美国态势感知之XD3项目（二）

技术领域3：自适应端点感知和响应低容量DDoS攻击可以非常有效地中断特定协议和应用程序。传统的协议操作通常假设所有通信参与者都遵守一组公认的、相互建构的行为（毕竟，这一假设是“协议”定义中固有的）。底层协议逻辑和状态机通常不用于处理广泛的潜在恶意操作，因此提供了低容量DDoS攻击利用的机会。使用传统的在线入侵检测机制检测和缓解此类攻击的困难不仅来自于恶意流量的稀疏性，还有个事实是，流量的影响可能仅在其目标主机的上下文中容易观察到（例如，看似良性且符合协议的消息，导致CPU或内存耗尽）。

XD3的TA3旨在向潜在DDoS目标（如服务器）注入感知其受到攻击的能力，并实时调整其操作以减轻攻击。XD3的TA3愿景至少提出了两个重大挑战。第一个挑战是确保为识别DDoS攻击而放置在主机上的任何仪器以及随后对主机行为的任何调整，不会显著干扰正常（未受攻击）操作条件下应用程序和协议的操作。TA3的目标是将此类干扰限制在相关性能指标（如吞吐量或延迟）的降级不超过1%。同时，DARPA认识到，DDoS防御的有效性与非攻击条件下此类防御措施的存在可能导致的潜在性能损失之间可能存在权衡。第二个挑战是在攻击开始后对其快速收敛到有效缓解。TA3程序结束目标包括10秒或更少的响应时间，以及与不具备XD3功能的主机相比，应用程序性能至少恢复90%。DARPA认识到响应时间和恢复百分比将取决于攻击的性质和严重程度；因此，TA3提案将包括具体DDoS攻击可能达到的降级级别和响应时间的示例，以及经证实的估计。XD3将不需要支持任何特定的服务器操作系统，但提案应指定其实验计划中将包括哪些操作系统。此外，TA3提案将提供跨多个协议、应用程序以及可能针对它们的低容量DDoS攻击具有相对广泛适用性的解决方案。

技术领域4：关于XD3第1阶段的技术集成，政府将从TA1、TA2和TA3中确定潜在的协同技术，用于第2阶段可能的集成活动。这些第2阶段活动称为TA4。现有技术很少考虑将TA 1-3中的概念的有用组合作为缓解DDoS攻击的手段（例如，将网络机动与自适应端点传感相结合，以提供对DDoS事件的协调响应）；因此，TA4为XD3提供了一个改进的机会，使其比以前的防御方法取得了长足的进步。TA4应提供一个愿景，说明拟用于TA1、TA2或TA3的技术，如何与其他两个TA的技术和概念协同工作。

TA4集成概念（仅适用于TA1、TA2和TA3提案）：描述一个高级操作概念，说明这种组合系统可能如何运行，以及技术组合会产生什么价值。

技术领域5：TA1、TA2和TA3的系统设计和测试计划会被审查。目的是主动识别会降低DDoS攻击检测或缓解有效性的弱点和漏洞。测试计划审查的目的是确定测试场景设计、指标、假设和范围中的缺陷，并告知执行者他们可能没有考虑到的潜在DDoS攻击方法或功能。TA5提案应说明DDoS攻击方法的详细知识，包括低容量DDoS等，以及对现有DDoS防御及其局限性的清楚理解。鉴于TA3强调基于主机的缓解，TA5提案还应反映低容量攻击如何影响通用协议栈、状态机和使用此类机制的相关应用程序的操作的知识。

总括

该项目的一个关键目标是建立一个开放、基于标准、多源、即插即用的体系结构，以实现互操作性和集成。这包括轻松添加、删除、替换和修改软件和硬件组件的能力。这将为程序技术和可交付成果的未来用户或开发者提供基础，从而促进快速创新。

三、DARPA的XD3项目进展

（一）多家组织获得该项目合同

2016年5月，外媒报道称，美国国防高级研究计划局（DARPA）的官员将一项网络安全项目——极端DDoS防御 (XD3）项目——的合同授予多个组织，以开发针对美国军事数据网络的分布式拒绝服务 (DDoS) 网络攻击的全新防御措施。这些组织包括位于新泽西州的Vencore公司、位于弗吉尼亚州的乔治梅森大学，以及佐治亚理工学院、Invincea Labs、Raytheon BBN、宾夕法尼亚大学等。

DARPA的XD3项目旨在开发全新的DDoS防御。与现有方法或演进扩展相比，它将在更广泛的环境中为这些攻击提供更大的弹性。

DDoS攻击试图通过来自因特网上许多不同节点的大量在线查询来压倒和崩溃计算机网络服务器。此类攻击来自多组联网主机，它们共同采取行动破坏或拒绝对信息、通信或计算能力的访问，通常是通过耗尽目标的关键资源，如带宽、处理器容量或内存。这些攻击的典型受害者包括信息存储和计算设施；处理内容分发、消息转发或命令和控制 (C2) 的服务器；和部分网络基础设施。然而，小批量DDoS攻击可能更加困难，因为它们针对特定的应用程序、协议或状态机行为，同时依靠看似无害的消息传输来阻止传统的入侵检测技术。

现有的DDoS防御存在问题。首先，它们太慢了；过滤规则的制定通常需要数小时来制定和实例化，而军事通信不能忍受超过一两分钟的中断。其次，小批量 DDoS 攻击仍然非常难以识别和阻止，依赖在线数据检查的机制不能很好地处理加密并且难以扩展。此外，DDoS防御必须实时工作；仅对保护准静态数据的存储和传播有用的技术是不够的。

XD3项目侧重于三大领域：通过分散网络资产使目标复杂化来阻止 DDoS攻击；通过伪装防御来迷惑或欺骗对手；并通过自适应缓解来减弱通过初始防御的攻击的影响。

来自乔治梅森大学等的网络专家正在将他们的DARPA XD3工作重点放在如下内容：网络资源的可管理分散、联网机动、自适应端点感知和响应，以及整合这三个领域的技术。

（二）Vencore公司对该项目简介

2017年3月外媒称，弗吉尼亚州的Vencore，Inc.公司宣布，其创新研究部门Vencore Labs，Inc.已获得DARPA的多项合同，以提供针对分布式拒绝服务（DDoS）攻击的网络防御领域的研究。这些合同价值1770万美元，将在未来三年内作为DARPA极端 DDoS防御（XD3）计划的一部分执行。

XD3计划的目标是从根本上开发新的DDoS防御，与现有方法相比，这些防御能够在广泛的DDoS攻击中提供更大的弹性。最近的几次DDoS攻击已经对流行的Internet服务造成了广泛的破坏。这些攻击利用广泛且不断增长的物联网（IoT）设备部署以及免费可用的恶意代码来制造破坏，从而轻松压倒当前的防御技术。这强调了对大规模检测、缓解和对抗 DDoS 攻击影响的全新技术的需求。

根据合同，Vencore Labs计划开发一个涵盖所有DDoS攻击面的综合解决方案。对分布式通信和网络机动的研究将使攻击者更难识别高价值目标，并将拒绝他们确定攻击是否成功所需的关键反馈；对DDoS检测和缓解的研究将帮助网络运营商保护关键服务免受大规模物联网攻击的影响。

“通过物联网设备的进步，威胁格局正在扩大，我们的防御需要相应发展，”Vencore Labs总裁Petros Mouchtaris博士说，“我们期待与DARPA合作开发创新技术来对抗这些攻击，使攻击者无法破坏关键服务。”

这项新工作利用了Vencore Labs在保护大规模异构计算机网络方面的专业知识。Vencore是一家为美国政府提供信息解决方案等服务的成熟供应商，在国防、民用和情报界拥有40多年的工作经验。

（来源：综合外网及外媒等。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。侵删）