專訪鐵花：阿里「霸下」，七層流量清洗平臺的應用場景解讀

摘要：

在阿里巴巴技術協會、雲棲社區聯合主辦並獨家直播的《2017阿里雙11技術十二講》上，阿里巴巴資深技術專家鐵花將分享話題《霸下——七層流量清洗》。

12月13-14日19:30，阿里巴巴技術協會、雲棲社區聯合主辦並獨家直播的《2017阿里雙11技術十二講》將強勢來襲。本次雙11在線技術論壇將專一更深的科技層面，全方面展示時代更迭下的全新黑科技，帶你詳細瞭解2017阿里雙11背後的技術，併爲你提供與一線專家面對面溝通學習的機會。雲棲社區直播報名直通車。

在本次峯會中，阿里巴巴資深技術專家鐵花將分享話題《霸下——七層流量清洗》，阿里巴巴集團網絡層惡意流量清洗產品「霸下」可以將全部請求中夾雜的CC攻擊、Web攻擊、爬蟲、機器刷單等惡意流量進行清洗，從而保障業務系統在超負載運行狀態下的安全。在此以前，筆者對其進行了專訪，一塊兒探討了七層流量清洗的理念特色、技術和功能框架以及應用案例等內容。

阿里巴巴資深技術專家 鐵花

鐵花，06年加入阿里巴巴，08年開始從事安全相關工做，淘寶最先SDL的創建及實施人、淘寶第一代web安全解決方案及開發框架的主要開發、安全靜態代碼掃描平臺的建立者。All in無線曾負責來往事業部總體服務端團隊及總體技術業務安全，內部IM即時通信雲平臺主要設計者之一。目前在安所有負責安全技術平臺產品體系搭建及基礎安全開發，正在着重進行的有安全技術平臺產品的中臺輸出建設、基礎架構霸下技術體系建設以及集團重大活動保障。

流量清洗概述

流量清洗，即網絡層惡意流量清洗（Anti Malicious Network Traffic），是指針對經過網絡層訪問業務的全部網絡流量，進行"祛除糟粕、留下精華、去僞存真"的清洗，保障達到業務系統的流量，沒有外部的攻擊和非人的惡意流量。從業務場景來講，流量清洗應涵蓋DDoS攻擊防禦、CC攻擊防禦、Web攻擊防禦、批量機器行爲防護、業務安全/風控、網絡限流等防禦能力。傳統的流量清洗方案雖然在業務的整條鏈路上部署大量的安全產品，可是也帶來了部署維護和人員運營成本大、防禦能力弱、數據損耗等一系列的問題。

鐵花表示，對比當下現有的惡意流量清洗平臺，霸下——七層流量清洗呈現出全新的特徵：首先是精細化場景，面對的再也不是某個單一的技術點攻擊而是某個場景下的複雜鏈路攻擊，因此對應的防護平臺也須要針對不一樣的相似場景進行抽象優化；其次是全鏈路數據打通，從客戶端到網絡鏈接層到業務層全部的數據都貫通一體進行分析和算法建模，能夠達到最優效果；而後是智能化，當前平臺已有部分策略模型開始智能化的調整，自動化的進行防護。

對於DDoS、惡意漏洞掃描等常見的惡意流量，業界常規的應對手段有防DDoS系統、相似WAF的web防火牆、以及一些安全公司所提供的盒子類防火牆產品等等。阿里巴巴在這些常規手段以外，還經過精細化場景縱橫數據打通智能化的處置處理，可以在網絡層有效抵抗黑灰產帶來的惡意攻擊。

最新應用成果

目前，霸下——七層流量清洗負責了阿里巴巴集團的全部網絡層流量清洗和保障工做。2017年雙11，其處理了峯值2000萬QPS的流量，保障到達核心交易系統的流量純淨度大於99.85%。

「今年的雙11是歷年來最順滑、保障效果最突出的一年，背後絕對不是單獨的某一個系統或某一個平臺的功勞」。鐵花認爲，安全的業務比較特殊，能取得如此好的成績必須依靠線上線下造成有效的聯動，從端到業務各個環節通盤考慮，穩定可靠的系統平更是不可或缺的。

功能及技術解讀

得益於阿里複雜和快速發展的業務，打造對應的安全體系具備極大的難度和挑戰，不只須要知足基本的業務前提，還要加上對於將來判斷的思考，以及在安全、性能和用戶體驗這三者間達到平衡。

「在安全分析上，咱們有專門的安全威脅建模團隊，針對一個產品或業務用到的技術點設計業務邏輯；對於性能的要求尤爲是針對關鍵鏈路，咱們會在業務可接受的限定範圍內完成安全的計算和攔截，好比3ms內的延遲及限定的內存消耗；在用戶體驗上，咱們會更多地關注策略模型的準確性，對全部的策略提出高準確率的要求，一旦監控發現準確率太低、不正常就能夠作到自動下線規則。」

霸下——七層流量清洗的功能架構

將來展望

如上面所述，人工智能在阿里巴巴安全方面的運用也已經提上了日程。雖然目前與團隊設想的人工智能前景還有很大的差距，可是產品已經開始嘗試智能化應用，並往人工智能的方向不斷髮展。將來的網絡安全，相信也會變成黑灰產AI與安全防護AI之間的最終對抗。

鐵花最後表示，在本次雙11在線技術論壇中，他將詳細介紹阿里巴巴主要的防護產品平臺霸下——七層流量清洗是如何設計和解決安全問題的，歡迎感興趣的小夥伴報名圍觀。