網易易盾首席安全架構師沈明星分享DDoS防護如何建設

網易易盾發表於2019-05-22

導語:數字化轉型發展也推動了雲端計算、人工智慧、大資料、物聯網等新一代資訊科技應用普及,與此同時,新時代的發展也帶來了新的網路威脅和新的安全需求。我們不難發現,近年網路攻擊時間層出不窮,全球範圍來看,企業因遭受網路攻擊承擔的損失高達百億美元。不僅僅是財產的損失,使用者資料遭到洩露更是有可能危及生命。在這樣的大環境之下,建立安全的網路環境的需要多方共同參與,企業,安全廠商,運營商,並對使用者進行系統的安全意識教育。

上週,由上海希為(ECV International)主辦的2019亞洲網路安全創新國際峰會在上海召開,200多位來自網路安全領域的專家和高管來共同探討業內先進技術,並就當前行業發展中普遍面臨的挑戰與阻礙提出具有建設性的分析和觀點。

網易易盾首席安全架構師沈明星,作為近三十位行業傑出代表,以《網易DDoS防護建設從 0到 1》的主題演講剖析了網路安全行業的最新狀況與問題,分享實戰資料與案例,展望行業發展趨勢,提出創新戰略規劃,針對網路安全行業如何推陳出新、完善技術等話題提出了新思路。


網易易盾首席安全架構師沈明星分享DDoS防護如何建設
網易易盾首席安全架構師沈明星 

首先,沈明星從網易業務角度切入,他表示,由於網易業務線紛繁複雜,給網易團隊帶來了巨大的安全挑戰,尤其是網易遊戲作為網易商業營收的主要業務板塊,受網路安全威脅最大。而近幾年,隨著網易在電商、教育板塊、硬體等領域佈局,也催生了大量的安全需求。

接著,沈明星介紹了網易易盾團隊,網易易盾對內和對外提供四大業務,分別是:內容安全、業務安全、移動安全和網路安全。在網路安全方面,沈明星主要以網易遊戲和電商業務為例做了深入的介紹,他表示,網易遊戲是DDOS攻擊的主要物件,其每天面臨的攻擊次數高到幾十次,面對這些威脅,網易使用滲透測試、抗D等措施來保證其業務能夠一直穩定執行;手遊也容易受到外掛、加速器等作弊工具的影響,網易易盾則有“手遊智慧反外掛”服務來解決外掛的問題,維持遊戲生態平衡;而在業務安全層面,針對“羊毛黨”的垃圾註冊、批量登入等行為,網易易盾通過驗證碼、註冊保護、登入保護、活動反作弊、風控等一站式服務進行預防和攔截。

而後,沈明星重點講述了網易在DDoS上的防護建設。他先從DDoS的趨勢上談起,他認為目前DDoS領域目前有以下幾個趨勢:

  1. 攻擊發起呈現全球化趨勢;
  2. IoT裝置被控制作為攻擊源;
  3. 應用層CC仍然是防護的難點;
  4. 有組織的黑客攻擊;

過300G的大流量攻擊越來越多。

網易易盾首席安全架構師沈明星分享DDoS防護如何建設


網易自研NDS抗D架構
面對DDoS日益嚴峻的形勢,網易易盾自研了NDS抗D架構。其中,在裝置清洗方面,沈明星提出了網易的分光系統。為什麼要做分光系統,其原因主要是運營商無法用引數或演算法來進行防禦,導致運營商存在缺乏靈活性和無法定製的缺陷;另外,自動清洗也使得與運營商溝通成本升高,問題處理通常不及時。而網易的分光系統,通過Detecter的流量預警和檢測、Manager對Detecter和NDS管理進行管理,不僅可以提高清洗效率,還能進而降低運營成本。 
網易易盾首席安全架構師沈明星分享DDoS防護如何建設
網易易盾的多層次立體防護 
網易易盾也構建了DDoS 高防架構、Outbound流量檢測以及雲端本地聯動,再結合多層次立體防護、IP信譽庫、基於地理位置的壓制等確保網易業務的網路安全。 

網易易盾首席安全架構師沈明星分享DDoS防護如何建設

沈明星還介紹了網易對外的DDoS服務,他指出易盾的DDoS服務擁有全方位防護、超大防護貸款、全業務支援、快速接入和高安全性等優點。
分享完從0到1後,最後沈明星還談及DDOS防護從1到N如何做,他覺得做好以下這些點比較重要:

  1. DDoS威脅情報共享:包括IP庫、攻擊特徵和攻擊工具;
  2. Outbound攻擊聯防:各個本地IDC機房共同封殺被攻擊IP;
  3. 與運營商聯動;
  4. 業務流量模型的智慧學習:使用資料探勘、機器學習和深度學習等手段,利用演算法模型來解決不同場景下的業務流量模型;
  5. 深層次DDoS攻擊探測:針對資料異常流量分析、應用層分析、主機識別、協議分析、指紋檢測、連線跟蹤、埠保護、流量控制等對資料包的多層深層次的攻擊檢測;
  6. 基於多維度信譽庫(IP、裝置和指紋)的清洗策略:建立針對使用者IP、使用者裝置、使用者指紋等多維度的信譽庫,在DDoS防護時根據信譽進行區分;
  7. 提供客戶端SDK,增加人機識別功能:提供Windows,iOS,Android端SDK,採集使用者滑鼠鍵盤等操作軌跡,真假人機識別的對抗。




相關文章