《2021 DDoS攻擊態勢報告》解讀 | 基於威脅情報的DDoS攻擊防護

隨著5G、雲端計算、大資料、物聯網等新興數字產業的發展，資訊基礎設施的建設規模也隨之擴大，這無疑會導致越來越多的網路資產暴露在網際網路上。這些資產一旦被DDoS攻擊者所利用，將會對網路安全帶來嚴重威脅。在2021年防禦過程中，綠盟科技曾多次檢測出掃段攻擊，這類攻擊是專門針對現有DDoS監測和防禦策略的有針對性的對抗，對被攻擊企業來說是極其嚴峻的挑戰。基於威脅情報中心的DDoS攻擊防禦體系能夠呼叫大量DDoS攻擊情報，輔助快速阻斷攻擊源，充分利用情報資源，實現主動防禦。下文以物聯網資產為例進行詳細分析。

01 威脅情報中心

威脅情報中心是威脅情報分析和共享平臺，可為使用者提供及時準確的威脅情報資料。藉助威脅情報中心的威脅情報支撐，使用者可及時洞悉公網資產面臨的安全威脅進行準確預警，瞭解最新的威脅動態，實施積極主動的威脅防禦和快速響應策略，結合安全資料的深度分析全面掌握安全威脅態勢，並準確地進行威脅追蹤和溯源。

02 物聯網資產暴露監測

依託威脅情報中心打造的網路空間測繪系統，採用多樣化的實時監測技術，可按需靈活彈性擴充套件掃描併發數，能夠在短時間內完成對大量公網資產的監測。截至2021年11月，透過監測發現國內有201萬個物聯網資產暴露在網際網路上，其中攝像頭、路由器、VoIP電話數量分別位列前三。

國內物聯網資產暴露情況

03 物聯網資產風險感知

憑藉威脅情報中心豐富的資產指紋資料及強大的威脅情報資訊，能夠快速發現資產在網際網路上的安全狀況，以便進行下一步處置，為網路安全防禦體系的建立奠定堅實的基礎。透過與威脅情報資料進行關聯，發現暴露在公網的物聯網裝置中，約有37萬個裝置參與了惡意攻擊。

異常物聯網裝置攻擊行為分佈

在DDoS的安全防護過程中，將上述惡意主機的情報資訊傳播和分享到本地DDoS防護裝置中，對於危害較高的主機及時進行拉黑和阻斷，從源頭防禦DDoS攻擊。

惡意物聯網裝置情報資訊

04 殭屍網路家族研究分析

透過殭屍網路家族情報能夠及時掌握殭屍網路家族的活躍度、地域分佈、漏洞利用情況等詳細資訊。例如，對殭屍網路漏洞利用情況進行研究分析，發現當前被殭屍網路利用的在野漏洞已達72種，最快可在1天內整合最新漏洞，搶在裝置漏洞修復前感染並控制裝置。因此，為防止DDoS攻擊者利用漏洞擴大殭屍網路規模，應加強對肉雞的管理，並及時更新系統安全補丁。

BOTNET漏洞利用情況

05 DDoS攻擊者畫像

利用知識圖譜關聯分析技術對海量的大資料進行挖掘，透過人工智慧演算法實現DDoS攻擊者畫像，及時有效分析攻擊者行為、攻擊者採取的戰術技術以及所屬攻擊組織，為研究新的DDoS防禦演算法提供思路，提升對DDoS攻擊的檢測和防護能力。

DDoS攻擊者畫像

06 總結

DDoS攻擊作為一種傳統的網路攻擊方式，經久不衰，對網路安全造成了嚴重威脅。傳統的防禦方法缺乏資料共享，本地檢測出DDoS攻擊後，無法做到全網情報共享。然而，基於威脅情報的DDoS防護方式可將最新的威脅情報轉化成防護能力，利用多種威脅情報資料快速甄別惡意IP，及時做出應對措施，提升DDoS攻擊防護的智慧性與先進性。

報告下載

請在綠盟科技公眾號後臺回覆“DDoS報告”可獲取下載連結，在綠盟科技官方公眾號中點選【綠盟精選】-【綠盟書櫥】可直接閱讀。