杨勃谈在线业务系统Web防御：流量分析与安全策略

“杨勃在金山安全沙龙上分享了关于在线业务系统Web防御技术的主题，主要涉及Web DDoS防御、Web渗透防御和Web业务攻击防御，强调以流量分析为核心的安全策略。” 在这次分享中，杨勃先生作为产品经理，探讨了当前在线业务系统所面临的网络安全挑战，特别是针对Web应用和数据库的安全问题。他提出，Web DDoS（分布式拒绝服务）防御是保护在线业务免受大规模流量攻击的关键。典型的Web DDoS攻击表现为网络流量突然增加，单个IP地址流量异常，服务器CPU高负荷运行，以及TCP连接池激增。由于完整的TCP请求在网络层难以分析，尤其是对于使用HTTPS协议的请求，这使得小规模的流量也能对系统造成极大破坏。 为了有效地定位和防御DDoS攻击，杨勃建议通过流量分析来建立基线，包括流量基线、连接数基线和典型事务基线。通过对URL、UserAgent分布、IP地理信息以及单IP事务和流量占比的分析，可以更准确地识别出异常行为。他还提到了流量占比的可视化，例如HTML、JPEG、CSS和JavaScript等不同类型的流量占比，以区分正常流量和异常流量。 UserAgent指纹识别是另一个重要的防御手段，因为超过80%的应用层DDoS攻击使用特定工具发起，这些工具往往具有独特的UserAgent特征、Referer特征以及JavaScript解析特征。通过分析这些特征，可以识别并阻止恶意流量。 此外，针对HTTP无状态性的特点，杨勃提出了多种跟踪方法来对抗商业爬虫和持续连接（CC）攻击，如HTTP状态跟踪、基于TCP session的跟踪、基于Referer的跟踪、基于时间的跟踪、基于HTTPS session的跟踪，以及关键路径跟踪和异常识别。这些方法有助于建立防御机制，防止Web DDoS攻击对系统造成破坏。 总结来说，杨勃的分享着重于如何利用流量分析和用户行为特征识别来构建一套综合的Web防御体系，以抵御不断演变的在线威胁，确保在线业务系统的稳定和安全。