網易易盾首席安全架構師沈明星分享DDoS防護如何建設

網易易盾首席安全架構師沈明星 

首先，沈明星從網易業務角度切入，他表示，由於網易業務線紛繁複雜，給網易團隊帶來了巨大的安全挑戰，尤其是網易遊戲作為網易商業營收的主要業務板塊，受網路安全威脅最大。而近幾年，隨著網易在電商、教育板塊、硬體等領域佈局，也催生了大量的安全需求。

接著，沈明星介紹了網易易盾團隊，網易易盾對內和對外提供四大業務，分別是：內容安全、業務安全、移動安全和網路安全。在網路安全方面，沈明星主要以網易遊戲和電商業務為例做了深入的介紹，他表示，網易遊戲是DDOS攻擊的主要物件，其每天面臨的攻擊次數高到幾十次，面對這些威脅，網易使用滲透測試、抗D等措施來保證其業務能夠一直穩定執行；手遊也容易受到外掛、加速器等作弊工具的影響，網易易盾則有“手遊智慧反外掛”服務來解決外掛的問題，維持遊戲生態平衡；而在業務安全層面，針對“羊毛黨”的垃圾註冊、批量登入等行為，網易易盾通過驗證碼、註冊保護、登入保護、活動反作弊、風控等一站式服務進行預防和攔截。

而後，沈明星重點講述了網易在DDoS上的防護建設。他先從DDoS的趨勢上談起，他認為目前DDoS領域目前有以下幾個趨勢：

1. 攻擊發起呈現全球化趨勢；
   
2. IoT裝置被控制作為攻擊源；
3. 應用層CC仍然是防護的難點；
4. 有組織的黑客攻擊；

過300G的大流量攻擊越來越多。

網易自研NDS抗D架構

面對DDoS日益嚴峻的形勢，網易易盾自研了NDS抗D架構。其中，在裝置清洗方面，沈明星提出了網易的分光系統。為什麼要做分光系統，其原因主要是運營商無法用引數或演算法來進行防禦，導致運營商存在缺乏靈活性和無法定製的缺陷；另外，自動清洗也使得與運營商溝通成本升高，問題處理通常不及時。而網易的分光系統，通過Detecter的流量預警和檢測、Manager對Detecter和NDS管理進行管理，不僅可以提高清洗效率，還能進而降低運營成本。 

網易易盾的多層次立體防護 

網易易盾也構建了DDoS 高防架構、Outbound流量檢測以及雲端本地聯動，再結合多層次立體防護、IP信譽庫、基於地理位置的壓制等確保網易業務的網路安全。 

沈明星還介紹了網易對外的DDoS服務，他指出易盾的DDoS服務擁有全方位防護、超大防護貸款、全業務支援、快速接入和高安全性等優點。
分享完從0到1後，最後沈明星還談及DDOS防護從1到N如何做，他覺得做好以下這些點比較重要：

1. DDoS威脅情報共享：包括IP庫、攻擊特徵和攻擊工具；
2. Outbound攻擊聯防：各個本地IDC機房共同封殺被攻擊IP；
3. 與運營商聯動；
4. 業務流量模型的智慧學習：使用資料探勘、機器學習和深度學習等手段，利用演算法模型來解決不同場景下的業務流量模型；
5. 深層次DDoS攻擊探測：針對資料異常流量分析、應用層分析、主機識別、協議分析、指紋檢測、連線跟蹤、埠保護、流量控制等對資料包的多層深層次的攻擊檢測；
6. 基於多維度信譽庫（IP、裝置和指紋）的清洗策略：建立針對使用者IP、使用者裝置、使用者指紋等多維度的信譽庫，在DDoS防護時根據信譽進行區分；
7. 提供客戶端SDK，增加人機識別功能：提供Windows，iOS，Android端SDK，採集使用者滑鼠鍵盤等操作軌跡，真假人機識別的對抗。