京东千亿订单背后的纵深安全防御体系

2022-03-10 作者: 京东科技开发者

云妹导读：

每逢京东11.11大促，人们在享受“任性购物放肆嗨”的同时，流量的迅猛激增、黑客组织的恶意攻击企图、黑灰产与羊毛党们早已在11.11前蠢蠢欲动，就像一伙疯狂的匪徒随时准备打砸劫掠。

对京东智联云安全团队而言，每年11.11狂欢节都是一次严峻的挑战和考验。为了让用户安心、顺心、放心，每一个看似简单的下单过程都有着京东智联云安全技术的保护和安全专家的默默付出。本文由京东智联云安全专家为你讲述京东智联云在刚刚过去的11.11，面对购物狂欢复杂的网络安全状况时如何为整个活动保驾护航，以及如何成为其背后的安全专家。

一、11.11大促背后面临的安全挑战

1，海量访问下隐匿的攻击与入侵行为

11.11零点，峰值请求量超过千万QPS，意味着每秒钟有着超过一千万次请求向京东发起，相比日常流量的百倍激增。大规模并发访问中包含正常访问请求，同时也藏匿着大量攻击行为。

11.11是购物的狂欢节，超高的订单量背后，也存在着不计其数的黑客攻击、僵尸网络、恶意组织、病毒、蠕虫、木马。它们悄然集结，组成黑暗力量对平台发起猛攻。羊毛党、垃圾注册、垃圾消息、机器行为，对业务造成严重威胁。日常看似小概率的攻击，在如此巨大的访问量之下也随之骤增。任何一个漏洞、程序问题，放大到如此巨大的访问量下，都会凸显成为巨大的风险点。安全威胁更是如此，海量访问之中，攻击如狂风暴雨，带来巨大的防御难度与挑战。

2，超大规模DDOS攻击带来的挑战

近年来，DDoS攻击规模成倍增长、攻击频率越来越高，已远远超出大多数安全服务提供商的防御能力，TB级别DDoS攻击时代已然到来，攻击的背后则是高昂的防御成本以及对安全防御系统的性能、稳定性的严峻考验。

众所周知，DDoS攻击对于互联网业务的打击是毁灭性的。大量攻击包充斥在网络中，将会导致网络带宽阻塞，正常用户数据包无法到达源站；也可能耗尽源站主机资源，导致无法提供正常的服务，严重影响用户的购物体验，并导致不可估量的经济损失。

3，高并发带来系统可用性考验

超高的并发访问量带来超高的技术要求，正常的访问混杂着攻击威胁，如洪水猛兽，对于系统的考验是巨大的，其中包含对于解析系统承载性能、各防御环节安全产品稳定性和攻击事件分析能力等多重考验。据统计，在11.11凌晨流量高峰的半小时内，京东智联云安全威胁防御系统需处理近百亿次访问请求。11.11 DNS解析系统请求峰值会达到百万QPS ，DNS负责处理用户访问平台域名的请求解析，每个用户的页面浏览、下单、查询等行为，DNS都将为之提供服务。同时DNS也需要有条不紊的进行流量调度，将用户的访问请求调度到距离用户最近的资源节点以带来最快的访问速度。

4，恶意黑产带来的业务风险

大促活动流量的重要性不言而喻，但并不是所有流量都是安全的。红包、活动优惠券、补贴返利等这些都将成为黑灰产觊觎的目标。如果这些优惠都被黑灰产“薅羊毛”，平台、商家、消费者都将是受害者，这种情况是我们坚决不能容忍的。复杂的请求环境、数量众多的账号、设备、行为、内容，该如何对攻击行为进行精准定位？如何把实惠送达到真实用户手中？如何快速识别风险，迅速实施风险防御和捕猎？这些都是安全防御体系建设之初就必须要思考和解决的问题。

二、安全威胁防御体系构成

为了充分保障用户购物过程的安全和稳定，京东智联云构建了纵深安全防御体系。该体系涵盖了DNS解析安全、边缘网络安全、DDoS攻击威胁防御、CC爬虫应用攻击防御、VPC细粒度访问控制、业务风险识别，结合云解析、安全加速SCDN、IP高防、Web应用防火墙、业务风控、态势感知等多种安全产品，构造成安全、高性能、高可靠的自适应安全架构。纵深安全防御体系可有效抵御恶意网络攻击，智能识别有意图的黑产行为，抵御安全风险，为京东11.11活动提供坚实的安全防护能力，为每一个用户的购物过程提供全面保护。

1，流量快速切换调度云解析DNS

云解析是由京东智联云团队自研，结合京东智联云的优质网络、主机资源研发的高可用、高可靠、功能强大的权威DNS服务。它在纵深安全防御体系中提供重要的解析能力以及业务流量调度功能，云解析采用多集群和多节点部署，拥有海量防护能力，并具有专业DNS团队提供全面保障。云解析内核性能优异，基于多节点线BGP线路以及多节点优势，低延时、优质体验。域名操作变更秒级生效，同时支持最小1秒TTL值，保障活动中业务异常流量调度快速生效。基于京东智联云超大带宽机房、强大的DDoS防护系统保护，可实现攻击防护能力。通过Https DNS，支持消费者终端通过Https协议进行域名解析，BGP线路接入，访问时延更小，有效防止域名劫持的问题。

2，拓展安全到边缘网络安全加速SCDN

安全加速SCDN是防御体系的新兴力量，它将安全防御范围扩展到边缘网络，从节点即可抵御攻击。它是京东智联云与国际网络性能安全公司 Cloudflare战略合作的安全内容加速产品，为在中国开展业务的跨国公司以及具有国际业务的中国公司提供更快捷、更安全的互联网安全加速服务。

安全加速功能涵盖缓存、优化加速、WAF、DDoS防护、DNS解析、SSL证书等。在国内拥有20个安全加速节点并持续建设，单节点可达50WQPS，处于业界领先性能水平。SCDN是安全防御体系能力的延伸，将安全防护能力注入到边缘节点，从距离攻击最近的地方解决攻击问题，目前，SCDN正在进行全面的安全网络节点建设，并将在年底正式对外发布。

3，千万QPS快速响应IP高防流量清洗

IP高防是安全防御体系中的重要力量，就像是抵御攻击洪流的大坝。京东智联云防御体系中的IP高防，具备海量DDoS防御清洗能力，支持电信、联通、移动三线和BGP线路，机房集群高达1.5T的清洗能力，支持弹性防护，即使在京东大促流量达到千万QPS的场景下，也可以快速、智能的识别清洗攻击流量，从容应对各种大流量DDoS攻击，保证京东大促能够平稳安全地运行。它可支持TCP/UDP/HTTP/HTTPS协议，不仅能够满足平台防护需要，还可覆盖诸如游戏、移动应用等多种业务场景。只需在DNS服务将待保护的域名修改解析到IP高防提供的安全域名即可完成接入。

4，抵御应用攻击威胁WEB应用防火墙

在应用安全防护方面，可通过自研的Web应用安全防火墙（WAF）抵御应用层攻击，可对网站或APP服务进行安全与合规性保护，通过恶意特征提取和大数据分析可识别恶意的行为与流量，提高Web站点的安全性和可靠性，保护网站核心业务和数据安全。京东智联云的WAF可提供三种不同形态，充分满足防御需要。包括：云WAF、私有化NF1流量接入平台以及应用安全网关VPC-WAF，满足不同业务场景的防护需求，提供可选的应用安全防护方案。

5，购物流程全场景防御业务风控

在业务风险分析方面，安全防御体系通过业务风控来识别、防御恶意行为。它基于京东智联云的大数据能力，通过风险决策引擎，结合人机识别技术，防止返利欺诈行为。基于海量数据以及黑产对抗经验，持续实时的对IP、号码、地址等内容进行风险检测，通过用户画像，构建全面准确的安全情报。

基于全量全流程行为分析，深入挖掘风险行为，结合机器学习和图计算等AI算法，实现对风险的全面监测和敏锐洞察，准确识别恶意请求构建风险特征，准确率可达99%以上。利用业务风控，有效防御可能发生的机器爬虫、欺诈、恶意垃圾注册、短信验证码滥刷、撞库、暴力破解、恶意抢购、秒杀、薅羊毛、抢红包等行为，准确识别注册、登录、下单、支付、评价、配送、售后等环节中的风险，从营销、导购、交易、物流等多个方面保护用户、平台、商家和业务生态安全。

6，构建自适应防御循环安全重保运营分析

安全防御体系除了各个重点安全产品，也包含安全重保与运营服务，提供专属安全保障方案，7*24小时应急响应。京东智联云资深安全技术团队，通过完善的安全技能和丰富项目经验，提供全生命周期的安全保障服务，涵盖事前、事中、事后的安全服务。

√事前资产巡检、风险评估加固、应急预案。协同平台对重要业务系统安检、日志分析、配置策略优化，确保源站资产安全。通过基线检测、漏洞扫描、渗透测试服务对当前业务风险评估，提出安全加固方案。并针对性定制应急预案，成立安全保障团队，组织协调重保期间防御工作。

√事中防护、监控、应急，建立安全监控机制，预警当前的安全威胁及整体安全态势，对安全事件进行快速处理。活动期间，7*24小时安全值守保障以及安全专家技术支持。通过应急响应机制，一旦突发安全事件，快速启动应急响应流程，定位并缩小安全事件影响范围，最大程度降低损失。

√活动结束后进行复盘，呈现安全重保期间的安全数据，进行全面工作总结。

三、安全防御体系实战

京东大促活动中，京东智联云安全防御体系，为平台提供了持续输出安全防御能力。重保期间，由京东智联云负责的京东与云平台安全防护保障，整体运行稳定，无异常发生，圆满完成安全保障防御任务。

1，防御大规模DDOS攻击

从应急预案到攻击响应，通过混合防御、层次化防御。IP高防保护京东主力IDC 在11.11期间对恶意流量清洗。11.11防御峰值达到129.44Gbps，DDoS防护系统以及IP高防产品服务运转正常。

2，保障商业务抗CC攻击防御

大促期间，京东智联云防御体系针对CC攻击持续不断的输出安全防御能力。经过Web应用防火墙数据分析统计，CC总攻击次数达69亿次，整体防护运转平稳。

3，保护ISV防御WEB攻击防御

京东智联云WAF为平台众多ISV提供应用攻击防御，防护域名351个，11.11凌晨，总请求次数达到32517135，QPS峰值达到8021，WEB攻击防护533823次，线上服务均正常。

4，云解析攻击防御

公有云DNS域名服务与云解析保护中，DNS 核心服务流量平稳，解析服务运转正常；云解析DNS峰值达到291.9wQPS，整体服务运转平稳。

四、总结

历经每年618和11.11大促的严格考验，京东智联云安全完美履行“威胁监测一览无余，风险清理干净彻底”的承诺。本次11.11大促活动重保中，通过京东智联云安全运营中心将平台安全能力、平台安全大数据和威胁情报实现无缝聚合，为大促提供一站式安全防护与自动化响应，并建立基于云原生的多维安全管理架构JD Cloud Native For Security，使京东智联云的安全能力矩阵具备可编排、可管理、智能调度与弹性伸缩的特性，全面适配大促业务场景，实现大数据分析与威胁情报的智能关联，自动化完成安全事件分析响应、工单的分发流转、跟踪与闭环。

与此同时，利用京东智联云海量数据积累与威胁情报技术可针对重大0 day漏洞、未知威胁进行有效的监测、识别、捕猎和响应，从全局视角提升对安全威胁的感知、识别、理解和响应处置，为安全决策提供有力支持，有效指导处置工作的开展，并准确预测将要发生的威胁事件，提前做好防御部署，充分确保11.11期间的线上业务安全、数据安全和平台安全。

本次11.11，京东智联云安全团队针对大促业务场景进行了全面盘点，包括：资产现状、应用与架构、系统等级、人员权限等，并输出安全Checklist，有效收缩资产攻击面，对系统和应用等权限进行严格管理，做到权限最小化，至少满足三权分立原则。同时，针对未知威胁、APT高级持续性威胁和0DAYS高危漏洞建立实时监测与响应处置流程，从安全治理、安全防护、安全运营和应急响应三方面进行整体能力提升。

在大促开始前，京东智联云安全团队进一步实施全链路压测和破坏性演练，以检验纵深安全防御体系的可用性和容错能力是否能满足超大规模流量下的业务安全保障要求。因此，京东智联云安全团队每一次活动背后默默的耕耘和付出都为京东线上大促业务获得市场成功奠定了良好基础，作为京东技术基础设施与业务安全支撑的重要力量，京东智联云安全团队已成为每一次618和11.11大促成功背后的安全专家。