網易“四位一體”安全防禦體系建設
“三黨一客”黑灰勢力貫穿產品發展的全生命週期!
當下黑灰產業鏈越來越成熟,分工明確、技術過硬、資源豐富,他們帶來的阻力貫穿了產品發展的全生命週期:
1、產品創業期,面臨著:(破解黨)
外掛、破解、篡改、重打包
廣告修改/剔除、惡意程式碼
被除錯、被加速
記憶體被dump、資源洩露
2、產品成長期,面臨著:(羊毛黨)
批次註冊遊戲賬號
賬號撞庫-暴力破解
遊戲渠道商作弊
遊戲活動營銷作弊
3、產品升值期,面臨著:(垃圾黨)
涉政、暴恐
廣告、色情
違禁、灌水、刷屏
4、產品穩定期,面臨著:(非法入侵/駭客)
網路入侵
DDoS攻擊
網易公司業務遍及電商、教育、互娛、社交、新聞、郵箱、硬體、金融等領域,基於以上的挑戰,網易安全團隊建立了“四位一體”的安全防禦體系。
第一部分是基於內容安全場景建立的內容反垃圾技術。
隨著近些年,中國網民規模的不斷擴大,網站數量的不斷上升,入口網站、社群論壇、社交平臺、短影片等豐富網路產品形態,輸出了海量UGC(User
Generated
Content)內容。政府對網站廣告涉黃等違規內容加強了監管力度。內容安全也逐漸成為企業關注重點,如果站點內容不健康,在產品本身發展及政府監管喜下,將面臨雙重壓力。
網易在內容安全探索中已將反垃圾技術進行了三代升級:
- 第一代內容反垃圾技術是建立在關鍵詞、黑白名單、過濾器和分類器上;
- 第二代反垃圾技術基於內容特徵識別(膚色,紋理)、貝葉斯過濾、相似度匹配和規則系統;
- 第三代則升級為大資料分析(使用者行為,使用者分類)、人機識別、人工智慧和機器學習(語義識別、影像識別)。經過不斷更新換代後的反垃圾技術,覆蓋了文字、圖片、語音和影片等領域,在廣告過濾、智慧鑑黃、暴恐識別、涉政檢測等場景應用上,反垃圾效果超出所有客戶預期。
第二部分是多技術聯動的業務安全防禦體系。
業務安全的形態包括資訊驗證、註冊保護、登入保護和營銷反作弊,業務形態的背後是多技術聯動:人機識別、風險名單、IP畫像、裝置模型、行為模型、業務模型、關聯分析和規則系統等。
第三部分是App全生命週期的安全防護。
在這個體系下,網易安全發現很多問題。如遊戲APP的安全風險呈不斷升級狀態,外掛、原始碼被暴力修改、資料和使用者資訊等問題頻出,熱門應用平均有27個山寨APP,這讓遊戲生命週期、遊戲的平衡性、使用者量和企業利益受損嚴重。
基於以上面臨的問題,網易建立了APP全生命週期的安全防護,包括渠道監測、APP安全檢測與評估、Android應用加固、iOS應用加固、APP通訊安全元件、H5頁面保護、安全鍵盤等安全能力。
第四部分是多層次立體防護的網路安全能力。
在DDos攻擊上,沈明星表示,2014年的攻擊大多是50Gbps,攻擊手法以IDC偽造源IP攻擊為主;到了2015年,100G+的攻擊常態化,攻擊手法從偽造源IP轉為反射型攻擊;2016年是300G+的攻擊常態化,IoT和移動端的興起導致基於真實裝置的攻擊層出不窮;而到了2017年則演化成500G+的攻擊常態化,基於私有協議和真實源的攻擊不斷上升;2018年後,預計800G-1T級別的流量攻擊將會成為常態。
雖然近些年政府或運營商監管控制力度增加,但因DDoS攻擊防守不對稱,攻擊方僅需低成本在“壓力測試平臺”購買服務,就有可能將平臺網站打癱,但是對於防守方可能需要每月投入幾萬元的成本,甚至購買專業的裝置組建專業的團隊來應對。尤其是在遊戲行業或電商行業,DDoS攻擊仍然普遍存在。
網易建立的多層次立體防護的網路安全體系,透過對出口全流量進行監控分析,依託網易大資料分析技術,能夠自動化發現攻擊,並做精細分類、識別及清洗。
其防護技術優點包括:
- DDoS威脅情報共享,包括IP庫,攻擊特徵,攻擊工具
- Outbound攻擊聯防,各個本地IDC機房共同封殺被攻擊IP
- 與運營商聯動
- 業務流量模型的智慧學習,使用用資料探勘、機器學習和深度學習等手段,利用演算法模型來解決不同場景下的業務流量模型
- 深層次DDoS攻擊探測,針對資料異常流量分析、應用層分析、主機識別、協議分析、指紋檢測、連線跟蹤、埠保護、流量控制等對資料包的多層深層次的攻擊檢
- 基於多維度信譽庫(IP,裝置,指紋)的清洗策略,網易大資料,建立針對使用者IP、使用者裝置、使用者指紋
以上是本次演講的全部內容,感謝您的關注!
網易“四位一體”的安全防禦體系涵蓋內容安全、業務安全、移動安全、網路安全四大模組,並透過易盾業務對外輸出,提供一站式安全服務。
相關文章
- 為什麼網路安全防禦無法抵禦勒索軟體?
- 常見的網路安全防禦體系有幾種?網路安全入門
- DDos防禦體系的構建
- 基於IoT體系安全防護建設方案簡析
- 大家信夫企業信用服務平臺:建“四位一體”的信用評價體系
- 馴服 Kubernetes!網易數帆雲原生運維體系建設之路運維
- 網易雲音樂低程式碼體系建設思考與實踐
- 構建實戰化安全防禦新體系,360網路攻防靶場獲數字城市優秀解決方案
- 醫共體安全守護養成記(二)丨醫共體縱深防禦體系建設
- 思科曹圖強:勒索軟體將打破安全防禦平衡
- 網易基於 Iceberg 的實時湖倉一體系統構建經驗
- 一體化智慧安全防禦 京東雲星盾安全加速正式釋出
- 勒索軟體攻擊正在演變 網路安全防禦策略也應該如此
- 網路安全實踐案例丨“縱深防禦”思想下的醫療機構安全體系建設
- 知物由學 | 易盾SaaS系統資損防控體系建設
- 資料治理體系建設
- 網際網路企業:如何建設資料安全體系?
- 智慧安全3.0助力高校網路安全保障體系建設
- 建立ddos防禦體系的方法
- 一圖詳解騰訊雲原生安全防護體系
- 構建東數西算一體化存力體系,如何做好儲存底座建設?
- 雙重預防體系建設和系統軟體開發
- 雲原生下的灰度體系建設
- 蘑菇街SRE體系建設實踐
- DNS成網路攻擊重點物件,如何構建立體化域名安全防護體系?DNS物件
- 安芯網盾同四位大咖帶您深入瞭解記憶體安全“三力”記憶體
- 勒索軟體2.0時代,美創科技諾亞防勒索如何構建主動防禦體系?
- 兩會代表:加強防範勒索軟體攻擊,提升國家網路空間安全防禦能力
- SDDC規劃建設與一體化雲網解決方案
- Hi,這有一份風控體系建設乾貨
- WMI攻擊與安全防禦
- Mobirise for Mac手機網站建設軟體Mac網站
- 如何實現MySQL運維體系建設MySql運維
- 醫療資訊化建設實踐丨雲安全賦能智慧醫院構建縱深、主動防禦體系
- 領跑城市網路安全體系建設,360榮登2021中國網安產業競爭力50強產業
- 如何防止SQL隱碼攻擊?網路安全防禦方法SQL
- 區塊鏈在網路信任體系建設中有什麼優勢?區塊鏈
- API安全的防禦建設API