苏宁安全架构演进及实践——阅读心得

苏宁安全服务平台:主要是为苏宁内部所有系统提供各类安全服务,包括漏洞扫描、渗透测试、系统加固、安全培训等;

苏宁安全应急响应中心:主要负责漏洞管理和威胁情报收集,以帮助提升苏宁自身产品及业务的安全性,同时也希望借此加强与安全业界的合作与交流。


 平时为了吸引消费者,苏宁易购经常会送大家很多各类优惠券,也会对一些热门商品进行限时低价抢购,由于购买价格远低于市场价格,常常会吸引来大量黄牛薅羊毛。此时智能数据风控平台就开始起作用了,依赖访问特征和访问行为,能够及时从海量数据里分析出哪些是黄牛请求并进行阻断验证,但是黄牛们为了保证成功买到这些低价商品,往往会租用大量服务器并发购买请求,即使请求都被风控识别阻断,由于这些请求已经到了业务服务器,所有依然会对业务系统造成巨大的负载压力。

 

 

最好的解决方案当然是在这些黄牛的请求到达业务系统之前就被拦截,那么处在苏宁网络边界的安全防护平台实时攻击检测模块(WAF)自然是首选。其实黄牛并发的大量请求也可以看成CC攻击,尽管请求发起者目的不同,但攻击特征与攻击效果是一样的,而苏宁攻击防护平台本身是具备CC攻击防护能力的,可从实际效果看,还是有一部分请求绕过了CC攻击防护规则检测。这是由于黄牛发起的请求和正常用户是没有任何区别的,而且现在黄牛还会更换代理IP,伪造user-agent,一个帐号可能完成一次购买流程就结束了,普通CC攻击的特征非常不明显 ,安全防护平台对于此类攻击很难有效拦截阻断。数据风控平台善长识别却不适合拦截,安全防护平台适合拦截却不善长识别,那么将安全防护平台和数据风控平台结合起来进行黄牛防护自然是最好的选择了,所以我们对这两个系统进行了改造,在安全防护平台实时攻击检测模块增加了一个风险黑名单库,数据风控平台实时将高风险特征如IP、设备号、帐号、会员号等写入风险黑名单库,实时攻击检测模块会匹配每个请求是否有特征在此黑名单库里,同时将拦截信息如某帐号被拦截N次,某IP触犯什么规则等写入数据风控平台的风控规则库,形成了一个简单的闭环安全防护体系,这也是现在苏宁安全防护体系的雏形。

 

原文地址:https://mp.weixin.qq.com/s?__biz=MzIyNjE4NDcyMA==&mid=2247484739&idx=1&sn=44957c483184ec990bf706322c5f7b12&chksm=e8751e3cdf02972acdc4388c6e0cf832f9fe0fe9698e6d2263d15c62ee5a5c97fd98e0e19db6&scene=21#wechat_redirect

 

posted @ 2019-05-11 16:44  旁光  阅读(165)  评论(0编辑  收藏  举报