騰訊科技訊，“流量是一個(gè)看不見(jiàn)的東西，又無(wú)處不在。”如果將安全攻防對(duì)抗比作一場(chǎng)戰(zhàn)斗，流量就是一個(gè)出色的“情報(bào)員”，掌控著敵方各種入侵動(dòng)作及意圖，并以最快的速度同步“指揮官”，協(xié)助指揮官做出正確戰(zhàn)略決策，奪取勝利。

　　8 月 20 日，XCon2020 安全焦點(diǎn)信息安全技術(shù)峰會(huì)在北京舉行。會(huì)上，騰訊云 DDoS 防護(hù)團(tuán)隊(duì)分享了將流量分析應(yīng)用于攻防對(duì)抗的騰訊內(nèi)部實(shí)戰(zhàn)案例，并介紹了騰訊內(nèi)部工程化的縱深防御體系。

　　通過(guò)挖掘流量的安全能力，將各個(gè)安全系統(tǒng)有效串聯(lián)，構(gòu)建多層防線的縱深防御體系，騰訊云搭建了面向未來(lái)的安全防御“堡壘”，形成“團(tuán)戰(zhàn)”的力量。

　　安全攻防進(jìn)入深水區(qū)，縱深防御是基礎(chǔ)

　　隨著 5G 時(shí)代的到來(lái)，網(wǎng)絡(luò)環(huán)境正在經(jīng)歷巨變，企業(yè)也在面向數(shù)字化云化轉(zhuǎn)型。與之相對(duì)，黑客攻擊手法也在不斷演進(jìn)：模擬真人、多源低頻、APT 等各類攻擊手段層出不窮，企業(yè)安全建設(shè)面臨新的挑戰(zhàn)。

　　傳統(tǒng)企業(yè)的安全體系建設(shè)，往往通過(guò)疊加多種基礎(chǔ)安全產(chǎn)品進(jìn)行防護(hù)，如網(wǎng)絡(luò)層防 DDoS 攻擊、主機(jī)層防入侵、應(yīng)用層防漏洞等。想象中的情況是各個(gè)版塊各展所長(zhǎng)，然而實(shí)際情況往往卻是各層系統(tǒng)信息不互通、碎片化、各自為戰(zhàn)，不可避免造成“安全盲區(qū)”的存在。

　　在嚴(yán)峻的安全攻防形勢(shì)下，企業(yè)必須要將各個(gè)安全系統(tǒng)有效串聯(lián)，形成牽一發(fā)而動(dòng)全身的防護(hù)效果——這就是多層防線的縱深防御體系。

　　騰訊安全工程師鄧之珺、彭晨晨介紹到，目前，騰訊已建立起整體化的多層智能縱深防御體系，涵蓋 DDoS 防護(hù)、DNS 劫持等網(wǎng)絡(luò)安全，web 風(fēng)險(xiǎn)監(jiān)控、注入檢測(cè)、代碼審計(jì)等應(yīng)用安全，木馬通訊檢測(cè)、基線監(jiān)控等主機(jī)安全，合規(guī)監(jiān)控、全程票據(jù)等數(shù)據(jù)安全，通過(guò)流量分析進(jìn)行有效串聯(lián)，并具備多層布防能力。

（圖：騰訊云 DDoS 防護(hù)團(tuán)隊(duì)多層智能防御體系）

　　1+1>2，流量分析是關(guān)鍵

　　多層防線的縱深防御體系有效解決了各系統(tǒng)割裂的問(wèn)題，形成“1+1>2”的效果。這其中，流量作為一個(gè)“紐帶”，扮演了重要的角色。

　　今年上半年，騰訊處理了一次攻擊流量峰值高達(dá) 260W qps 的 HTTPS CC 攻擊，通過(guò)流量分析，實(shí)現(xiàn)了秒級(jí)響應(yīng)，調(diào)用防護(hù)設(shè)備進(jìn)行流量清洗，成功保障了平臺(tái)穩(wěn)定。事后，通過(guò)流量分析進(jìn)行溯源取證，并作為威脅情報(bào)返回給縱深防御體系中的其他環(huán)節(jié)，達(dá)成安全聯(lián)防。

　　除此之外，騰訊在高危服務(wù)開放、管理后臺(tái)識(shí)別等漏洞收斂領(lǐng)域，探測(cè)掃描、爆破嘗試、木馬通訊等入侵檢測(cè)領(lǐng)域也有相關(guān)布局。

　　騰訊云 DDoS 防護(hù)團(tuán)隊(duì)發(fā)現(xiàn)，流量分析對(duì)于及時(shí)感知新型攻擊也具有獨(dú)有的優(yōu)勢(shì)，比如團(tuán)隊(duì)曾在某個(gè) CVE 公開一個(gè)小時(shí)內(nèi)就成功捕獲了針對(duì)該漏洞的少量攻擊。同時(shí)流量本身作為蜜罐(一種對(duì)攻擊方進(jìn)行欺騙的技術(shù))，在流量中構(gòu)建一系列通用捕獲模型，也可發(fā)現(xiàn)未知攻擊和隱蔽攻擊，例如針對(duì) 0day 和 APT 的挖掘。

　　可以說(shuō)，流量分析的有效應(yīng)用，已成為企業(yè)安全攻防對(duì)抗的下一個(gè)路口。“流量+”的應(yīng)用落地將大大提升企業(yè)的安全能力。

　　流量分析 +AI，從“被動(dòng)應(yīng)對(duì)”到“主動(dòng)進(jìn)化”

　　安全建設(shè)是一場(chǎng)永無(wú)止境的攻防戰(zhàn)，攻擊手法和防御手段此消彼長(zhǎng)、交替升級(jí)。面對(duì)更為復(fù)雜多變的攻擊手法，騰訊不斷挖掘流量分析的更多應(yīng)用場(chǎng)景，結(jié)合大數(shù)據(jù)、AI 等技術(shù)，對(duì)不同安全場(chǎng)景進(jìn)行精細(xì)化分析。

　　例如，在攻防研究中，騰訊將 AI 技術(shù)與流量分析結(jié)合，用于 Web 管理后臺(tái)的識(shí)別，一定程度上改善了傳統(tǒng)掃描器方案誤報(bào)和漏報(bào)等問(wèn)題，提升了靈活性和判斷能力。同時(shí)，騰訊也在探索 AI 與入侵檢測(cè)、漏洞收斂等技術(shù)的結(jié)合。

　　面對(duì)攻防對(duì)抗中“降本增效”的要求，騰訊云 DDoS 防護(hù)團(tuán)隊(duì)通過(guò) AI 算法學(xué)習(xí)經(jīng)驗(yàn)數(shù)據(jù)，形成具備自學(xué)習(xí)、自進(jìn)化、自適應(yīng)特性的流量模型，將‘被動(dòng)應(yīng)對(duì)’發(fā)展成為‘主動(dòng)進(jìn)化’，進(jìn)一步增強(qiáng)了攻防能力。

總結(jié)

以上是生活随笔為你收集整理的聚焦流量分析，腾讯云打造网络攻防纵深防御体系的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。