背景
2018年中国已成为主要DDoS攻击源和目标国家
互联网界的安全一直都不断的面临着挑战,以DDoS攻击为代表的网络威胁直接对网络安全产生严重的影响。
DDoS攻击正在朝着大规模、移动化、全球化的方向发展. 据近年来的调查报告显示,DDoS攻击的频率呈现出增长的趋势。黑客攻击的隐蔽性强,能够控制大量的安全措施差的云服务商和IDC甚至海量摄像头发起攻击,其攻击已经形成了成熟的黑色产业链,并且越来越有组织化。
同时,攻击的方式向两极化发展,慢速攻击、混合攻击尤其是CC攻击占比不断增大,这给检测防御造成更大的难度。一方面,超过1TB的攻击峰值屡见不鲜(1. Github遭受1.35TB DDoS攻击, 2. 某网站受到1.7TB DDoS攻击)、100G攻击次数成倍增长,另一方面,应用层攻击也在大幅度翻倍(参考Imperva 2017Q4的DDoS风险报告)
根据卡巴斯基2018Q3的DDoS风险报告,中国目前已经成为主要的DDoS攻击源和目标(从去年50%多飙升到了70%多). 其中超过500GB的攻击超过17次 (参考APNIC 2018全球DDoS攻击趋势). 主要被攻击的行业是互联网(超过50%)、游戏、软件公司、金融等(参考Imperva 2017Q4的DDoS风险报告)。
阿里云DDoS高防IP
阿里云新BGP高防IP服务采用*地域独有的T级八线BGP带宽资源,可解决超大流量DDoS攻击。相比静态IDC高防IP服务,新BGP高防IP天然具有灾备能力、线路更稳定、访问速度更快。
静态IDC高防IP服务相比, 新BGP高防IP服务具备如下优点:
- 线路质量更高,包括访问时延、灾备能力、覆盖运营商线路范围等提升。
- 提供20G以上保底防护带宽的BGP线路高防IP服务
- 具有大流量攻击防护需求(300G以上)
阿里云日志服务
阿里云的日志服务(log service)是针对日志类数据的一站式服务,无需开发就能快捷完成海量日志数据的采集、消费、投递以及查询分析等功能,提升运维、运营效率。日志服务主要包括 实时采集与消费、数据投递、查询与实时分析 等功能。
阿里云新BGP高防实时日志分析概述
根据APNIC 2017年DDoS风险报告,超过80%DDoS攻击会混合HTTP攻击,而CC攻击尤其隐蔽,因此通过日志对访问和攻击行为进行即时分析研究、附加防护策略就显得尤其重要。
目前,阿里云DDoS高防IP的网站访问日志(包含CC攻击日志)目前已经与日志服务打通,提供实时分析与报表中心的功能。
发布时间
11月发布
发布地域
- 国内
- 海外 (即将发布)
适用客户
- 对云上资产的安全日志有存储合规需求的大型企业与机构,如金融公司、*类机构等。
- 拥有自己的安全运营中心(SOC),需要收集安全告警等日志进行*运营管理的企业,如大型地产、电商、金融公司、*类机构等。
- 拥有较强技术能力,需要基于云上资产的日志进行深度分析、对告警进行自动化处理的企业,如IT、游戏、金融公司等。
功能优势
- 轻松配置,即可实时高防日志采集。购买后的新配置的网站自开启日志功能.
- 依托日志服务,提供实时日志分析,并提供开箱机用的报表中心(支持定制),对被保护服务的执行状况、性能、潜在安全问题了如指掌,并可实时挖掘细节。
- 免费提供30天存储及3TB的额度.
- 支持基于特定指标,支持定制准实时监测与报警,确保关键业务异常及时响应。
- 可对接其他生态如流计算、云存储、可视化方案,进一步挖掘数据价值。
方案比较
与AWS Shield, Azure AWS方案在日志分析方面的比较:
开通前提
- 开通日志服务。
- 开通DDoS新BGP服务,购买实例时勾选日志模块.
限制说明
DDoS所存储的日志库属于专属的日志库,有如下限制:
- 用户无法通过API/SDK等方式写入数据,或者修改日志库的属性(例如存储周期等)
- 其他日志库的功能,例如查询、统计、报警、流式消费等均支持与一般日志库无差别
- 日志服务对专属日志库不进行任何收费,但日志服务本身需处于可用状态(不超期欠费)
- 内置的报表可能会在以后更新并升级
使用场景
1.追踪CC攻击日志,溯源安全威胁:
2. 实时查看Web请求活动,洞察状态与趋势:
3. 快速了解安全运营效率,即时反馈处理:
4. 输出安全网络日志到自建数据与计算中心
进一步参考
我们会陆续发布DDoS安全日志分析的最佳实践, 这里可以进一步参考相关用户手册:
- 阿里云新BGP高防日志分析 - 配置实时日志
- 阿里云新BGP高防日志分析 - 查询分析日志
- 阿里云新BGP高防日志分析 - 查看内置报表
- 阿里云新BGP高防日志分析 - 高级管理
- 扫码加入官方钉钉群 (11775223):