“流量是一個看不見的東西，又無處不在。”如果將安全攻防對抗比作一場戰(zhàn)斗，流量就是一個出色的“情報員”，掌控著敵方各種入侵動作及意圖，并以最快的速度同步“指揮官”，協(xié)助指揮官做出正確戰(zhàn)略決策，奪取勝利。

8月20日，XCon2020安全焦點信息安全技術(shù)峰會在北京舉行。會上，騰訊云DDoS防護團隊分享了將流量分析應(yīng)用于攻防對抗的騰訊內(nèi)部實戰(zhàn)案例，并介紹了騰訊內(nèi)部工程化的縱深防御體系。

通過挖掘流量的安全能力，將各個安全系統(tǒng)有效串聯(lián)，構(gòu)建多層防線的縱深防御體系，騰訊云搭建了面向未來的安全防御“堡壘”，形成“團戰(zhàn)”的力量。

安全攻防進入深水區(qū)，縱深防御是基礎(chǔ)

隨著5G時代的到來，網(wǎng)絡(luò)環(huán)境正在經(jīng)歷巨變，企業(yè)也在面向數(shù)字化云化轉(zhuǎn)型。與之相對，黑客攻擊手法也在不斷演進：模擬真人、多源低頻、APT等各類攻擊手段層出不窮，企業(yè)安全建設(shè)面臨新的挑戰(zhàn)。

傳統(tǒng)企業(yè)的安全體系建設(shè)，往往通過疊加多種基礎(chǔ)安全產(chǎn)品進行防護，如網(wǎng)絡(luò)層防DDoS攻擊、主機層防入侵、應(yīng)用層防漏洞等。想象中的情況是各個版塊各展所長，然而實際情況往往卻是各層系統(tǒng)信息不互通、碎片化、各自為戰(zhàn)，不可避免造成“安全盲區(qū)”的存在。

在嚴(yán)峻的安全攻防形勢下，企業(yè)必須要將各個安全系統(tǒng)有效串聯(lián)，形成牽一發(fā)而動全身的防護效果——這就是多層防線的縱深防御體系。

騰訊安全工程師鄧之珺、彭晨晨介紹到，目前，騰訊已建立起整體化的多層智能縱深防御體系，涵蓋DDoS防護、DNS劫持等網(wǎng)絡(luò)安全，web風(fēng)險監(jiān)控、注入檢測、代碼審計等應(yīng)用安全，木馬通訊檢測、基線監(jiān)控等主機安全，合規(guī)監(jiān)控、全程票據(jù)等數(shù)據(jù)安全，通過流量分析進行有效串聯(lián)，并具備多層布防能力。

(圖：騰訊云DDoS防護團隊多層智能防御體系)

1+1>2，流量分析是關(guān)鍵

多層防線的縱深防御體系有效解決了各系統(tǒng)割裂的問題，形成“1+1>2”的效果。這其中，流量作為一個“紐帶”，扮演了重要的角色。

今年上半年，騰訊處理了一次攻擊流量峰值高達260W qps的HTTPS CC攻擊，通過流量分析，實現(xiàn)了秒級響應(yīng)，調(diào)用防護設(shè)備進行流量清洗，成功保障了平臺穩(wěn)定。事后，通過流量分析進行溯源取證，并作為威脅情報返回給縱深防御體系中的其他環(huán)節(jié)，達成安全聯(lián)防。

除此之外，騰訊在高危服務(wù)開放、管理后臺識別等漏洞收斂領(lǐng)域，探測掃描、爆破嘗試、木馬通訊等入侵檢測領(lǐng)域也有相關(guān)布局。

騰訊云DDoS防護團隊發(fā)現(xiàn)，流量分析對于及時感知新型攻擊也具有獨有的優(yōu)勢，比如團隊曾在某個CVE公開一個小時內(nèi)就成功捕獲了針對該漏洞的少量攻擊。同時流量本身作為蜜罐(一種對攻擊方進行欺騙的技術(shù))，在流量中構(gòu)建一系列通用捕獲模型，也可發(fā)現(xiàn)未知攻擊和隱蔽攻擊，例如針對0 day和APT的挖掘。

可以說，流量分析的有效應(yīng)用，已成為企業(yè)安全攻防對抗的下一個路口。“流量+”的應(yīng)用落地將大大提升企業(yè)的安全能力。

流量分析+AI，從“被動應(yīng)對”到“主動進化”

安全建設(shè)是一場永無止境的攻防戰(zhàn)，攻擊手法和防御手段此消彼長、交替升級。面對更為復(fù)雜多變的攻擊手法，騰訊不斷挖掘流量分析的更多應(yīng)用場景，結(jié)合大數(shù)據(jù)、AI 等技術(shù)，對不同安全場景進行精細化分析。

例如，在攻防研究中，騰訊將AI技術(shù)與流量分析結(jié)合，用于Web管理后臺的識別，一定程度上改善了傳統(tǒng)掃描器方案誤報和漏報等問題，提升了靈活性和判斷能力。同時，騰訊也在探索AI與入侵檢測、漏洞收斂等技術(shù)的結(jié)合。

面對攻防對抗中“降本增效”的要求，騰訊云DDoS防護團隊通過AI算法學(xué)習(xí)經(jīng)驗數(shù)據(jù)，形成具備自學(xué)習(xí)、自進化、自適應(yīng)特性的流量模型，將‘被動應(yīng)對’發(fā)展成為‘主動進化’，進一步增強了攻防能力。