實戰分享：AI+流量分析，騰訊雲如何打造面向將來的安全防護體系

「流量是一個看不見的東西，又無處不在。」若是將安全攻防對抗比做一場戰鬥，流量就是一個出色的「情報員」，掌控着敵方各類入侵動做及意圖，並以最快的速度同步「指揮官」，協助指揮官作出正確戰略決策，奪取勝利。

8月20日，XCon2020安全焦點信息安全技術峯會在北京舉行。會上，騰訊雲DDoS防禦團隊分享了將流量分析應用於攻防對抗的騰訊內部實戰案例，並介紹了騰訊內部工程化的縱深防護體系。

經過挖掘流量的安全能力，將各個安全系統有效串聯，構建多層防線的縱深防護體系，騰訊雲搭建了面向將來的安全防護「堡壘」，造成「團戰」的力量。

安全攻防進入深水區，縱深防護是基礎

隨着5G時代的到來，網絡環境正在經歷鉅變，企業也在面向數字化雲化轉型。與之相對，黑客攻擊手法也在不斷演進：模擬真人、多源低頻、APT等各種攻擊手段層出不窮，企業安全建設面臨新的挑戰。

傳統企業的安全體系建設，每每經過疊加多種基礎安全產品進行防禦，如網絡層防DDoS攻擊、主機層防入侵、應用層防漏洞等。想象中的狀況是各個版塊各展所長，然而實際狀況每每倒是各層系統信息不互通、碎片化、各自爲戰，不可避免形成「安全盲區」的存在。

在嚴峻的安全攻防形勢下，企業必需要將各個安全系統有效串聯，造成牽一髮而動全身的防禦效果——這就是多層防線的縱深防護體系。

騰訊安全工程師鄧之珺、彭晨晨介紹到，目前，騰訊已創建起總體化的多層智能縱深防護體系，涵蓋DDoS防禦、DNS劫持等網絡安全，web風險監控、注入檢測、代碼審計等應用安全，木馬通信檢測、基線監控等主機安全，合規監控、全程票據等數據安全，經過流量分析進行有效串聯，並具有多層佈防能力。

（圖：騰訊雲DDoS防禦團隊多層智能防護體系）

1+1＞2，流量分析是關鍵

多層防線的縱深防護體系有效解決了各系統割裂的問題，造成「1+1＞2」的效果。這其中，流量做爲一個「紐帶」，扮演了重要的角色。

今年上半年，騰訊處理了一次攻擊流量峯值高達260W qps的HTTPS CC攻擊，經過流量分析，實現了秒級響應，調用防禦設備進行流量清洗，成功保障了平臺穩定。過後，經過流量分析進行溯源取證，並做爲威脅情報返回給縱深防護體系中的其餘環節，達成安全聯防。

除此以外，騰訊在高危服務開放、管理後臺識別等漏洞收斂領域，探測掃描、爆破嘗試、木馬通信等入侵檢測領域也有相關佈局。

騰訊雲DDoS防禦團隊發現，流量分析對於及時感知新型攻擊也具備獨有的優點，好比團隊曾在某個CVE公開一個小時內就成功捕獲了針對該漏洞的少許攻擊。同時流量自己做爲蜜罐(一種對攻擊方進行欺騙的技術)，在流量中構建一系列通用捕獲模型，也可發現未知攻擊和隱蔽攻擊，例如針對0 day和APT的挖掘。

能夠說，流量分析的有效應用，已成爲企業安全攻防對抗的下一個路口。「流量+」的應用落地將大大提高企業的安全能力。

流量分析+AI，從「被動應對」到「主動進化」

安全建設是一場永無止境的攻防戰，攻擊手法和防護手段此消彼長、交替升級。面對更爲複雜多變的攻擊手法，騰訊不斷挖掘流量分析的更多應用場景，結合大數據、AI 等技術，對不一樣安全場景進行精細化分析。

例如，在攻防研究中，騰訊將AI技術與流量分析結合，用於Web管理後臺的識別，必定程度上改善了傳統掃描器方案誤報和漏報等問題，提高了靈活性和判斷能力。同時，騰訊也在探索AI與入侵檢測、漏洞收斂等技術的結合。

面對攻防對抗中「降本增效」的要求，騰訊雲DDoS防禦團隊經過AI算法學習經驗數據，造成具有自學習、自進化、自適應特性的流量模型，將‘被動應對’發展成爲‘主動進化’，進一步加強了攻防能力。