了 Behavioral DDoS Engine,这一出色的功能可以作为 Akamai App & API Protector 解决方案的补充,通过实时调整来应对不同的攻击模式。这款创新型引擎为企业提供了对抗复杂且持久 DDoS 威胁的有效防护。
了解 DDoS 行为模式防御
大多数传统的 DDoS 防御技术依靠的都是基于速率和容量的检测,通常会配置静态阈值,容易出现误报。相比之下,Akamai Behavioral DDoS Engine 会不断学习流量模式,因而能够实时识别和抵御攻击,同时最大限度地减少对合法流量的任何干扰。
通过使用机器学习来监测异常,它能够区分正常的流量激增(如病毒事件)与复杂的 DDoS 攻击,从而提供主动且精准的保护,无需人工干预。这种自适应方法能更有效地防御复杂的威胁。
行为模式分析包括:
实时流量监控: 该引擎持续监控流量并分析请求,以建立正常活动的基准。
机器学习模型: 高级算法可以分析偏离正常流量模式的情况,从而实时发现威胁。这使得引擎能够快速识别异常行为并进行处理,及时抵御即便是微小的威胁,完全不需要人工干预。
辨别合法流量: 该引擎可以辨别合法的流量峰值(例如病毒事件引起的)与真正的 第 7 层 DDoS 攻击,后者往往是分布极为广泛且并模拟正常行为。
深度防御策略的有力补充
Akamai Behavioral DDoS Engine 可以对基于速率的传统检测方法形成有力补充,让您的深度防御策略如虎添翼。尽管速率限制在流量管理方面仍有其价值,但常常需要进行手动调整。
凭借先进的机器学习以及来自 Akamai 全球化平台的深入见解,特别是 946 TB 的日常安全事件数据,Behavioral DDoS Engine 使威胁检测实现了自动化。通过结合这些工具,我们实现了一种平衡的方法——将速率限制的精准性与行为分析的灵活性结合,为复杂的 DDoS 威胁提供强有力的防护。
根据您的网站和 API 需求定制的 DDoS 防护
Behavioral DDoS Engine 提供了先进的跟踪和预测式分析,可以在各个动态流量维度上监控流量趋势,例如流量来源国、客户端 TLS 模式和网络指纹。通过分析每个主机名和 HTTP 方法的流量,这一全新功能可以根据每个网站或 API 的独特需求来定制保护策略。
这种自适应性可以确保该引擎能够及时应对新出现的威胁和安全研究结果,并且无需客户投入额外的工作量。随着威胁的演变,该引擎还可以调整所使用的流量监控维度。这样不但能强化安全防护,还能保持流畅的用户体验。
图 1 展示了新的基准流量报告,其中显示了流量基准状态和关键防护见解,有助于增强用户对安全的信心。
图 1:Behavioral DDoS Engine 报告中的基准流量状态和关键安全防护见解
该解决方案可以检测流量中的任何异常峰值,并将其从基准流量中过滤出来,从而确保了准确性和精确度(图 2)。这样就能使用干净的流量来生成多维度视图,每个视图都针对不同的 HTTP 请求方法进行定制,例如 GET、POST 和 OTHER(甚至还包括不太常见的方法,例如 PUT、PATCH、DELETE 等)。
图 2:Behavioral DDoS Engine 报告直观呈现基准标准化活动
根据您的风险偏好定制的自动化方法
Behavioral DDoS Engine 提供了三种安全防护级别,您可以选择最符合自己业务风险承受能力和安全需求的选项(图 3)。
图 3:Behavioral DDoS Engine 报告直观呈现相对于基线的敏感度级别
严格: 哪怕是轻微的异常情况也会提供快速响应;推荐用于高安全性环境,其中的细微流量偏差都有可能代表潜在的 DDoS 攻击
适中: (Akamai 推荐使用此选项)提供了一种平衡的方法,在优化误报程度的同时还能提供强大的保护;尤其适用于大多数预计会出现流量波动的操作环境
保守: 允许承受更大的流量偏差和较大的流量波动,避免触发不必要的 DDoS 保护
幕后揭秘:各部分是如何协同工作的
该解决方案由几个关键部分组成,每个部分都发挥着至关重要的作用(图 4)。
- 检测引擎通过使用多维度流量视图以及来自基准生成器的情报,来识别 DDoS 攻击。
抵御引擎通过多维度组合并结合基准生成器和威胁信号的情报,来识别并抵御 DDoS 攻击者。
威胁信号(包括平台 DDoS 情报启发式分析)通过历史攻击数据提供对 DDoS 攻击者的见解,结合了 Akamai 丰富的数据以及Akamai 威胁研究团队的专业知识。
filler
由基于 AI 的调整功能作为辅助的基准验证器是一个极其重要的组成部分,它每个月都会评估数以百计的 DDoS 攻击以对解决方案进行微调。
降噪/误报去除是一种机器学习模型框架,可以将原始数据转化为有价值的见解,供基准生成器和基准验证器使用。
基准生成器是主要的组成部分,可以处理跨度达到两周的干净数据。此外,它还可以使用最新威胁研究结果来创建多个流量配置文件,并为检测和抵御引擎创建各项设置。
出色的功效和精确度
Behavioral DDoS Engine 可以在提高检测准确性的情况下尽量降低对合法用户的影响,从而增强安全性。它提供了主动抵御功能,能够在威胁影响运营之前对其进行预测和消除。
让我们来看看两个案例研究,从中可以大致了解 Behavioral DDoS Engine 如何帮助安全团队提高运营效率、减少人工干预,并且无缝集成到现有工作流程中,从而在不降低防护能力的情况下提供更精简的安全管理。[注意:根据客户选择的安全设置和各自的流量基准,结果可能会有所不同。以下案例研究的精确率是在严格敏感度设置条件下观察所得。]
案例研究 1:巴黎奥运会期间检测到一起广泛分布式第 7 层 DDoS 攻击事件
该攻击以票务网站作为目标。这是一起广泛分布式攻击,它使用 TLS 随机化技术,从分布在 839 个网络中的 7000 多个 IP 地址发送了 14 亿次 HTTP GET 请求。Behavioral DDoS Engine 展现出了超高的精确度,检测和抵御率达到 99.95%。
案例研究 2:保护 APJ 区域某电商主页免受一起大规模分布式 DDoS 攻击的侵扰
这是一起 DDoS 攻击事件,在达到峰值时,它使用 TLS 随机化技术从分布在 643 个网络中的 5,000 多个 IP 地址发送了 1.85 亿次 HTTP GET 请求。Behavioral DDoS Engine 展现出了超高的精确度,检测和抵御准确率达到 99.50%。
Akamai App & API Protector 开启了 DDoS 防御的新时代
Akamai 全新的 Behavioral DDoS Engine 为现代威胁防御带来了重要突破,提供主动、智能的保护,帮助应对当今多变复杂的威胁环境。这项创新技术提高了检测精度、减少了人工干预,并且能无缝集成到现有的工作流程中。
了解更多
想了解 Behavioral DDoS Engine 如何运作吗?敬请与我们联系,以便安排演示、抢先体验,或进行技术探讨,了解 Akamai 如何提升您的 DDoS 防护策略。
特别赠送!获取先进的第 7 层 DDoS 攻击防御秘诀
下载 《网络安全大师:打造防御第 7 层 DDoS 攻击的终极秘籍》 ,为您的团队提供应对最新网络安全威胁的知识和工具。
现代化的第 7 层 DDoS 防护不仅仅是为了防止停机,更重要的是保护企业的品牌、客户以及利润。像流量限制和行为型 DDoS 防护等功能对于防止应用层 DDoS 攻击至关重要,它们能够确保 HTTP 请求得到妥善管理,并有效抵御恶意流量。
* Behavioral DDoS Engine 目前仅限部分客户使用。全平台访问将于 2025 年推出。