2019年3月29日, EISS-2019企業信息安全峯會之北京站在北京悠唐皇冠假日酒店隆重舉辦。網易雲首席安全架構師沈明星受邀出席,帶來了《互聯網安全攻守道》議題分享,基於網易的實踐經驗,從基礎安全到移動安全再到業務風控,全方面介紹網易在對抗互聯網黑灰產中的實戰經驗和經驗教訓。
網易雲首席安全架構師沈明星
“三黨一客”黑灰勢力貫穿產品發展的全生命週期!
當下黑灰產業鏈越來越成熟,分工明確、技術過硬、資源豐富,他們帶來的阻力貫穿了產品發展的全生命週期:
1、產品創業期,面臨着:(破解黨)
- 外掛、破解、篡改、重打包廣告
- 修改/剔除
- 惡意代碼被調試
- 被加速內存被dump
- 資源泄露
2、產品成長期,面臨着:(羊毛黨)
- 批量註冊遊戲賬號
- 賬號撞庫-暴力破解
- 遊戲渠道商作弊
- 遊戲活動營銷作弊
3、產品升值期,面臨着:(垃圾黨)
- 涉政、暴恐廣告
- ×××違禁
- 灌水、刷屏
4、產品穩定期,面臨着:(非法***/***)
- 網絡***
- DDoS***
網易公司業務遍及電商、教育、互娛、社交、新聞、郵箱、硬件、金融等領域,基於以上的挑戰,網易安全團隊建立了“四位一體”的安全防禦體系。
第一部分是基於內容安全場景建立的內容反垃圾技術。
隨着近些年,中國網民規模的不斷擴大,網站數量的不斷上升,門戶網站、社區論壇、社交平臺、短視頻等豐富網絡產品形態,輸出了海量UGC(User Generated Content)內容。政府對網站廣告涉黃等違規內容加強了監管力度。內容安全也逐漸成爲企業關注重點,如果站點內容不健康,在產品本身發展及政府監管喜下,將面臨雙重壓力。
網易在內容安全探索中已將反垃圾技術進行了三代升級:
第一代內容反垃圾技術是建立在關鍵詞、黑白名單、過濾器和分類器上;第二代反垃圾技術基於內容特徵識別(膚色,紋理)、貝葉斯過濾、相似度匹配和規則系統;第三代則升級爲大數據分析(用戶行爲,用戶分類)、人機識別、人工智能和機器學習(語義識別、圖像識別)。經過不斷更新換代後的反垃圾技術,覆蓋了文本、圖片、語音和視頻等領域,在廣告過濾、智能鑑黃、暴恐識別、涉政檢測等場景應用上,反垃圾效果超出所有客戶預期。
第二部分是多技術聯動的業務安全防禦體系。
業務安全的形態包括信息驗證、註冊保護、登錄保護和營銷反作弊,業務形態的背後是多技術聯動:人機識別、風險名單、IP畫像、設備模型、行爲模型、業務模型、關聯分析和規則系統等。
第三部分是App全生命週期的安全防護。
在這個體系下,網易安全發現很多問題。如遊戲APP的安全風險呈不斷升級狀態,外掛、源碼被暴力修改、數據和用戶信息等問題頻出,熱門應用平均有27個山寨APP,這讓遊戲生命週期、遊戲的平衡性、用戶量和企業利益受損嚴重。
基於以上面臨的問題,網易建立了APP全生命週期的安全防護,包括渠道監測、APP安全檢測與評估、Android應用加固、iOS應用加固、APP通信安全組件、H5頁面保護、安全鍵盤等安全能力。
第四部分是多層次立體防護的網絡安全能力。
在DDos***上,沈明星表示,2014年的***大多是50Gbps,***手法以IDC僞造源IP***爲主;到了2015年,100G+的***常態化,***手法從僞造源IP轉爲反射型***;2016年是300G+的***常態化,IoT和移動端的興起導致基於真實設備的***層出不窮;而到了2017年則演化成500G+的***常態化,基於私有協議和真實源的***不斷上升;2018年後,預計800G-1T級別的流量***將會成爲常態。
雖然近些年政府或運營商監管控制力度增加,但因DDoS***防守不對稱,***方僅需低成本在“壓力測試平臺”購買服務,就有可能將平臺網站打癱,但是對於防守方可能需要每月投入幾萬元的成本,甚至購買專業的設備組建專業的團隊來應對。尤其是在遊戲行業或電商行業,DDoS***仍然普遍存在。
網易建立的多層次立體防護的網絡安全體系,通過對出口全流量進行監控分析,依託網易大數據分析技術,能夠自動化發現***,並做精細分類、識別及清洗。
其防護技術優點包括:
DDoS威脅情報共享,包括IP庫,***特徵,***工具Outbound***聯防,各個本地IDC機房共同封殺被***IP與運營商聯動業務流量模型的智能學習,使用用數據挖掘、機器學習和深度學習等手段,利用算法模型來解決不同場景下的業務流量模型深層次DDoS***探測,針對數據異常流量分析、應用層分析、主機識別、協議分析、指紋檢測、連接跟蹤、端口保護、流量控制等對數據包的多層深層次的***檢基於多維度信譽庫(IP,設備,指紋)的清洗策略,網易大數據,建立針對用戶IP、用戶設備、用戶指紋以上是本次演講的全部內容,感謝您的關注!
網易“四位一體”的安全防禦體系涵蓋內容安全、業務安全、移動安全、網絡安全四大模塊,並通過易盾業務對外輸出,提供一站式安全服務。