专访铁花:阿里“霸下”,七层流量清洗平台的应用场景解读

简介: 在阿里巴巴技术协会、云栖社区联合主办并独家直播的《2017阿里双11技术十二讲》上,阿里巴巴资深技术专家铁花将分享话题《霸下——七层流量清洗》。

12月13-14日19:30,阿里巴巴技术协会、云栖社区联合主办并独家直播的《2017阿里双11技术十二讲》将强势来袭。本次双11在线技术论坛将专注更深的科技层面,全方面展现时代更迭下的全新黑科技,带你详细了解2017阿里双11背后的技术,并为你提供与一线专家面对面沟通学习的机会。云栖社区直播报名直通车

在本次峰会中,阿里巴巴资深技术专家铁花将分享话题《霸下——七层流量清洗》,阿里巴巴集团网络层恶意流量清洗产品“霸下”能够将所有请求中夹杂的CC攻击、Web攻击、爬虫、机器刷单等恶意流量进行清洗,从而保障业务系统在超负载运行状态下的安全。在此之前,笔者对其进行了专访,一起探讨了七层流量清洗的理念特点、技术和功能框架以及应用案例等内容。

9e35a08b97dc33c815c06bf74109ade986626eed

阿里巴巴资深技术专家 铁花

铁花,06年加入阿里巴巴,08年开始从事安全相关工作,淘宝最早SDL的建立及实施人、淘宝第一代web安全解决方案及开发框架的主要开发、安全静态代码扫描平台的创建者。All in无线曾负责来往事业部整体服务端团队及整体技术业务安全,内部IM即时通讯云平台主要设计者之一。目前在安全部负责安全技术平台产品体系搭建及基础安全开发,正在着重进行的有安全技术平台产品的中台输出建设、基础架构霸下技术体系建设以及集团重大活动保障。

流量清洗概述

流量清洗,即网络层恶意流量清洗(Anti Malicious Network Traffic),是指针对通过网络层访问业务的所有网络流量,进行"祛除糟粕、留下精华、去伪存真"的清洗,保障达到业务系统的流量,没有外部的攻击和非人的恶意流量。从业务场景来说,流量清洗应涵盖DDoS攻击防护、CC攻击防护、Web攻击防护、批量机器行为防御、业务安全/风控、网络限流等防护能力。传统的流量清洗方案虽然在业务的整条链路上部署大量的安全产品,但是也带来了部署维护和人员运营成本大、防护能力弱、数据损耗等一系列的问题。

铁花表示,对比当下现有的恶意流量清洗平台,霸下——七层流量清洗呈现出全新的特征:首先是精细化场景,面对的不再是某个单一的技术点攻击而是某个场景下的复杂链路攻击,所以对应的防御平台也需要针对不同的类似场景进行抽象优化;其次是全链路数据打通,从客户端到网络连接层到业务层所有的数据都贯通一体进行分析和算法建模,可以达到最优效果;然后是智能化,当前平台已有部分策略模型开始智能化的调整,自动化的进行防御。

对于DDoS、恶意漏洞扫描等常见的恶意流量,业界常规的应对手段有防DDoS系统、类似WAF的web防火墙、以及一些安全公司所提供的盒子类防火墙产品等等。阿里巴巴在这些常规手段之外,还通过精细化场景纵横数据打通智能化的处置处理,能够在网络层有效抵抗黑灰产带来的恶意攻击。

最新应用成果

目前,霸下——七层流量清洗负责了阿里巴巴集团的所有网络层流量清洗和保障工作。2017年双11,其处理了峰值2000万QPS的流量,保障到达核心交易系统的流量纯净度大于99.85%。

“今年的双11是历年来最顺滑、保障效果最突出的一年,背后绝对不是单独的某一个系统或某一个平台的功劳”。铁花认为,安全的业务比较特殊,能取得如此好的成绩必须依靠线上线下形成有效的联动,从端到业务各个环节通盘考虑,稳定可靠的系统平更是不可或缺的。

功能及技术解读

得益于阿里复杂和快速发展的业务,打造对应的安全体系具有极大的难度和挑战,不仅需要满足基本的业务前提,还要加上对于未来判断的思考,以及在安全、性能和用户体验这三者间达到平衡。

“在安全分析上,我们有专门的安全威胁建模团队,针对一个产品或业务用到的技术点设计业务逻辑;对于性能的要求尤其是针对关键链路,我们会在业务可接受的限定范围内完成安全的计算和拦截,比如3ms内的延迟及限定的内存消耗;在用户体验上,我们会更多地关注策略模型的准确性,对所有的策略提出高准确率的要求,一旦监控发现准确率过低、不正常就可以做到自动下线规则。”

700c40f6737e2f59d03c79825d6ea353fd34b010

霸下——七层流量清洗的功能架构

未来展望

如上面所述,人工智能在阿里巴巴安全方面的运用也已经提上了日程。虽然目前与团队设想的人工智能前景还有很大的差距,但是产品已经开始尝试智能化应用,并往人工智能的方向不断发展。未来的网络安全,相信也会变成黑灰产AI与安全防御AI之间的最终对抗。

铁花最后表示,在本次双11在线技术论坛中,他将详细介绍阿里巴巴主要的防御产品平台霸下——七层流量清洗是如何设计和解决安全问题的,欢迎感兴趣的小伙伴报名围观。

预约直播请点击: https://yq.aliyun.com/promotion/428
目录
相关文章
|
20天前
|
数据采集 安全 网络安全
提高企业进入国外市场的“免疫力”——阿里云CDN安全能力分析
提高企业进入国外市场的“免疫力”——阿里云CDN安全能力分析
|
安全
《霸下-七层流量清洗提供安全防护新方案》电子版地址
霸下-七层流量清洗提供安全防护新方案
194 0
《霸下-七层流量清洗提供安全防护新方案》电子版地址
|
运维 监控 安全
云上数据防护新思路,DSPM来袭
本文主要介绍数据也需要安全态势管理。
428 0
云上数据防护新思路,DSPM来袭
|
专有云 云计算
《云上社交行业技术服务白皮书》——第四章 云上社交保障与服务案例——4.2 社交流量潮汐性——4.2.1 基础资源满足潮汐性分析
《云上社交行业技术服务白皮书》——第四章 云上社交保障与服务案例——4.2 社交流量潮汐性——4.2.1 基础资源满足潮汐性分析
418 0
|
调度 CDN
《飞天技术汇—百T级CDN智能流量调度系统的实战分享 曾福华》电子版地址
飞天技术汇—百T级CDN智能流量调度系统的实战分享 曾福华
258 0
《飞天技术汇—百T级CDN智能流量调度系统的实战分享 曾福华》电子版地址
|
负载均衡
|
Web App开发 边缘计算 分布式计算
|
Web App开发 数据采集 边缘计算
阿里云全球实时传输网络GRTN—QOE优化实践
阿里云GRTN核心网技术负责人肖凯,为我们分享GRTN核心网的运作机制、运用方面以及QOE的网络模型在业务板块的实践优化。
732 0
阿里云全球实时传输网络GRTN—QOE优化实践
|
边缘计算 开发工具 UED
互联网新半场的流量生态——阿里云定向免流方案
当你正在游戏中肆意厮杀时,在你跟美女主播互动畅聊时,突然收到这样一条短信,你会不会心头一紧呢?80%的调查反馈显示,是的(个别土豪除外)。毕竟5块钱30M流量就能用一个月的时代已经过去了,我们玩的游戏也从XX玛丽、贪吃X等单机弱联网游戏过渡到了吃量狂魔的MMO、MOBA等大型网游之中。
8461 0
《亿级流量网站架构核心技术》
《亿级流量网站架构核心技术》
283 0
《亿级流量网站架构核心技术》