游戏盾从诞生之初到现在,经历了三次重大的技术变革。从初代的“云层”,到现在的游戏盾,无论是从技术架构还是从功能实现上,都发生了翻天覆地的变化。
而驱动这些变化的浅层因素,是攻防资源的不对等问题;深层因素则是对现有网络本身的路由规则和基础设施的深度思索。
简单来说,游戏盾通过风控模式调度流量来撬动攻防天平;而从本质来说,游戏盾更像是一个除了路由和DNS之外,能再次改变流量走向的存在。
云层:第一次实验
游戏盾的前身是云层项目。它诞生在15年初 的一次“营救实验”。
一家公司被黑客反复攻击,传统的DDoS防御方法全都败下阵来。在紧急情况下,公司向我们寻求合作,并提出可以尝试一种“通过快速流量调度,来躲避黑客攻击”的新方法。
这种方法并没有在任何实战场景中被验证过。阿里云DDoS的技术团队在“摸着石头过河”的情况下,与用户的技术团队一起合作,用将新的防护方法付诸于实践,成功扛下了一次次攻击。云层时代也就此开始。
当时,黑客的攻击手法相对来说比较单一,找到目标IP地址,使用一波大流量(10~50GBps)将IP攻击进入黑洞。而发动下一波攻击的准备时间大约需要10~15分钟。而云层通过秒级分布式IP的快速调度,压制了黑客的分钟级攻击跟随,赢得了这场竞赛的阶段性胜利。
接下来,“云层”模式在其它几场攻防实战中屡立战功。但与此同时,新形态的攻击方式也在不断地进化,云层的IP调度速度尽管实现了秒级,但要跟上黑客的嗅探和跟随,其算法和效率仍需进化,在这种背景下,游戏盾的时代来了。
游戏盾:踏入战场
一直以来,国内超过50%的DDoS和CC攻击,都针对游戏行业。正因此,游戏成了DDoS攻防最好的战场,也是调度算法的最佳训练场。
于是,我们决定将云层时代积累下来的技术经验,应用在游戏行业中,成为大家能够用得上,并且管用的风控模式。
在游戏盾诞生之前的很长一段时间,我们对游戏行业的攻防对抗模式反复分析,也去深入了解了游戏业务的注册特点、登陆特点,玩家特点,在此基础上,重构了游戏盾的智能调度算法。
它继承了云层快速调度的能力,又通过对端信息的采集,和对网络通信等行为的归一化处理分析。基于云上的资源和特性,游戏盾得以对海量的端数据进行计算,处理和存储;相比线下环境,云在计算和数据处理上的优势,让我们取得了这一实质性的突破——完成对每一个终端设备的画像,最终沉淀为“端威胁值”这一新的调度因子。
游戏盾所有数据处理的核心,是AirTraffic Control (ATC 空中流量调度系统)。它以DL(深度机器学习)&LSTM(神经网络)为认知基础,将恶意用户快速隔离在调度体系之外。
在游戏行业炮火重重的前线上,游戏盾完成了涅槃重生。持续在最猛烈的攻击之下,不断进行自我升级。威胁识别和影响面控制代替调度成为了新的技术关键词。
精细化和分层而治:领先一小步
当然,这仍只是一个开始。攻击方也在逐步加重自己的兵力投入,要领先黑客一小步的话,光靠数据和算法还不够,需要真正了解对方的攻击趋势和攻击手法。
在实战的打磨中,游戏盾正式踏入精细化攻防对抗这一领域:NetGuard应运而生。
借助前两个阶段所积累的AI建模分析能力,游戏盾向业务层的攻击发起挑战。
它通过串行学习特定业务数据特征,快速识别畸形和突发的异常流量,并在干路上进行阻截。与此同时,团队提出了由用户层、网络层、接入层和业务层四级联动的立体防护体系,让游戏盾帮助用户,去自己搭建最适合自己的安全架构。
游戏盾这个立体防护体系的核心,在于分层而治。首先,大流量攻击,依托网络层去解决,而技巧型CC攻击,通过接入层去解决。立体防护体系可以达到突破带宽限制,控制攻击影响范围和时间,精准识别用户行为的目标。
倾斜的天平
从2015到2017,两年的攻防实战和技术打磨让游戏盾将一种新的安全风控模式,应用到攻防战场中,帮助游戏行业的用户去解决实质性的问题,这是我们目前所做的事情。
然而,从云层到游戏盾,只是我们去撬动DDoS攻防天平的第一步。我们真正去前进的方向,是构筑一张安全、可信、承载着“干净流量”的网络,并将这张网络延展到更广的边界。
本文出自阿里云安全公众号,原文链接