導語:數字化轉型發展也推動了雲計算、人工智能、大數據、物聯網等新一代信息技術應用普及,與此同時,新時代的發展也帶來了新的網絡威脅和新的安全需求。我們不難發現,近年網絡***時間層出不窮,全球範圍來看,企業因遭受網絡***承擔的損失高達百億美元。不僅僅是財產的損失,用戶數據遭到泄露更是有可能危及生命。在這樣的大環境之下,建立安全的網絡環境的需要多方共同參與,企業,安全廠商,運營商,並對用戶進行系統的安全意識教育。
上週,由上海希爲(ECV International)主辦的2019亞洲網絡安全創新國際峯會在上海召開,200多位來自網絡安全領域的專家和高管來共同探討業內先進技術,並就當前行業發展中普遍面臨的挑戰與阻礙提出具有建設性的分析和觀點。
網易易盾首席安全架構師沈明星,作爲近三十位行業傑出代表,以《網易DDoS防護建設從 0到 1》的主題演講剖析了網絡安全行業的最新狀況與問題,分享實戰數據與案例,展望行業發展趨勢,提出創新戰略規劃,針對網絡安全行業如何推陳出新、完善技術等話題提出了新思路。
網易易盾首席安全架構師沈明星
首先,沈明星從網易業務角度切入,他表示,由於網易業務線紛繁複雜,給網易團隊帶來了巨大的安全挑戰,尤其是網易遊戲作爲網易商業營收的主要業務板塊,受網絡安全威脅最大。而近幾年,隨着網易在電商、教育板塊、硬件等領域佈局,也催生了大量的安全需求。
接着,沈明星介紹了網易易盾團隊,網易易盾對內和對外提供四大業務,分別是:內容安全、業務安全、移動安全和網絡安全。在網絡安全方面,沈明星主要以網易遊戲和電商業務爲例做了深入的介紹,他表示,網易遊戲是DDOS***的主要對象,其每天面臨的***次數高到幾十次,面對這些威脅,網易使用***測試、抗D等措施來保證其業務能夠一直穩定運行;手遊也容易受到外掛、加速器等作弊工具的影響,網易易盾則有“手遊智能反外掛”服務來解決外掛的問題,維持遊戲生態平衡;而在業務安全層面,針對“羊毛黨”的垃圾註冊、批量登錄等行爲,網易易盾通過驗證碼、註冊保護、登錄保護、活動反作弊、風控等一站式服務進行預防和攔截。
而後,沈明星重點講述了網易在DDoS上的防護建設。他先從DDoS的趨勢上談起,他認爲目前DDoS領域目前有以下幾個趨勢:
***發起呈現全球化趨勢;
IoT設備被控制作爲***源;應用層CC仍然是防護的難點;有組織的******;過300G的大流量***越來越多。
網易自研NDS抗D架構
面對DDoS日益嚴峻的形勢,網易易盾自研了NDS抗D架構。其中,在設備清洗方面,沈明星提出了網易的分光系統。爲什麼要做分光系統,其原因主要是運營商無法用參數或算法來進行防禦,導致運營商存在缺乏靈活性和無法定製的缺陷;另外,自動清洗也使得與運營商溝通成本升高,問題處理通常不及時。而網易的分光系統,通過Detecter的流量預警和檢測、Manager對Detecter和NDS管理進行管理,不僅可以提高清洗效率,還能進而降低運營成本。
網易易盾的多層次立體防護
網易易盾也構建了DDoS 高防架構、Outbound流量檢測以及雲端本地聯動,再結合多層次立體防護、IP信譽庫、基於地理位置的壓制等確保網易業務的網絡安全。
沈明星還介紹了網易對外的DDoS服務,他指出易盾的DDoS服務擁有全方位防護、超大防護貸款、全業務支持、快速接入和高安全性等優點。
分享完從0到1後,最後沈明星還談及DDOS防護從1到N如何做,他覺得做好以下這些點比較重要:
DDoS威脅情報共享:包括IP庫、***特徵和***工具; Outbound***聯防:各個本地IDC機房共同封殺被***IP; 與運營商聯動; 業務流量模型的智能學習:使用數據挖掘、機器學習和深度學習等手段,利用算法模型來解決不同場景下的業務流量模型; 深層次DDoS***探測:針對數據異常流量分析、應用層分析、主機識別、協議分析、指紋檢測、連接跟蹤、端口保護、流量控制等對數據包的多層深層次的***檢測; 基於多維度信譽庫(IP、設備和指紋)的清洗策略:建立針對用戶IP、用戶設備、用戶指紋等多維度的信譽庫,在DDoS防護時根據信譽進行區分;提供客戶端SDK,增加人機識別功能:提供Windows,iOS,Android端SDK,採集用戶鼠標鍵盤等操作軌跡,真假人機識別的對抗。點擊免費體驗網易易盾安全解決方案。