網頁應用程式防火牆Cloud Armor應用機器學習技術快速阻擋第7層DDoS攻擊

Google在其網頁應用程式防火牆Cloud Armor加入適應性保護（Adaptive Protection），這是一個基於機器學習技術的新功能，可以保護用戶的應用程式和服務，免受第7層DDoS攻擊。目前所有Cloud Armor用戶都可以在預覽期間，免費使用這項新功能。

Google參考自家用來保護網站和服務，所採用的基礎設施、網路和技術，建置了Cloud Armor，以提供用戶DDoS防禦服務和網路應用程式防火牆（WAF）。由於要在威脅不斷進步的態勢中，讓邊緣網路獲得更完整的防護，新推出了適應性保護功能，能夠藉由早期偵測可疑流量，快速緩解攻擊。

適應性保護以帶外（Out-Of-Band）方式監控流量，學習日常的流量模式，還不斷地更新每個應用程式和服務的基準，因此適應性保護功能，可以快速辨識可疑流量模式，而且同時提供用戶自定義規則，利用狹隘量身設計的功能，以接近即時的速度，減緩持續進行中的攻擊。

暴露在網際網路上的應用程式和工作負載，便處於受DDoS攻擊的風險之中，雖然Google在其邊緣網路，防禦來自第3層和第4層體積型以及協定型的攻擊，但是仍難以防範第7層攻擊。在第7層攻擊中，攻擊者以高度自動化的方式，控制遭到入侵的裝置，這些裝置能夠產生合法的請求，塞爆網站以及服務，且隨著更易取得的DDoS攻擊工具，或是僱傭式的殭屍網路，這些DDoS攻擊的規模逐漸增加，成了嚴重的問題。

這些攻擊可能來自數百萬個獨立IP，所以要以手動分類和分析，生成可以阻擋攻擊的規則，需要耗費大量的時間與資源，而借助機器學習技術的力量，適應性保護功能可以加快用戶對於第7層DDoS攻擊的反應速度，其主要提供3項功能，第1是當後端服務的基礎流量出現異常請求時，適應性保護能夠在早期發出警示，第2是能夠動態生成描述攻擊的特徵，第3則是建議用戶自定義WAF規則，來協助防堵違規流量。

適應性保護的警示訊息，會送至Cloud Armor儀表板、安全命令中心以及Cloud Logging，通知用戶即將到來的攻擊。攻擊的特徵和WAF規則，則是來自於第2組機器學習模型的結果，包括數十種流量特徵和屬性，Google利用TensorFlow建置出適應性保護模型，能夠準確地偵測應用程式層級的攻擊，並且減輕攻擊帶來的影響。

當用戶收到來自適應性保護所建議的WAF規則，能以接近即時的速度部署，以快速阻擋網路邊緣的攻擊，Google提到，這種早期偵測的能力，有助於減輕來自基礎設施和服務上游的攻擊。現在用戶只要在雲端控制臺的Cloud Armor區塊，勾選啟用適應性防禦，就能立刻開始免費使用。