專訪鐵花：阿里「霸下」，七層流量清洗平台的應用場景解讀

12月13-14日19:30，阿里巴巴技術協會、雲棲社區聯合主辦並獨家直播的《2017阿里雙11技術十二講》將強勢來襲。本次雙11在線技術論壇將專註更深的科技層面，全方面展現時代更迭下的全新黑科技，帶你詳細了解2017阿里雙11背後的技術，並為你提供與一線專家面對面溝通學習的機會。雲棲社區直播報名直通車。

在本次峰會中，阿里巴巴資深技術專家鐵花將分享話題《霸下——七層流量清洗》，阿里巴巴集團網路層惡意流量清洗產品「霸下」能夠將所有請求中夾雜的CC攻擊、Web攻擊、爬蟲、機器刷單等惡意流量進行清洗，從而保障業務系統在超負載運行狀態下的安全。在此之前，筆者對其進行了專訪，一起探討了七層流量清洗的理念特點、技術和功能框架以及應用案例等內容。

鐵花，06年加入阿里巴巴，08年開始從事安全相關工作，淘寶最早SDL的建立及實施人、淘寶第一代web安全解決方案及開發框架的主要開發、安全靜態代碼掃描平台的創建者。All in無線曾負責來往事業部整體服務端團隊及整體技術業務安全，內部IM即時通訊雲平台主要設計者之一。目前在安全部負責安全技術平台產品體系搭建及基礎安全開發，正在著重進行的有安全技術平台產品的中台輸出建設、基礎架構霸下技術體系建設以及集團重大活動保障。

流量清洗概述

流量清洗，即網路層惡意流量清洗（Anti Malicious Network Traffic），是指針對通過網路層訪問業務的所有網路流量，進行"祛除糟粕、留下精華、去偽存真"的清洗，保障達到業務系統的流量，沒有外部的攻擊和非人的惡意流量。從業務場景來說，流量清洗應涵蓋DDoS攻擊防護、CC攻擊防護、Web攻擊防護、批量機器行為防禦、業務安全/風控、網路限流等防護能力。傳統的流量清洗方案雖然在業務的整條鏈路上部署大量的安全產品，但是也帶來了部署維護和人員運營成本大、防護能力弱、數據損耗等一系列的問題。

鐵花表示，對比當下現有的惡意流量清洗平台，霸下——七層流量清洗呈現出全新的特徵：首先是精細化場景，面對的不再是某個單一的技術點攻擊而是某個場景下的複雜鏈路攻擊，所以對應的防禦平台也需要針對不同的類似場景進行抽象優化；其次是全鏈路數據打通，從客戶端到網路連接層到業務層所有的數據都貫通一體進行分析和演算法建模，可以達到最優效果；然後是智能化，當前平台已有部分策略模型開始智能化的調整，自動化的進行防禦。

對於DDoS、惡意漏洞掃描等常見的惡意流量，業界常規的應對手段有防DDoS系統、類似WAF的web防火牆、以及一些安全公司所提供的盒子類防火牆產品等等。阿里巴巴在這些常規手段之外，還通過精細化場景縱橫數據打通智能化的處置處理，能夠在網路層有效抵抗黑灰產帶來的惡意攻擊。

最新應用成果

目前，霸下——七層流量清洗負責了阿里巴巴集團的所有網路層流量清洗和保障工作。2017年雙11，其處理了峰值2000萬QPS的流量，保障到達核心交易系統的流量純凈度大於99.85%。

「今年的雙11是歷年來最順滑、保障效果最突出的一年，背後絕對不是單獨的某一個系統或某一個平台的功勞」。鐵花認為，安全的業務比較特殊，能取得如此好的成績必須依靠線上線下形成有效的聯動，從端到業務各個環節通盤考慮，穩定可靠的系統平更是不可或缺的。

功能及技術解讀

得益於阿里複雜和快速發展的業務，打造對應的安全體系具有極大的難度和挑戰，不僅需要滿足基本的業務前提，還要加上對於未來判斷的思考，以及在安全、性能和用戶體驗這三者間達到平衡。

「在安全分析上，我們有專門的安全威脅建模團隊，針對一個產品或業務用到的技術點設計業務邏輯；對於性能的要求尤其是針對關鍵鏈路，我們會在業務可接受的限定範圍內完成安全的計算和攔截，比如3ms內的延遲及限定的內存消耗；在用戶體驗上，我們會更多地關注策略模型的準確性，對所有的策略提出高準確率的要求，一旦監控發現準確率過低、不正常就可以做到自動下線規則。」

未來展望

如上面所述，人工智慧在阿里巴巴安全方面的運用也已經提上了日程。雖然目前與團隊設想的人工智慧前景還有很大的差距，但是產品已經開始嘗試智能化應用，並往人工智慧的方向不斷發展。未來的網路安全，相信也會變成黑灰產AI與安全防禦AI之間的最終對抗。

鐵花最後表示，在本次雙11在線技術論壇中，他將詳細介紹阿里巴巴主要的防禦產品平台霸下——七層流量清洗是如何設計和解決安全問題的，歡迎感興趣的小夥伴報名圍觀。

預約直播請點擊：2017阿里巴巴雙11技術十二講

原文

更多技術乾貨敬請關注云棲社區知乎機構號：阿里云云棲社區 - 知乎

推薦閱讀：