首页 > 新闻 > 专家观点 >

大数据分析,铸就云清洗商业新模式

2015-06-05 10:41:20   作者:华为交换机与企业通信产品线安全网关领域总经理 刘立柱   来源:   评论:0  点击:


  2014年6月2日,美国司法部和FBI宣布,经与多国警方及安全公司联手,成功摧毁了GameOver Zeus僵尸网络,并以入侵电脑、有线网络欺诈、银行欺诈和洗钱等罪名对幕后黑客提起刑事诉讼。

  最早出现于2011年9月的GameOver Zeus是Zeus僵尸网络的变种,它摒弃了Zeus基于HTTP的集中控制架构,采用P2P架构,比Zeus更加隐蔽。GameOver Zeus通过垃圾邮件或钓鱼网站传播,全球受其感染的电脑在50~100万台之间。GameOver Zeus一旦植入个人电脑,就会搜集受害者的银行账户密码信息,接收控制端的指令将这些信息传回给幕后的犯罪头目,最后将用户账户里的钱搬到海外账户。FBI估计,GameOver Zeus已造成全球超过1亿美元的损失,这也是FBI及合作业者对付过的最复杂的僵尸网络。

  网络攻击泛滥:云数据中心安全堪忧

  这仅仅是冰山一角,事实上僵尸网络已经变得更易扩展,平台更趋于多样性。Windows不再是僵尸网络感染的唯一平台,很多流行僵尸趋于选择Linux、Mac、Apple iOS、Android平台寄宿,越流行或者越有价值的应用,感染的几率越大。比如2013年中期开始流行的Apple iOS和Android版本的“Flappy Bird”游戏,在很短的时间内就出现了数百个克隆版本,其中80%包含恶意代码。

  传统数据中心的托管服务器经常疏于监管,沦为发起超大流量DDoS攻击的僵尸。云数据中心同样不安全,Distil Networks发布的《The Bad Bot Landscape Report Q1 2014》指出,在Amazon云流量中79.18%是恶意Bot的攻击流量。僵尸网络的泛滥呈现增大的趋势,同时更善于伪装,商业趋利目的也更加明确。僵尸网络的网络行为最常见的危害就是DDoS攻击,DDoS攻击具备高度模拟互联网访问行为的特点,以防止安全设备的追踪和过滤。

  DDoS攻击:影响远甚于其它任何网络攻击

  DDoS攻击对互联网业务的影响要远比其它任何网络攻击猛烈。随着云计算的普及和互联网业务云化,DDoS攻击正变得越来越猖獗,一旦攻击目标被锁定,针对其IP和域名的DDoS攻击就会交替上演,而且攻击也趋向于APT(Advanced Persistent Threat,高级持续性威胁)化。比如因恶性竞争导致的、在购物旺季持续针对各种电子商务网站的DDoS攻击,会直接造成网站点击响应变慢、甚至网页无法打开,顾客因无法忍受超慢的购物体验,转而选择其它网站购物;针对客户群巨大的游戏平台的DDoS攻击同样会导致客户流失;再如世界杯足球赛等重大体育赛事期间,超大流量的DDoS攻击会将目标瞄准各类博彩网站,且持续整个赛事周期。

  从2014年华为安全中心统计的数据看,几乎每个月都会发生超过数百G的DDoS攻击,攻击流量峰值带宽一再被刷新,2014年年初为400Gbps,年底已经达到500Gbps(2014年12月20日,针对中国某云数据中心托管的游戏业务的DDoS攻击持续了14个小时)。DDoS攻击不仅危害了企业的业务,而且给公有云数据中心的运营带来了巨大压力,对电信运营商的业务带宽带来了持续的开销和消耗。甚至于全球Tier-1骨干运营商也开始寻求在攻击源头快速过滤攻击流量的“clean pipe”方案,以遏制日益猖獗的DDoS攻击流量对网络的冲击。

  究其原因,僵尸网络的泛滥是因为缺乏有效监管的网吧主机、数据中心服务器、互联网免费代理服务器、廉价的云数据中心虚拟机等被大量植入恶意软件成为僵尸网络,形成了DDoS攻击不断发展壮大的温床。因此,2014年公有云数据中心最大的网络安全风险是面临着双向DDoS的攻击威胁——从外而至的Inbound DDoS攻击直接危及下行带宽和在线业务的可用性,而从内而发的Outbound DDoS则直接危及数据中心内上行带宽及云数据中心的声誉,很多数据中心已经沦为僵尸网络的宿主地和垃圾池。

  大数据:解决DDoS网络攻击的威胁

  如何解决DDoS网络攻击的威胁?这需要跨出传统DDoS防御的视角,将本地防御的检测和清洗设备与全网的流量节点结合起来,实现统一的大数据安全管理和调度控制,才能真正解决安全问题和风险。其中大数据安全是分层次实现的。

  • 第一层:本地DDoS检测和清洗设备,其要具备大数据分析基因,能防御多种应用型DDoS攻击。包括支持逐包检测、流量分析模型可以不断扩展和丰富、本地的实时及位置IP信誉识别、动态/静态的攻击流量指纹机器学习等功能,以及高性能的硬件平台运算能力和高扩展性。
  • 第二层:本地DDoS检测和清洗设备要能及时更新来自于安全智能中心的全球僵尸网络IP信誉库。

  第三层:建立全球大数据安全SoC平台,实现基于立体的防御体系。包括:
  首先,构建全球清洗中心布局,在欧洲、北美、亚太、中国等攻击发起的密集区部署,实现全球联动、近源清洗——在阿姆斯特丹、莫斯科、北京、新加坡、洛杉矶和迈阿密构筑核心节点,实现全球DDoS攻击数据的大数据分析,形成统一集中调度和清洗策略下发。

  其次,在国际关口局、互联互通口、大带宽IDC中心部署DDoS清洗设备,并与全球清洗中心联动,实现源头清洗和就近近源引流。

  最后,在IDC边界和IDC内部部署本地清洗设备与vFW,实现IDC东西向和南北向流量的完整DDoS防护方案,大流量的DDoS攻击将会触发云清洗中心的近源清洗。

  最重要的是:通过全球统一的大数据安全SoC平台实现DDoS云清洗商业联盟,真正全网联动,用大数据的思想,实现全球协同防御和商业利益共享。

  大数据时代已经到来,大数据正在以一种创新的方式改变着安全领域,通过大数据技术,可以有效构筑DDoS云清洗商业解决方案,为未来云计算、互联网的发展消除DDoS安全隐患发挥出巨大的商业价值。

分享到: 收藏

专题