1. 市面上那么多安全产品,我为什么需要使用白山智能安全感知平台SA?
该系统是市面上少有的专注于防护应用层攻击的威胁识别防护产品,应用层攻击具有IP真实、行为界定困难、攻击变种多等特点,白山ATD将大数据技术和机器学习结合起来,并且利用特有的IP信用等级、包丢弃技术可以有效的防止CC攻击、恶意爬虫、恶意刷单、撞库、慢速攻击等行为。 系统具有以下几个特点:
- 纯软件私有云旁路部署
- 实时离线大数据分析结合机器学习算法精准识别威胁攻击
- IP信用等级二次验证,提高识别准确率
- 包丢弃技术,可以大大增加攻击者成本
2. 为什么说CC攻击更加难以防范?
首先,CC攻击都是合法的HTTP请求,都是真实IP,所以在前面的流量清洗设备无法将其拦截。其次,对于高频攻击而言,恶意攻击和群体“秒杀”等行为区别很困难,不进行智能趋势分析不可能进行精准识别。另外,传统的硬件HTTP安全产品在防范CC攻击方面具有明显劣势,比如一些硬件防火墙会利用RST反弹等技术进行防护,但这种技术实际会影响用户体验。最后,CC攻击的变化有很多,用户可以根据实际的请求模式,变化出很多的攻击方式,使人难以防护。
3. 系统可以防syn-flood/udp-flood等流量攻击吗?
不能。系统专著于防范应用层攻击,换句话说,它是工作在入口流量后的,可以有效的防止负载均衡设备或者Web服务器的CPU、内存、连接数等资源被消耗。但是,如果入口流量被打满,产品将无法知晓,这种情况请企业购买流量清洗中心进行防御。
4. 大数据分析的延迟有多少?
经过严格测试得出,延迟控制在毫秒级别以内,当然,对于私有云部署模式,这依赖于企业内网通信的延迟和稳定性。
5. 私有云部署的方式,怎么对接ATD?
对接系统只需要做两个工作:
- 将HTTP访问日志推送给Kafka队列,可以使用各种语言的客户端
- 将大数据的分析结果触发到拦截器,如果使用我们自带的拦截器,这块无需关注。但对于某些场景,比如硬件负载均衡,无法部署我们的拦截器,这种情况可以直接对接负载均衡设备的接口,进行拦截。
6. 机房环境内部有多层负载均衡,客户源IP怎么传递?
可以使用HTTP标准header:x-forward-for记录原始客户端IP,也可以使用自定义的标准,只要能让系统知道哪个字段能表示客户端原始IP即可。