2002年10月25日，歷經(jīng)兩年的技術(shù)研究和產(chǎn)品開發(fā)，綠盟科技“黑洞”正式面世。

在2005年之前，網(wǎng)絡(luò)安全的相關(guān)法律還未出臺，很多稍大一些的網(wǎng)站經(jīng)常會受到黑產(chǎn)的勒索威脅，動不動就被DDoS，服務(wù)器癱瘓。正所謂“亂世出英雄”，危難時(shí)刻方顯英雄身手。綠盟科技在這時(shí)出現(xiàn)，研發(fā)出針對當(dāng)時(shí)主流 DDoS 攻擊的防護(hù)產(chǎn)品——“黑洞”(Collapsar)。黑洞是中國第一款抗D產(chǎn)品，是這個(gè)細(xì)分品類的創(chuàng)造者和先行者，在黑洞之后才出現(xiàn)了思科、Arbor等友商的同類產(chǎn)品。天文學(xué)上說，“黑洞的質(zhì)量是如此之大，它產(chǎn)生的引力場是如此之強(qiáng)，以至于任何物質(zhì)都無法逃逸，哪怕是光”。

2020年是綠盟科技20歲生日，也是黑洞的18歲生日。當(dāng)被問到黑洞是如何成為一款得到全球市場檢驗(yàn)和認(rèn)可的產(chǎn)品時(shí)，綠盟君腦海里不禁出現(xiàn)了一部放映機(jī)，回放著一個(gè)個(gè)”黑洞”故事。

黑洞的發(fā)展史，就是當(dāng)今DDoS攻擊與防護(hù)的對抗史。

路，從那一天開始。

抵御“洪水”，“黑洞”降世

時(shí)間拖回到2002年，那個(gè)時(shí)候國內(nèi)大部分人還是撥號上網(wǎng)，人們對網(wǎng)絡(luò)安全的認(rèn)知最多停留在殺軟的層面，如今人們耳熟能詳?shù)母黝愑布踩O(shè)備在當(dāng)時(shí)還是個(gè)新鮮玩意兒，至于“黑洞”這種抗 D專業(yè)設(shè)備，在當(dāng)時(shí)就是個(gè)傳說級的東西，只有安全專家才能搞清楚。

那時(shí)市面上沒有黑洞的同類產(chǎn)品，很多時(shí)候，客戶遭遇了DDoS攻擊就會直接打電話找到綠盟科技，希望借一臺黑洞臨時(shí)頂一下。當(dāng)時(shí)的綠盟科技黑洞產(chǎn)品線經(jīng)理——黑洞之父，更為準(zhǔn)確的說是抗D之父葉曉虎博士，回憶起當(dāng)時(shí)的情形：一開始黑洞組就幾個(gè)人，歐懷谷、吳鐵軍、劉添怡、徐祖軍等(現(xiàn)如今都已是技術(shù)大神)經(jīng)常是一邊做著開發(fā)，一邊做著技術(shù)支持，葉博士就有時(shí)親自扛著黑洞到用戶機(jī)房，將設(shè)備安裝上線、調(diào)試好。“很多服務(wù)器被DDoS攻擊纏上后，7*24 小時(shí)，沒完沒了地打，服務(wù)器要么關(guān)機(jī)，要么在那里‘半死不活’，那些維護(hù)工程師非常頭痛”，“只要黑洞一上線，服務(wù)器就活了，效果非常明顯”，“就因?yàn)槲覀儙兔鉀Q攻擊，以前都是用戶請我吃飯的”。

早期的黑洞最多只能處理10Mbps大小的流量，現(xiàn)在看來很低，但在當(dāng)時(shí)Modem 撥號速率只有14kbps-56kbps 的年代，黑洞的處理能力已是海量，而如今的黑洞ADS已經(jīng)具備單機(jī)240G、單集群上T的清洗能力。

??

圖1 早期黑洞的照片

黑洞上市后很長一段時(shí)期里， “黑洞” 就是抗D產(chǎn)品代名詞，甚至在一些主管機(jī)構(gòu)文章中，就直接把抗D產(chǎn)品稱為“黑洞”。那時(shí)，黑洞就等同于抗DDoS 技術(shù)。

很多網(wǎng)友會在網(wǎng)站上發(fā)表自己對黑洞、對抗D算法的理解。例如，有人討論黑洞的反向探測技術(shù)，寫到 ：“黑洞不斷向流量來的方向發(fā)送大量的反向數(shù)據(jù)，將攻擊報(bào)文包圍消滅掉……文中描述的黑洞，給人感覺不像是一臺網(wǎng)絡(luò)安全設(shè)備，更像是一臺正負(fù)粒子對撞機(jī)，制造正負(fù)質(zhì)子的對撞和湮滅。事實(shí)上，黑洞確是有反向探測技術(shù)的(現(xiàn)已經(jīng)是公開的技術(shù))，但是無法像論壇帖子上所述，可通過反向的數(shù)據(jù)包消滅發(fā)送過來的 DDoS報(bào)文，黑洞只是通過反向探測技術(shù)來區(qū)分正?；驉阂饬髁俊?/p>

除去這些軼聞趣事，網(wǎng)絡(luò)上還是會有很多對黑洞的研究。當(dāng)時(shí)一些論壇上，有人公布自己的發(fā)現(xiàn)，宣稱找到了黑洞的弱點(diǎn)，比如，有人反推黑洞的抗 D算法，然后研討在黑洞防護(hù)下的繞過方式。面對這些挑戰(zhàn)，黑洞組的同事們大多一笑而過，但也有個(gè)別，讓大家感受到真正的威脅。

這其中，最著名的應(yīng)該就是 CC 攻擊了。

Challenge Collapsar，黑洞迎接CC挑戰(zhàn)

CC 攻擊的全名—Challenge Collapsar，翻譯過來就是挑戰(zhàn)黑洞。

挑戰(zhàn)的起因是一次未如約進(jìn)行的面試，葉博士當(dāng)時(shí)因一些突發(fā)原因沒能面試 Qaker，于是 Qaker 含怒埋頭苦研，發(fā)布了專門針對黑洞Collapsar 的 CC(Challenge Collapsar)攻擊。誰都不曾想到，此后CC攻擊(以及后來的CC變種)給中國乃至世界互聯(lián)網(wǎng)安全帶來長期困擾。

棋逢高手甚歡喜，面對突如其來的新型 DDoS 攻擊，黑洞組的同事們泛起縷縷喜悅，絲絲緊迫。在葉博士帶領(lǐng)下，黑洞組開啟自虐模式，潛心分析 CC 攻擊表象及原理，并結(jié)合用戶環(huán)境不斷推演方案，力求防護(hù)的同時(shí)對業(yè)務(wù)的影響降到最低。設(shè)定方案、推演方案、駁斥方案、確立方案，理論逐漸完備，最終，黑洞對CC攻擊的清洗能力得到廣泛認(rèn)可。

或許是不打不相識，抑或是相互欣賞，后來葉博士和Qaker成為朋友，經(jīng)常一起探討新型攻擊的原理和對抗方式。保持旺盛的激情，形成清晰科學(xué)解決問題的邏輯體系，了解黑客所思所為，夯實(shí)關(guān)鍵技術(shù)實(shí)力，是成就全球知名安全產(chǎn)品的先決條件。魔高一尺，道高一丈。雖然 CC 攻擊的發(fā)展危害了互聯(lián)網(wǎng)安全，但它也激發(fā)了我們網(wǎng)絡(luò)安全人員應(yīng)對各種攻擊的斗志。

DDoS的發(fā)展史就是黑洞演進(jìn)史

算法是黑洞的寶貴資本，是產(chǎn)品的核心競爭力之一，它主要來源于技術(shù)研究和實(shí)戰(zhàn)積累。

對客戶而言，攻擊是否能防住，業(yè)務(wù)是否受影響是衡量一款抗D產(chǎn)品的重要指標(biāo)。如果攻擊來了業(yè)務(wù)卻掉線了，界面再好看的產(chǎn)品也是不合格。有時(shí)候，防護(hù)算法一個(gè)字節(jié)的不同，就可以使整個(gè)防護(hù)效果差之千里。攻防算法的提升沒有太多的套路可循，如果沒有時(shí)間和大量的客戶積累，相信黑洞也無法達(dá)到其現(xiàn)在的防護(hù)能力。從這點(diǎn)來說，黑洞的成長應(yīng)該真心感謝那些使用它的用戶。

DDoS的發(fā)展史，就是黑洞的演進(jìn)史，我們結(jié)合DDoS技術(shù)演進(jìn)時(shí)間線，將DDoS攻擊大致分為幾個(gè)階段：

第一階段，虛假源DDoS攻擊

早期的DDoS以虛假源攻擊為主，簡單粗暴但極為有效，聊天室聊著聊著可能就“死了”。這類攻擊一般由工具或者儀表構(gòu)造產(chǎn)生，因?yàn)槠湓碔P虛假而無法響應(yīng)黑洞探測報(bào)文的屬性，一般傳統(tǒng)的TCP-Flood防護(hù)算法就能夠很好的清洗此類攻擊，這塊已經(jīng)沒有太多的技術(shù)門檻。

再后來，ISP也開始在網(wǎng)絡(luò)接入層面啟用URPF策略(注，URPF是一種單播反向路由查找技術(shù)，用于防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為，主要在網(wǎng)絡(luò)接入層面啟用)，以期從大網(wǎng)架構(gòu)層面直接過濾虛假源攻擊。從我們的統(tǒng)計(jì)數(shù)據(jù)來看，URPF起到了一定效果，但仍有漏網(wǎng)之魚，近幾年虛假源Flood依然是DDoS攻擊重要組成(參見綠盟科技?xì)v年DDoS威脅報(bào)告)。

實(shí)際上，虛假源DDoS攻擊也并不是大家想象的那么“簡單”。攻擊者也在不斷思考、改進(jìn)和實(shí)踐虛假源攻擊的實(shí)戰(zhàn)效果，因?yàn)檫@種攻擊的”開銷”實(shí)在是太低了，如果能以低成本的方式打垮對方，又何必去興師動眾發(fā)動更復(fù)雜、更高成本的攻擊(攻擊ROI)?以至于在DDoS攻防對抗史中，出現(xiàn)了一些增強(qiáng)型虛假源DDoS，也可以簡單理解為第一代DDoS的Plus版本。

舉個(gè)例子，大概在2010年，我們發(fā)現(xiàn)攻擊者打出的虛假源攻擊不再全隨機(jī)源了，而是將攻擊源IP偽造為真實(shí)服務(wù)器的地址段，比如偽裝為某省某服務(wù)商的地址段，當(dāng)黑洞去探測這些源IP真實(shí)性的時(shí)候，就很可能誤認(rèn)這些IP是真實(shí)存在的，從而探測算法失效，服務(wù)器崩潰，同時(shí)，這些服務(wù)商還被流量反射了，攻擊者可謂一箭雙雕，從另外一個(gè)角度講，這也算最早期的DDoS反射攻擊，更早于名震四方的的NTP反射。

當(dāng)看到這些增強(qiáng)版攻擊的時(shí)候，黑洞組的同事們都會異常興奮，徹夜研究對策，提升黑洞防御能力。

第二階段，針對知名協(xié)議，DDoS真實(shí)源攻擊

CC攻擊的重大改變在于，它不再簡單利用虛假源發(fā)起攻擊，而是利用真實(shí)源(比如網(wǎng)上的代理服務(wù)器)，對 Web 服務(wù)器發(fā)起攻擊(HTTP)，以耗盡服務(wù)器資源?，F(xiàn)如今，CC攻擊(最早期的CC攻擊是HTTP Flood)已有非常成熟的算法應(yīng)對，比如，黑洞現(xiàn)已經(jīng)內(nèi)置9種CC防護(hù)算法。

廣義上的CC攻擊，應(yīng)該還包括HTTPS 攻擊、慢速攻擊、連接耗盡、空連接攻擊等，萬變不離其宗，它們都有一個(gè)共同點(diǎn)，就是利用真實(shí)源發(fā)起攻擊，攻擊者利用真實(shí)源可跟隨協(xié)議棧行為的特點(diǎn)，使得防御難度加大。

但知名協(xié)議(如HTTP、DNS)有一個(gè)好處，就是大家可以通過研究公開的RFC文檔去了解協(xié)議的每一個(gè)細(xì)節(jié)(黑洞組員癖好之一：喜讀RFC。綠盟科技的技術(shù)人員發(fā)明的不少抗D算法，就是在業(yè)余時(shí)間讀RFC產(chǎn)生的靈感)，而DDoS攻擊和防御的平衡點(diǎn)往往就在毫厘之間，一點(diǎn)就破，不點(diǎn)破就會覺得很高深，其中也有多種算法被友商通過各種途徑驗(yàn)證、學(xué)習(xí)并吸收。

為持續(xù)保持攻/防之間的這一點(diǎn)差距，一方面黑洞的技術(shù)人員潛心進(jìn)行理論研究，保持算法先進(jìn)性，比如在2012年，黑洞就已完全內(nèi)置IPv6多種DDoS防護(hù)算法，提供v4/v6雙棧防御能力，又比如近期火熱的5G DDoS，我們也做了大量技術(shù)儲備;另一方面，我們也會保持與前線(綠盟工程線/業(yè)務(wù)線同事、客戶等)信息、實(shí)戰(zhàn)的關(guān)注，緊跟攻擊變化趨勢。知己知彼，方能立于不敗之地。

除了CC，還是有一些攻擊，是曾讓我們不安的。

第三階段，針對私有協(xié)議，DDoS真實(shí)源攻擊，SDK防護(hù)算法的誕生

對于DDoS防護(hù)設(shè)備，任何無法解碼的流量都可以認(rèn)為是私有協(xié)議流量，極難防御。知名協(xié)議大家還可以通過查看分析RFC，尋找蛛絲馬跡，但當(dāng)面對私有協(xié)議流量的時(shí)候，大家兩眼一抹黑，除了限速不知道怎么辦了，出現(xiàn)了攻守不平衡的局面。

大概在2012 年，黑洞為騰訊當(dāng)時(shí)最火爆的某款游戲(那時(shí)候還沒有王者榮耀)提供抗D防御——吸金的業(yè)務(wù)往往都會招來復(fù)雜且有針對性DDoS攻擊。那段時(shí)間，黑洞組和騰訊安全中心的專家們(creativeLiu、jerrybai、cchen、junjunluo，現(xiàn)在都已是大佬)苦不堪言，但同時(shí)又很亢奮，經(jīng)常探討到深夜。攻擊者的思路、手法都非常高明，很多高階攻擊手段都被用上，這樣的對手難得一見，一度讓我們懷疑攻擊是“內(nèi)行團(tuán)伙”發(fā)起——我們也把這類攻擊叫做游戲CC。

那段時(shí)間，我們先后發(fā)明了業(yè)務(wù)自學(xué)習(xí)Self-learning、XX-Retrans等新算法，成功應(yīng)對了攻擊。

但是俗話說，不怕賊敲門，就怕賊惦記。幾個(gè)月后，算法被突破，游戲又開始出現(xiàn)掉線的情況。

??

圖2 2019年綠盟科技DDoS威脅報(bào)告——攻擊慣犯的數(shù)量占比

游戲CC，是否還有更好的應(yīng)對方案?那段時(shí)間大家激情碰撞，徹夜討論，終于，我們共同發(fā)明了私有協(xié)議DDoS防護(hù)的終極解決辦法(之一)——SDK防護(hù)算法，黑洞上面叫水印算法。水印算法，顧名思義，也就是客戶端在發(fā)送業(yè)務(wù)流量之前，根據(jù)黑洞提供的SDK，將水印嵌入到業(yè)務(wù)流量中，當(dāng)流量經(jīng)過黑洞時(shí)，黑洞根據(jù)水印進(jìn)行識別，達(dá)到精準(zhǔn)清洗的效果。這一技術(shù)的問世，解決了很多無狀態(tài)敏感業(yè)務(wù)(如，游戲、金融等)要求零誤殺、低時(shí)延的業(yè)界難題。

第四階段，超大反射攻擊的出現(xiàn)，出現(xiàn)攻守資源不平衡的局面

2014年，一起峰值達(dá)到400Gbps的NTP反射攻擊震驚全球網(wǎng)絡(luò)，它使得原本小眾的DDoS攻擊進(jìn)入平常人們的視野，超大反射攻擊的出現(xiàn)，從根本上改變了 DDoS 對抗格局。

??

圖3 2017綠盟科技DDoS威脅報(bào)告—反射攻擊流量趨勢圖

2016年，可謂熱鬧非凡。這一年的9月19日，OVH聲稱遭受了一起來自 145607個(gè)網(wǎng)絡(luò)視頻監(jiān)控設(shè)備發(fā)起的峰值最高800Gbps的DDoS攻擊。

緊接著9月20日，KrebsonSecurity遭受峰值達(dá)620Gbps的DDoS攻擊。

10月，黑洞組聯(lián)合綠盟威脅情報(bào)中心(NTI)和綠盟威脅響應(yīng)中心，對外正式發(fā)布《網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)安全報(bào)告》，對此類DDoS攻擊源頭進(jìn)行了深度剖析。

??

圖4 2016年綠盟科技網(wǎng)絡(luò)視頻監(jiān)控安全報(bào)告

我們認(rèn)為，這幾起攻擊均來源于名叫Mirai的僵尸網(wǎng)絡(luò)，據(jù)我們的統(tǒng)計(jì)，當(dāng)時(shí)全球感染Mirai的物聯(lián)網(wǎng)設(shè)備數(shù)量累計(jì)超過200萬，遍布全球90多個(gè)國家和地區(qū)。我們推算了一下，光這一僵尸網(wǎng)絡(luò)就具備發(fā)動峰值超過1.5Tbps 的攻擊能力。后來2016年10月發(fā)生的“北美大面積網(wǎng)絡(luò)癱瘓”事件和11月發(fā)生的“德國大范圍用戶斷網(wǎng)”事件也相繼印證了我們當(dāng)時(shí)的這一觀點(diǎn)。

當(dāng)攻擊者可以較低成本的利用網(wǎng)上資源，將攻擊規(guī)模提升到百 G 甚至上 T的級別，這是極為可怕的，物聯(lián)網(wǎng)等設(shè)備帶來的安全問題給全球的網(wǎng)絡(luò)安全防護(hù)都帶來巨大挑戰(zhàn)。

安全生態(tài)合作

2015年開始，綠盟科技陸續(xù)與電信云堤、騰訊云、阿里云、華為云、浪潮云等云服務(wù)商展開合作，實(shí)現(xiàn)各安全領(lǐng)域的優(yōu)勢能力互補(bǔ)，強(qiáng)強(qiáng)聯(lián)合打造抗D混合清洗等安全方案，為企業(yè)客戶提供最佳防護(hù)方案。既可幫助用戶應(yīng)對復(fù)雜應(yīng)用層混合DDoS攻擊，也可自動化應(yīng)對突發(fā)的超大流量攻擊。同時(shí)，黑洞也為各大云廠商的私有云客戶提供強(qiáng)大的本地DDoS防護(hù)能力，成為私有云整體解決方案的一部分。

打通天地，造就“云 - 地 -人 - 機(jī)”的立體防護(hù)體系

安全事件的偶發(fā)性，注定了產(chǎn)品不可能時(shí)刻都在客戶面前秀肌肉、顯實(shí)力，只在關(guān)鍵時(shí)刻一顯身手。但是，安全專家不是時(shí)時(shí)有、處處有;超大流量云端防御費(fèi)用高，也有流量繞道產(chǎn)生延時(shí)、第三方安全顧慮等問題;安全設(shè)備不是誰都精通，這些都是客觀存在的問題。

如何在關(guān)鍵時(shí)刻一顯身手?綠盟科技在很多年前，就已開始思考并踐行解決這一難題，也就是業(yè)界熟知的 P2SO 戰(zhàn)略。其中，黑洞系列產(chǎn)品就是該戰(zhàn)略的踐行者之一。

2015年，綠盟科技發(fā)布了以智能、敏捷、可運(yùn)營為核心理念的智慧安全2.0戰(zhàn)略，綠盟抗D的整體解決方案的發(fā)展建設(shè)，也是圍繞這個(gè)理念展開。

??

圖5 綠盟科技智慧2.0

看得見的能力——綠盟科技全球DDoS態(tài)勢感知系統(tǒng)(ATM)

2016 年，黑洞組主導(dǎo)的綠盟科技全球 DDoS 態(tài)勢感知系統(tǒng)(ATM)開發(fā)完成。

基于該系統(tǒng)，我們可以實(shí)時(shí)清晰地觀測到網(wǎng)絡(luò)中實(shí)時(shí)發(fā)生的海量 DDoS 攻擊事件，能夠第一時(shí)間知道：誰被打了?被誰打了?怎么打的?打了多久?等等多維信息，此系統(tǒng)也是“由被動響應(yīng)變主動響應(yīng)，由非實(shí)時(shí)變成實(shí)時(shí)，由無數(shù)據(jù)變成有數(shù)據(jù)”戰(zhàn)略的一個(gè)有效實(shí)踐。

現(xiàn)如今，綠盟科技威脅情報(bào)中心NTI每年發(fā)布的《DDoS威脅報(bào)告》，其中就有ATM的貢獻(xiàn)。記得有一年，我司情報(bào)與國際友商 PK 情報(bào)質(zhì)量，其中有一個(gè)測試項(xiàng)就是PK惡意 IP數(shù)據(jù)質(zhì)量，最終的結(jié)果是，綠盟科技的情報(bào)質(zhì)量在數(shù)量、準(zhǔn)確性、新鮮度等方面具備明顯優(yōu)勢。

智能、敏捷、可運(yùn)營

這個(gè)場景可能很多運(yùn)營人員會有體會 ：深夜，某VIP客戶遭受國外黑客組織的大流量 DDoS 攻擊，業(yè)務(wù)受到影響，客戶緊急報(bào)障后經(jīng)過一系列工單流程，最終在攻擊發(fā)生后 20分鐘找到對應(yīng)后端運(yùn)維部門，運(yùn)維部門人員打開電腦—登陸 4A系統(tǒng)—登陸設(shè)備—最終發(fā)起流量清洗指令。最后雖然黑洞成功防御住攻擊，但操作過程還是偏長，客戶的業(yè)務(wù)也已受損。同時(shí)，當(dāng)客戶業(yè)務(wù)正常的時(shí)候，客戶也沒有渠道看到自己的業(yè)務(wù)安全數(shù)據(jù)和態(tài)勢情況。

為幫助運(yùn)營商做好安全增值運(yùn)營能力建設(shè)，在運(yùn)營商專家和綠盟運(yùn)營商事業(yè)部的指導(dǎo)幫助下，黑洞組集中精英研發(fā)力量，一鼓作氣迅速研發(fā)出綠盟流量清洗業(yè)務(wù)運(yùn)營系統(tǒng) ADBOS(Anti-DDoS Business Operation System)，解決了若干過去抗D增值運(yùn)營的痛點(diǎn)，極大提升運(yùn)營效率和客戶感知，打通抗D增值運(yùn)營最后一公里。

黑洞AI 出世

除了ADBOS系統(tǒng)，實(shí)際上我們還做了很多有意思有價(jià)值的事情，篇幅的原因就不具體一一展開描述。

??

圖6 黑洞某平臺架構(gòu)圖

如前所述，我們將DDoS攻擊發(fā)展分為4個(gè)階段，每一個(gè)階段都有鮮明的特點(diǎn)，以及對應(yīng)的最佳的防護(hù)策略，但很多策略都是需要人為配置干預(yù)的，黑洞是否可以自己去生成DDoS算法、調(diào)整策略應(yīng)對攻擊呢?答案是，可以，而且我們的實(shí)踐效果還不錯(cuò)。

2016年，在葉博士以及綠盟系統(tǒng)架構(gòu)部的幫助指導(dǎo)下，我們發(fā)明了一種新的抗D方法/模型，叫做自適應(yīng)擬態(tài)遺傳DDoS防護(hù)算法，時(shí)髦一點(diǎn)的叫法就是AI抗D。

該算法主要使用黑洞防護(hù)過程數(shù)據(jù)進(jìn)行訓(xùn)練，生成動態(tài)攻擊防護(hù)模型庫，在防護(hù)過程中根據(jù)流量模式自動計(jì)算最佳防護(hù)策略和參數(shù)，由機(jī)器自己去判斷哪些流量大概率是攻擊，哪些是業(yè)務(wù)，實(shí)現(xiàn)攻擊流量高速精準(zhǔn)識別和清洗。同時(shí)，云端可在線更新攻擊樣本庫和信譽(yù)數(shù)據(jù)庫，同步到清洗平臺和設(shè)備，實(shí)現(xiàn)“一處被打，多處聯(lián)動”的云化預(yù)警和防護(hù)機(jī)制，大大提高 DDoS 攻擊的檢測和清洗效率。

此外，為提升運(yùn)營效率，我們將動態(tài)相似性聚類算法和自動協(xié)同防護(hù)模型引入到日常運(yùn)維工作中， 基于動態(tài)聚類的流量檢測及牽引聯(lián)動模型，在傳統(tǒng)的正常流量建?；A(chǔ)上，引入攻擊數(shù)據(jù)進(jìn)行建模，使得海量用戶可進(jìn)行自動聚類分組，并結(jié)合“流量監(jiān)控+受保護(hù)服務(wù)”多維檢測機(jī)制，配合智能研判實(shí)現(xiàn)數(shù)據(jù)流的自動牽引與復(fù)原， 當(dāng)有主機(jī)受到攻擊時(shí)，具備流量相似性及受攻擊相似性的同聚類組其它主機(jī)也可預(yù)先進(jìn)入防護(hù)準(zhǔn)備狀態(tài)。通過這一系列方法和手段，每一臺黑洞的清洗精度和準(zhǔn)確度，就可以在實(shí)戰(zhàn)中不斷得到增強(qiáng)，無需人工介入。

2016年，基于綠盟黑洞ADS、ADBOS平臺以及多項(xiàng)專利防護(hù)算法等成果，綠盟科技和廣東電信客戶聯(lián)合申報(bào)并獲得了廣東省科學(xué)進(jìn)步三等獎(jiǎng)。2018年，基于ADBOS平臺的北京移動清洗項(xiàng)目成為工信部的電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全試點(diǎn)示范項(xiàng)目，并在 2019 年工信部試點(diǎn)示范項(xiàng)目推介會上與各級主管機(jī)構(gòu)，各行業(yè)客戶等進(jìn)行經(jīng)驗(yàn)交流。

實(shí)際上，不僅是在運(yùn)營商行業(yè)，黑洞在金融、游戲、政企、教育等行業(yè)均有最廣泛的部署和應(yīng)用，得到客戶廣泛認(rèn)可。根據(jù)第三方分析機(jī)構(gòu) Frost&Sullivan 在2019 年 最 新 發(fā) 布 的《DDoS China Market Ranking Statement,CY2018》 和《DDoS Greater China Market Ranking Statement，CY2018》兩份市場報(bào)告：綠盟抗拒絕服務(wù)系統(tǒng) ADS(黑洞) 以市場占有率 21.2% 和 15.5% 的份額，名列大中華區(qū)及中國地區(qū)雙第一。這也是黑洞在該報(bào)告中連續(xù)五年排名第一。

??

圖7 黑洞若干獲獎(jiǎng)圖

在海外市場，綠盟科技黑洞也收獲不斷。2017 年 3 月，英國倫敦智能混合 DDoS 防御解決方案提供商 NSFOCUS 被授予“2017 年歐洲 IT &軟件(www.iteawards.com)年度最佳安全解決方案獎(jiǎng)?！迸c此同時(shí)，綠盟科技也是“年度公共部門與公用事業(yè)解決方案”和“年度安全供應(yīng)商”兩項(xiàng)大獎(jiǎng)的決賽入圍者，這是綠盟科技第一次同時(shí)入圍三個(gè)國際安全獎(jiǎng)項(xiàng)。

經(jīng)過海內(nèi)外綠盟人的不斷努力，現(xiàn)如今綠盟科技黑洞的國際客戶名單中，已經(jīng)不乏Telefonica、TM、AIS等國際大牌運(yùn)營商，收獲滿滿。

??

圖8 部分綠盟科技黑洞海外客戶

十八年，作為綠盟科技產(chǎn)品中的一員，黑洞從當(dāng)時(shí)只有10M清洗能力的單機(jī)產(chǎn)品，發(fā)展到今天分布式機(jī)框和云化的黑洞，黑洞能力已全球無處不在，黑洞每分每秒都在為全球用戶抵御攻擊，保障用戶業(yè)務(wù)安全。我們相信，過硬的技術(shù)和服務(wù)是終極的營銷手段，正如葉博士所說，過去打補(bǔ)丁、串葫蘆的方式無法解決用戶安全問題，需要對安全進(jìn)行體系化的設(shè)計(jì)和落地。綠盟科技始終保持對最佳安全實(shí)踐的關(guān)注，持續(xù)對國內(nèi)外先進(jìn)的安全架構(gòu)進(jìn)行跟蹤研究，將最新的研究成果和實(shí)戰(zhàn)經(jīng)驗(yàn)，實(shí)現(xiàn)在智能安全運(yùn)營平臺及相關(guān)的產(chǎn)品上，為客戶提供優(yōu)質(zhì)的產(chǎn)品和方案。

最后，祝綠盟科技 20 歲生日快樂!黑洞18歲生日快樂!