“流量是看不见的东西,它无处不在。”如果把安全攻防对抗比作一场战役,交通就是一个优秀的“情报代理人”,掌控敌人的各种入侵行动和意图,以最快的速度同步“指挥官”,协助指挥官做出正确的战略决策和决策。赢得胜利。8月20日,XCon2020SecurityFocus信息安全技术峰会在北京召开。会上,腾讯云DDoS防护团队分享了腾讯内部将流量分析应用于攻防对抗的实际案例,并介绍了腾讯内部工程纵深防御体系。腾讯云通过挖掘流量安全能力,有效串联各类安全体系,构建多层纵深防御体系,构建面向未来的安全防御“堡垒”,形成“团战”力量。安全攻防进入深水区,纵深防御是基础。随着5G时代的到来,网络环境正在发生翻天覆地的变化,企业也面临数字云化转型。相比之下,黑客攻击手段也在不断演变:模拟真人、多源低频、APT等各种攻击手段层出不穷,企业安全建设面临新的挑战。传统企业的安全体系建设往往通过叠加多种基础安全产品来保障,例如网络层的抗DDoS攻击、主机层的抗入侵、应用层的抗漏洞等。想象中的情况是各板块各显神通,而实际情况往往是系统各层信息不互通、各自为政、各自为战,这必然导致“安全盲点”的存在”。在安全攻防形势严峻的情况下,企业必须将各种安全系统有效串联起来,形成牵一发而动全身的防护效果——这就是多层防线的纵深防御体系。腾讯安全工程师邓志军、彭晨晨介绍,目前,腾讯已经建立了一体化的多层智能纵深防御体系,涵盖DDoS防护、DNS劫持等网络安全,以及Web风险监控、注入等应用安全。检测和代码审计。木马通信检测、基线监控等主机安全,合规监控、全流程票据等数据安全,通过流量分析有效串联,具备多层防御能力。(图:腾讯云DDoS防护团队多层智能防御体系)1+1>2,流量分析是关键多层纵深防御体系有效解决了各系统碎片化问题,形成了“1+1>2”的效果。其中,流量作为一个“纽带”,发挥着重要作用。今年上半年,腾讯处理了一起攻击流量峰值为260Wqps的HTTPSCC攻击。通过流量分析,实现秒级响应,并调用防护设备进行流量清洗,成功保障平台稳定性。之后通过流量分析进行溯源取证,并作为威胁情报回馈纵深防御系统的其他环节,实现安全联防。此外,腾讯在高危服务开放、管理后台识别等漏洞汇聚领域,以及检测扫描、爆破企图、木马传播等入侵检测领域也有相关布局。腾讯云DDoS防护团队发现,流量分析在及时发现新型攻击方面也具有得天独厚的优势。例如,该团队曾在某CVE公开后一小时内成功捕捉到少量攻击。同时将流量本身作为蜜罐(一种欺骗攻击者的技术),在流量中建立一系列通用的捕获模型,还可以发现未知的攻击和隐藏的攻击,比如为0挖矿-天和APT。可以说,流量分析的有效应用已经成为企业安全攻防的下一个交锋点。“流量+”的应用将大大提升企业的安全保障能力。流量分析+AI,从“被动应对”到“主动进化”安全建设是一场永无休止的攻防战,攻击手段和防御手段潮起潮落,交替升级。面对更加复杂多变的攻击手段,腾讯不断探索流量分析的更多应用场景,结合大数据、AI等技术,针对不同安全场景进行精细化分析。例如,在攻防研究中,腾讯将AI技术与流量分析相结合,用于Web管理后台的识别,一定程度上改善了传统扫码方案存在的误报漏报问题,提高了灵活性和判断能力.同时,腾讯也在探索AI与入侵检测、漏洞收敛等技术的结合。面对攻防对抗中“降本增效”的需求,腾讯云DDoS防护团队通过AI算法学习经验数据,形成具有自学习、自演化、自适应特性的流量模型,并将“被动反应”发展为“主动进化”,攻防能力进一步增强。
