近日，在北京舉行的“騰訊云會客廳∙技術(shù)專家面對面”首次活動現(xiàn)場，作為2005年加入騰訊的一名老兵，騰訊云安全總監(jiān)周斌系統(tǒng)地梳理了騰訊云安全的產(chǎn)品體系，分享了對云安全形勢的看法。他表示，“騰訊公司在過去十多年和黑產(chǎn)對抗的過程中積累了豐富的經(jīng)驗，無論是技術(shù)還是服務(wù)在行業(yè)都是遙遙領(lǐng)先的，我們有責(zé)任也有義務(wù)為中國互聯(lián)網(wǎng)安全做出應(yīng)有的貢獻”。

對抗黑產(chǎn)不遺余力 十年斗爭經(jīng)驗匯集云安全

現(xiàn)在，搶紅包無疑是最火的“游戲”之一。每逢佳節(jié)，更是紅包滿天飛的節(jié)奏。2015年中秋節(jié)已過，你發(fā)紅包了么?搶紅包了么?在這場搶紅包的大戰(zhàn)中，你是否擔(dān)心過你的賬戶安全?你是否意識到被釣魚的風(fēng)險?

其實，因紅包手機支付牽扯到關(guān)聯(lián)銀行卡，自搶發(fā)紅包之風(fēng)興起，其安全性一直遭到業(yè)內(nèi)的質(zhì)疑。黑產(chǎn)采用各種手段進行攻擊，試圖從中牟利，導(dǎo)致諸如微信紅包被釣魚的事件時有發(fā)生。也正是因為意識到這種風(fēng)險，收發(fā)紅包的背后總有那么一些“戰(zhàn)士”在與之戰(zhàn)斗著。

長期戰(zhàn)斗在安全防護一線的周斌就是其中之一，他表示：“據(jù)騰訊安全團隊統(tǒng)計，2015春節(jié)期間，來自黑產(chǎn)的惡意掛刷請求達到24萬次，web滲透嘗試達到197萬次，暴力破解嘗試839萬次，撞庫攻擊超過10億次。依托騰訊十年對抗經(jīng)驗，最終騰訊安全團隊有效攔截了這些撞庫破解、惡意攻擊等行為，保證全球微信用戶‘搶紅包’的安全。”

周斌介紹說，騰訊整個發(fā)展史，是與黑產(chǎn)對抗的發(fā)展史。騰訊云安全團隊是捍衛(wèi)過微信、QQ、紅包等明星業(yè)務(wù)的禁衛(wèi)軍。騰訊擁有海量的數(shù)據(jù)計算平臺，每天會有3700多個計算任務(wù)在后臺進行惡意行為分析，分析內(nèi)容涵蓋黑產(chǎn)的惡意行為以及黑產(chǎn)操作軌跡的數(shù)據(jù)，日總計算超過6000億次，月計算量達到8000T。目前，騰訊這些對抗黑產(chǎn)的安全能力，會化作云安全對外開放。

火力全開，騰訊云安全打造全方位的產(chǎn)品體系

面對嚴(yán)峻的互聯(lián)網(wǎng)云安全形勢，騰訊云推出基礎(chǔ)服務(wù)和高級服務(wù)兩大產(chǎn)品體系?；A(chǔ)服務(wù)包含：DDoS防護、WAF防護和云主機防護，免費為所有騰訊云用戶開放。而高級服務(wù)囊括DDoS高防、大禹系統(tǒng)、天御系統(tǒng)、樂固以及定制級專家服務(wù)，面向所有行業(yè)客戶開放。不管是騰訊云的用戶，還是非騰訊云用戶，都可以享受同等的專業(yè)服務(wù)。

周斌表示，針對非騰訊云用戶，把用戶流量請求先路由到大禹加速點，然后在回到源站。只需通過DNS協(xié)議把域名解析到大禹系統(tǒng)，不用改動用戶的源站服務(wù)器，就可以為其提供安全防護。

騰訊云提供了針對網(wǎng)站，業(yè)務(wù)及移動安全防護的三大產(chǎn)品：

◆針對網(wǎng)站安全防護的大禹：全新發(fā)布的大禹4.0憑借高達4T的超大防護帶寬及秒級快速調(diào)度能力，能夠有效抵御DDoS及CC攻擊，提供Web漏洞掃描、WAF、反DNS劫持、安全認(rèn)證等功能。大禹4.0擁有全國超過400個檢測點，能夠有效解決DNS劫持問題。并且，接入大禹系統(tǒng)的用戶，還可以享受全國100多個安全加速節(jié)點提供的加速服務(wù)。

◆針對業(yè)務(wù)安全防護的天御：天御首次實現(xiàn)業(yè)務(wù)安全能力的對外開放，產(chǎn)品核心功能包括活動防刷、防惡意注冊、防惡意登錄、驗證碼、消息過濾、關(guān)鍵詞檢測、文件檢測共7大能力，騰訊業(yè)務(wù)的多年積累能夠為用戶的業(yè)務(wù)安全保駕護航。

◆針對移動安全防護的樂固(該產(chǎn)品即將發(fā)布)：樂固可以為APP開發(fā)者提供涵蓋審計監(jiān)控、加固、安全SDK等功能的一站式安全解決流程。用戶可通過審計和渠道監(jiān)控發(fā)現(xiàn)問題，找到自身的漏洞或被重打包等情況。然后，通過加固來解決被破解、重打包等問題。最后，針對諸如安全鍵盤、應(yīng)用環(huán)境監(jiān)測等進階性需求，樂固也提供了對應(yīng)的高階安全解決方案SDK供開發(fā)者們使用，幫助開發(fā)者真正掌控APP。

除此以外，騰訊云還提供貼身定制的專家服務(wù)體系。專業(yè)的安全團隊將為客戶提供方案咨詢，根據(jù)客戶業(yè)務(wù)情況，量身定制安全防御方案。然后，配備專屬技術(shù)專家，實現(xiàn)更快更優(yōu)質(zhì)的安全服務(wù)。#p#

對話周斌 解讀騰訊云DDoS攻擊防護

DDoS攻擊似惡霸，是最大網(wǎng)站安全威脅之一。不但會讓受害用戶的網(wǎng)絡(luò)非常擁塞，無法和外界正常通訊，而且還會使主機無法處理所有正常的請求，甚至?xí)斐上到y(tǒng)死機。目前，DDoS黑色產(chǎn)業(yè)已經(jīng)形成，以敲詐勒索在線盈利企業(yè)、商業(yè)競爭惡意攻擊為主要表現(xiàn)，以極低的攻擊成本，給企業(yè)的正常運營產(chǎn)生重大損失。因此，對抗DDoS攻擊是各大安全廠商必做之事。

在致命的DDoS攻擊面前，騰訊云安全的基礎(chǔ)服務(wù)提供了DDoS防護功能，而高級服務(wù)提供了DDoS高防功能。由此可見，騰訊對該攻擊的重視程度。

8月25日，騰訊云大禹系統(tǒng)成功幫助錘子堅果手機發(fā)布會抵御的DDoS攻擊。據(jù)周斌介紹，錘子手機官網(wǎng)從接入大禹系統(tǒng)到網(wǎng)站恢復(fù)正常，僅僅用了約13分鐘。

談到具體技術(shù)實現(xiàn)，周斌解釋說：“關(guān)于流量型的攻擊，其實就是拼帶寬。理論上講，防護帶寬越大，相應(yīng)的能夠提供的防護能力就越大。騰訊在全國各地部署了四百多個節(jié)點，每個節(jié)點能夠提供1G的流量，合計4T的防護能力。如果部署更多的節(jié)點，那么相應(yīng)的防護能力將更高。錘子官網(wǎng)當(dāng)天遭遇的最大攻擊流量約10G左右，當(dāng)分?jǐn)偟?00多個節(jié)點，很快就被清洗掉。此架構(gòu)屬于平行擴展，當(dāng)遭遇更高流量攻擊時，再擴展節(jié)點后將會抵御更大的流量攻擊。”

那么，在進行攻擊流量清洗時，騰訊云是如何做的呢?

流量清洗示意圖

正常情況下，從瀏覽器來的流量會直接進入IDC機房，這是標(biāo)準(zhǔn)情況。一般情況下，業(yè)務(wù)的流量不會達到幾G。但是，當(dāng)大流量洶涌而來時，就會導(dǎo)致整個機房的入口被堵塞，使得網(wǎng)站無法提供正常的服務(wù)。此時，通過DNS配置后接入騰訊大禹系統(tǒng)，將所有的請求，包括正常請求與攻擊請求，全部導(dǎo)入上圖所示的OC點上，做流量的清洗。然后，將清洗后的流量注回正常的IDC。假如有10G攻擊，每一個OC點上分擔(dān)了只是10G的幾分之一，到最后進入機房的可能只有500M，此時機房就可以正常的服務(wù)。

三個中心機制實現(xiàn)流量清洗

為避免誤殺，大禹系統(tǒng)通過三個中心機制實現(xiàn)流量清洗。如圖所示，將所有請求流量進行檢測，如無異樣則直接進入IDC，如檢測到存有惡意流量，則進入清洗中心，經(jīng)清洗后回注到IDC。

總結(jié)

在此次交流會上，周斌還表示：“目前，騰訊云已與安全狗達成合作。未來，騰訊云將會聯(lián)合更多的在行業(yè)有實力有擔(dān)當(dāng)?shù)牡谌桨踩?wù)企業(yè)，一同建設(shè)安全的云生態(tài)，為客戶提供安全可靠的云安全服務(wù)，保障企業(yè)的網(wǎng)絡(luò)安全和行業(yè)的健康發(fā)展。”

騰訊云正在依靠自身的科技實力，懷抱開放的心態(tài)，憑借十多年的技術(shù)積累，為多個領(lǐng)域的企業(yè)提供強有力的的云服務(wù)支撐平臺。騰訊不斷將安全能力化作騰訊云安全對外開放，提供給廣大用戶使用。這不僅是廣大用戶的福音，也是騰訊云對抗安全威脅的決心的一種體現(xiàn)。