大數(shù)據(jù)分析，鑄就云清洗商業(yè)新模式

　　2014年6月2日，美國司法部和FBI宣布，經(jīng)與多國警方及安全公司聯(lián)手，成功摧毀了GameOver Zeus僵尸網(wǎng)絡(luò)，并以入侵電腦、有線網(wǎng)絡(luò)欺詐、銀行欺詐和洗錢等罪名對幕后黑客提起刑事訴訟。

　　最早出現(xiàn)于2011年9月的GameOver Zeus是Zeus僵尸網(wǎng)絡(luò)的變種，它摒棄了Zeus基于HTTP的集中控制架構(gòu)，采用P2P架構(gòu)，比Zeus更加隱蔽。GameOver Zeus通過垃圾郵件或釣魚網(wǎng)站傳播，全球受其感染的電腦在50~100萬臺之間。GameOver Zeus一旦植入個人電腦，就會搜集受害者的銀行賬戶密碼信息，接收控制端的指令將這些信息傳回給幕后的犯罪頭目，最后將用戶賬戶里的錢搬到海外賬戶。FBI估計，GameOver Zeus已造成全球超過1億美元的損失，這也是FBI及合作業(yè)者對付過的最復(fù)雜的僵尸網(wǎng)絡(luò)。

　　網(wǎng)絡(luò)攻擊泛濫：云數(shù)據(jù)中心安全堪憂

　　這僅僅是冰山一角，事實(shí)上僵尸網(wǎng)絡(luò)已經(jīng)變得更易擴(kuò)展，平臺更趨于多樣性。Windows不再是僵尸網(wǎng)絡(luò)感染的唯一平臺，很多流行僵尸趨于選擇Linux、Mac、Apple iOS、Android平臺寄宿，越流行或者越有價值的應(yīng)用，感染的幾率越大。比如2013年中期開始流行的Apple iOS和Android版本的“Flappy Bird”游戲，在很短的時間內(nèi)就出現(xiàn)了數(shù)百個克隆版本，其中80%包含惡意代碼。

　　傳統(tǒng)數(shù)據(jù)中心的托管服務(wù)器經(jīng)常疏于監(jiān)管，淪為發(fā)起超大流量DDoS攻擊的僵尸。云數(shù)據(jù)中心同樣不安全，Distil Networks發(fā)布的《The Bad Bot Landscape Report Q1 2014》指出，在Amazon云流量中79.18%是惡意Bot的攻擊流量。僵尸網(wǎng)絡(luò)的泛濫呈現(xiàn)增大的趨勢，同時更善于偽裝，商業(yè)趨利目的也更加明確。僵尸網(wǎng)絡(luò)的網(wǎng)絡(luò)行為最常見的危害就是DDoS攻擊，DDoS攻擊具備高度模擬互聯(lián)網(wǎng)訪問行為的特點(diǎn)，以防止安全設(shè)備的追蹤和過濾。

　　DDoS攻擊：影響遠(yuǎn)甚于其它任何網(wǎng)絡(luò)攻擊

　　DDoS攻擊對互聯(lián)網(wǎng)業(yè)務(wù)的影響要遠(yuǎn)比其它任何網(wǎng)絡(luò)攻擊猛烈。隨著云計算的普及和互聯(lián)網(wǎng)業(yè)務(wù)云化，DDoS攻擊正變得越來越猖獗，一旦攻擊目標(biāo)被鎖定，針對其IP和域名的DDoS攻擊就會交替上演，而且攻擊也趨向于APT（Advanced Persistent Threat，高級持續(xù)性威脅）化。比如因惡性競爭導(dǎo)致的、在購物旺季持續(xù)針對各種電子商務(wù)網(wǎng)站的DDoS攻擊，會直接造成網(wǎng)站點(diǎn)擊響應(yīng)變慢、甚至網(wǎng)頁無法打開，顧客因無法忍受超慢的購物體驗(yàn)，轉(zhuǎn)而選擇其它網(wǎng)站購物；針對客戶群巨大的游戲平臺的DDoS攻擊同樣會導(dǎo)致客戶流失；再如世界杯足球賽等重大體育賽事期間，超大流量的DDoS攻擊會將目標(biāo)瞄準(zhǔn)各類博彩網(wǎng)站，且持續(xù)整個賽事周期。

　　從2014年華為安全中心統(tǒng)計的數(shù)據(jù)看，幾乎每個月都會發(fā)生超過數(shù)百G的DDoS攻擊，攻擊流量峰值帶寬一再被刷新，2014年年初為400Gbps，年底已經(jīng)達(dá)到500Gbps（2014年12月20日，針對中國某云數(shù)據(jù)中心托管的游戲業(yè)務(wù)的DDoS攻擊持續(xù)了14個小時）。DDoS攻擊不僅危害了企業(yè)的業(yè)務(wù)，而且給公有云數(shù)據(jù)中心的運(yùn)營帶來了巨大壓力，對電信運(yùn)營商的業(yè)務(wù)帶寬帶來了持續(xù)的開銷和消耗。甚至于全球Tier-1骨干運(yùn)營商也開始尋求在攻擊源頭快速過濾攻擊流量的“clean pipe”方案，以遏制日益猖獗的DDoS攻擊流量對網(wǎng)絡(luò)的沖擊。

　　究其原因，僵尸網(wǎng)絡(luò)的泛濫是因?yàn)槿狈τ行ПO(jiān)管的網(wǎng)吧主機(jī)、數(shù)據(jù)中心服務(wù)器、互聯(lián)網(wǎng)免費(fèi)代理服務(wù)器、廉價的云數(shù)據(jù)中心虛擬機(jī)等被大量植入惡意軟件成為僵尸網(wǎng)絡(luò)，形成了DDoS攻擊不斷發(fā)展壯大的溫床。因此，2014年公有云數(shù)據(jù)中心最大的網(wǎng)絡(luò)安全風(fēng)險是面臨著雙向DDoS的攻擊威脅——從外而至的Inbound DDoS攻擊直接危及下行帶寬和在線業(yè)務(wù)的可用性，而從內(nèi)而發(fā)的Outbound DDoS則直接危及數(shù)據(jù)中心內(nèi)上行帶寬及云數(shù)據(jù)中心的聲譽(yù)，很多數(shù)據(jù)中心已經(jīng)淪為僵尸網(wǎng)絡(luò)的宿主地和垃圾池。

　　大數(shù)據(jù)：解決DDoS網(wǎng)絡(luò)攻擊的威脅

　　如何解決DDoS網(wǎng)絡(luò)攻擊的威脅？這需要跨出傳統(tǒng)DDoS防御的視角，將本地防御的檢測和清洗設(shè)備與全網(wǎng)的流量節(jié)點(diǎn)結(jié)合起來，實(shí)現(xiàn)統(tǒng)一的大數(shù)據(jù)安全管理和調(diào)度控制，才能真正解決安全問題和風(fēng)險。其中大數(shù)據(jù)安全是分層次實(shí)現(xiàn)的。

• 第一層：本地DDoS檢測和清洗設(shè)備，其要具備大數(shù)據(jù)分析基因，能防御多種應(yīng)用型DDoS攻擊。包括支持逐包檢測、流量分析模型可以不斷擴(kuò)展和豐富、本地的實(shí)時及位置IP信譽(yù)識別、動態(tài)/靜態(tài)的攻擊流量指紋機(jī)器學(xué)習(xí)等功能，以及高性能的硬件平臺運(yùn)算能力和高擴(kuò)展性。
• 第二層：本地DDoS檢測和清洗設(shè)備要能及時更新來自于安全智能中心的全球僵尸網(wǎng)絡(luò)IP信譽(yù)庫。

　　第三層：建立全球大數(shù)據(jù)安全SoC平臺，實(shí)現(xiàn)基于立體的防御體系。包括：
　　首先，構(gòu)建全球清洗中心布局，在歐洲、北美、亞太、中國等攻擊發(fā)起的密集區(qū)部署，實(shí)現(xiàn)全球聯(lián)動、近源清洗——在阿姆斯特丹、莫斯科、北京、新加坡、洛杉磯和邁阿密構(gòu)筑核心節(jié)點(diǎn)，實(shí)現(xiàn)全球DDoS攻擊數(shù)據(jù)的大數(shù)據(jù)分析，形成統(tǒng)一集中調(diào)度和清洗策略下發(fā)。

　　其次，在國際關(guān)口局、互聯(lián)互通口、大帶寬IDC中心部署DDoS清洗設(shè)備，并與全球清洗中心聯(lián)動，實(shí)現(xiàn)源頭清洗和就近近源引流。

　　最后，在IDC邊界和IDC內(nèi)部部署本地清洗設(shè)備與vFW，實(shí)現(xiàn)IDC東西向和南北向流量的完整DDoS防護(hù)方案，大流量的DDoS攻擊將會觸發(fā)云清洗中心的近源清洗。

　　最重要的是：通過全球統(tǒng)一的大數(shù)據(jù)安全SoC平臺實(shí)現(xiàn)DDoS云清洗商業(yè)聯(lián)盟，真正全網(wǎng)聯(lián)動，用大數(shù)據(jù)的思想，實(shí)現(xiàn)全球協(xié)同防御和商業(yè)利益共享。

　　大數(shù)據(jù)時代已經(jīng)到來，大數(shù)據(jù)正在以一種創(chuàng)新的方式改變著安全領(lǐng)域，通過大數(shù)據(jù)技術(shù)，可以有效構(gòu)筑DDoS云清洗商業(yè)解決方案，為未來云計算、互聯(lián)網(wǎng)的發(fā)展消除DDoS安全隱患發(fā)揮出巨大的商業(yè)價值。