阿里巴巴资深技术专家 铁花
铁花,06年加入阿里巴巴,08年开始从事安全相关工作,淘宝最早SDL的建立及实施人、淘宝第一代web安全解决方案及开发框架的主要开发、安全静态代码扫描平台的创建者。All in无线曾负责来往事业部整体服务端团队及整体技术业务安全,内部IM即时通讯云平台主要设计者之一。目前在安全部负责安全技术平台产品体系搭建及基础安全开发,正在着重进行的有安全技术平台产品的中台输出建设、基础架构霸下技术体系建设以及集团重大活动保障。
流量清洗概述
流量清洗,即网络层恶意流量清洗(Anti Malicious Network Traffic),是指针对通过网络层访问业务的所有网络流量,进行"祛除糟粕、留下精华、去伪存真"的清洗,保障达到业务系统的流量,没有外部的攻击和非人的恶意流量。从业务场景来说,流量清洗应涵盖DDoS攻击防护、CC攻击防护、Web攻击防护、批量机器行为防御、业务安全/风控、网络限流等防护能力。传统的流量清洗方案虽然在业务的整条链路上部署大量的安全产品,但是也带来了部署维护和人员运营成本大、防护能力弱、数据损耗等一系列的问题。
铁花表示,对比当下现有的恶意流量清洗平台,霸下——七层流量清洗呈现出全新的特征:首先是精细化场景,面对的不再是某个单一的技术点攻击而是某个场景下的复杂链路攻击,所以对应的防御平台也需要针对不同的类似场景进行抽象优化;其次是全链路数据打通,从客户端到网络连接层到业务层所有的数据都贯通一体进行分析和算法建模,可以达到最优效果;然后是智能化,当前平台已有部分策略模型开始智能化的调整,自动化的进行防御。
对于DDoS、恶意漏洞扫描等常见的恶意流量,业界常规的应对手段有防DDoS系统、类似WAF的web防火墙、以及一些安全公司所提供的盒子类防火墙产品等等。阿里巴巴在这些常规手段之外,还通过精细化场景纵横数据打通智能化的处置处理,能够在网络层有效抵抗黑灰产带来的恶意攻击。
最新应用成果
目前,霸下——七层流量清洗负责了阿里巴巴集团的所有网络层流量清洗和保障工作。2017年双11,其处理了峰值2000万QPS的流量,保障到达核心交易系统的流量纯净度大于99.85%。
“今年的双11是历年来最顺滑、保障效果最突出的一年,背后绝对不是单独的某一个系统或某一个平台的功劳”。铁花认为,安全的业务比较特殊,能取得如此好的成绩必须依靠线上线下形成有效的联动,从端到业务各个环节通盘考虑,稳定可靠的系统平更是不可或缺的。
功能及技术解读
得益于阿里复杂和快速发展的业务,打造对应的安全体系具有极大的难度和挑战,不仅需要满足基本的业务前提,还要加上对于未来判断的思考,以及在安全、性能和用户体验这三者间达到平衡。
“在安全分析上,我们有专门的安全威胁建模团队,针对一个产品或业务用到的技术点设计业务逻辑;对于性能的要求尤其是针对关键链路,我们会在业务可接受的限定范围内完成安全的计算和拦截,比如3ms内的延迟及限定的内存消耗;在用户体验上,我们会更多地关注策略模型的准确性,对所有的策略提出高准确率的要求,一旦监控发现准确率过低、不正常就可以做到自动下线规则。”
霸下——七层流量清洗的功能架构
未来展望
如上面所述,人工智能在阿里巴巴安全方面的运用也已经提上了日程。虽然目前与团队设想的人工智能前景还有很大的差距,但是产品已经开始尝试智能化应用,并往人工智能的方向不断发展。未来的网络安全,相信也会变成黑灰产AI与安全防御AI之间的最终对抗。
铁花最后表示,在本次双11在线技术论坛中,他将详细介绍阿里巴巴主要的防御产品平台霸下——七层流量清洗是如何设计和解决安全问题的,欢迎感兴趣的小伙伴报名围观。
原文发布时间为:2017-12-8