千机盾防御系统白皮书.docx

PAGE PAGE 1 PAGE8 / NUMPAGES8 千机盾云防御系统 产品介绍 为移动端APP量身打造的网络安全解决方案 日 期：2018年 9月 PAGE 2 PAGE 2 目录 TOC \o 1-3 \h \z \u 1 1. APP版简介 3 2. 防护简介 3 3. 防护优势 7 4. 适用场景 8  APP版简介 千机盾云防御系统使用先进的防御体系，攻击者所有的请求都会进入虚拟防护节点上，通过每个节点自带的安全防护功能， 进行流量清洗过滤，真实的服务器始终隐藏在千机盾云防御系统的防护之下，避免黑客对其发动攻击。由于使用分布式的防御体系，可以轻松瓦解大流量攻击。 以全新算法、海量分布式节点为基础，对每个连接进行安全识别，精确判断是真实应用还是恶意攻击，保证每一个连接的安全，通过多维度智能调度系统实现防护IP无感切换打破传统防火墙依赖于高防IP本身防护能力的限制，解决以往攻击防护资源不对等问题，以终端视角彻底解决DDOS攻击问题。同时高强度加密算法可保护APP通信协议不受破解，可有效解决游戏外挂和业务欺诈。智能调度保证了终端的最佳网络链路，提升用户体验。 防护简介 千机盾云防御系统改变了以往抗DDOS攻击依赖一个或数个高防IP的模式，依赖于精巧的调度算法和分布式服务节点，通过算法赢得DDoS攻防对抗的胜利。 整个防护由三大模块组成，分别是客户端SDK、智能调度和身份验证。 客户端 千机盾云防御系统是专门为APP应用开发的集防护加速为一体的安全产品，在使用时用户需要在自身APP中嵌入安全SDK，SDK全面覆盖IOS、Android、Windows。通过SDK可以精准定位每个终端当前环境信息、是否可信，为智能调度、攻击防护提供多维度参考数据。 通过对APP进行加固有效防治破解、欺诈、外挂等验证影响应用运营安全问题。 智能调度系统 智能调度系统主要对IP地址池中的节点做健康检查，并按照智能调度算法排序，将IP池分为正常组和风险组，正常情况下会给客户端返回3个可用节点IP，一旦3个IP被打死，客户端再次请求将会分配风险组池中的IP，如果依然被打死，此客户端将被加入黑名单，列入高风险客户端，同时不再给它分配任何IP节点，并将客户端IP以及特征码存储，以备后续定位反查攻击者。客户端获取到分配的中转机IP后，创建隧道加密通讯，所有的游戏数据都将被封装到隧道中，实现加密传输，由节点机发给后端游戏服务器。 智能调度为千机盾云防御系统防护核心模块之一，通过灵活的调度算法打破资源不对等问题。彻底解决DDOS和CC攻击问题。 智能调度系统根据端环境信息及攻防大脑实时分析结果对终端流量进行拆分和调度。智能调度可以为APP提供两个大的层面应用。 抗DDOS攻击：可以精准识别终端是攻击者还是真正的访客。通过灵活的调度算法，可以区别对待真正访客和黑客，将不同流量引至不同“服务节点”或虚拟节点，防御超大规模DDOS攻击而不影响任何一个真正访客。 访问加速：通过终端环境信息从分布式节点中为每一个终端调度最优节点保证防护速度及链路质量最高，有效提升APP访问速度，提升访客体验。 CC防护 针对TCP端口CC攻击，目前已有CC防护方案不论是针对比较规范的应用层协议（http、https）还是针对私有不常见的协议，均存在漏防和误防问题。千机盾云防御系统通过SDK与防护节点建立加密隧道，接管客户端与服务器端网络连接，准确识别攻击者与真正的访客。 非真正访客所发送数据包将会被防护节点直接丢弃，并且会将其加入到IP信誉库，黑客肉鸡仅可以使用一次便被精准识别，黑客可用攻击资源将急剧下降，打破防护资源不对称问题。彻底解决CC攻击问题，实现CC 100%识别防御，零误伤，真正为用户业务保驾护航。 链路加密 APP在嵌入 SDK后，终端在启用APP应用时，全部业务数据在发送前会进行高强度加密处理，每个终端均分配唯一秘钥，当数据传输至千机盾云防御系统分布式节点后由节点进行数据校验。未通过校验的连接会被丢弃，并且此次连接会被记录为非法连接。通过校验的数据会被防护节点发送至业务服务器。加密数据在网络中进行传播时可防止数据遭受监听、嗅探。 攻击溯源 智能调度系统详细记录每次调度信息，根据调度信息千机盾云防御系统可快速定位攻击源，实时分析，同时联合阿里云、腾讯云，AWS等云计算厂商，对攻击来源进行精准定位，将不法分子绳子以法！ 验证安全 为了防止黑客绕过验证，获取全部地址池中的节点IP，我们在验证环节做了多层匹配，采用了高