3月29日,阿里云云盾在深圳云栖大会发布了游戏行业安全风控新模式:游戏盾。游戏盾在风险治理方式、算法技术上全面革新,帮助游戏用户用更低的成本缓解超大流量攻击和CC攻击,解决以往的攻防框架中资源不对等的问题。
与传统单点防御DDoS防御方案相比,游戏盾用数据和算法来实现智能调度,将“正常玩家”流量和“黑客攻击”流量快速分流至不同的节点,最大限度缓解大流量攻击;通过端到端加密,让模拟用户行为的小流量攻击也无法到达客户端。
同时,在传统防御中,黑客很容易锁定攻击目标IP,在攻击过程中受损非常小。而游戏盾的智能调度和识别,可让用户“隐形”,让黑客“显形” — 每一次攻击都会让黑客受损一次,攻击设备和肉鸡不再重复可用。颠覆以往DDoS攻防资源不对等的状况。
技术革新:智能调度算法拆分流量
DDoS攻防的本质,是资源的对抗。从网络、CDN、服务器到数据库,只要存在资源差的地方,就可以有DDoS攻击在发生。而超过50%的DDoS和CC攻击,都在针对游戏行业。
“随着带宽成本逐年降低,肉鸡资源逐年丰富,大流量压制型攻击已经不再是业界的都市传说。高入口带宽已经不再是攻防的保险箱。因此,是时候需要考虑一些变革了。" 阿里云高级产品专家双乐说。
从云层、弹性安全网络到现在的游戏盾,阿里云安全团队在与游戏行业用户并肩作战几年后,用数据和算法来改变了大流量攻击防御的模式。
“在游戏盾诞生之前,团队深入游戏业务级的攻防对抗,通过分析游戏业务的注册特点、登陆特点,玩家特点重构了游戏盾的智能调度算法。今天,游戏盾在应对黑客攻击的时候,不仅是被动在防御,我们也具备主动的反击能力,哪个客户端是黑客,哪个客户端是好的用户,通过更加灵活的调度算法,让正常流量和黑客打进来的流量‘不往一处走’,扛住一次次超大型的DDoS攻击。”
风控模式革新:从单点防御到分层治理
在游戏盾的演进过程中,我们成功平衡了四大以前很难解决的资源难题:如何对抗黑客T级压倒性带宽资源;如何攻破黑客的肉鸡资源;如何填补黑客只需要‘攻点’、用户需要‘防面’的鸿沟;如何解决资金成本的问题。
分层而治,是解决这些问题的基础。
双乐说:“所有资源的不对等,都是因为攻击方太容易找到目标,而防御方太容易成为目标。分层而治中的“分”,代表流量的拆分、业务的拆分、和目标的拆分;让攻击者的成本和门槛增大,把用户成本控制到最低;“层”代表一种漏斗模型。以前,我们都是用带宽去硬抗DDoS攻击,而在游戏盾中,我们用最适合的‘武器’去做最擅长的事。比如用Netguard专利技术,针对用户行为进行筛选和控制,更好地防御CC攻击。”
“游戏盾改变了DDoS攻防是‘拼带宽’的传统概念,成为针对游戏行业用户的整体风控方案。在游戏盾的风控理论下,如果我们解决好用户端的问题,就可以解决无限大的DDoS攻击,从而达到攻防成本的平衡。”双乐说。
道哥曾经在《我回阿里的29个月中》,谈到了游戏盾成长的过程:“一切努力没有白费,通过几次大版本的升级,云层这个系统(游戏盾的前身)逐渐完善。一次次的真实对抗,有效的锤炼了产品,认识到了很多以前根本没有想到过的问题。”
从2015到2017,两年的攻防实战和技术打磨让游戏盾成为一种新的安全风控模式,也将阿里云的安全能力输出到行业。通过解决方案的定制,游戏行业用户构建属于自己的安全立体防护体系,有效提升攻防门槛。