阿里云域名解析设置_深度 | 阿里云·云主机智能纵深防御体系首次揭秘

//

阿里云云主机智能纵深防御系统已落地于网络入侵检测领域，通过对海量网络攻防数据的深度分析和过滤，结合集中决策系统，实现了高检测率、低误报率，降低攻击程度90%。

面对海量的攻击，以及不断演变的攻击手段和威胁类型，阿里云如何利用原生的安全优势，优雅地解决主机侧的问题，保障千万级云上用户的安全？

如何利用智能设计，将首轮复杂的威胁分析、检测和处置工作交给经过训练的机器，最大限度地发挥安全自动化的效能？

阿里云云主机智能纵深防御体系实现逻辑首次披露：漏斗状链路，百万主机应对亿级海量攻击。

传统防御方法在云中经常失败

传统的防御手段，例如人工分析网络数据包和文件并编写规则、封禁IP地址、限制行为权限等，在保护云主机安全时往往会失效。

主要原因如下：

01

云端主机数量庞大，人工分析网络数据包和文件成本太高，难以实现实时监控分析；

02

云主机涵盖网络、系统、存储等多种能力，导致攻击维度广泛、攻击手段多样，无法从单一角度构建理想的防护方案。

03

云主机业务场景复杂，服务客户众多，安全运营人力有限，导致安全问题响应延迟、时效性差；

04

云主机运行环境多变，传统防御手段无法满足不同环境的安全防护需求；

云端内置的内在安全性

基因层面的质变

所谓简单即是道，云原生安全无可比拟的差异化优势，来自于云计算三大核心组件：超级计算、超级存储、弹性网络的能力优势，安全与云基础设施的内在关联，使得云的技术红利直接塑造了云原生安全技术的本质差异，以及安全基因的变异。

01

超级算力x安全性=？

基于阿里云的实时计算、离线计算、图计算平台，AI安全算法可以规模化实现，在云上可以实现：

更快地发现风险

毫秒级实时全链路计算，使得从攻击者发起入侵到企业收到报警的时间缩短至3秒以内，最大限度缩短发现攻击的时间。

更复杂的关联分析风险

传统的基于单一规则的日志审计难以发现潜在的风险，而云上超大规模图计算可以对不同的数据源进行综合分析，并进行丰富的上下文关联，从而发现更加复杂的风险。

更准确地呈现风险

从全局视角进行综合分析，可以过滤掉大量无效告警，精准识别出最有价值的风险，大幅提高安全运维的效率。

02

超强存储容量x安全性=？

云端实时存储海量主机的网络、文件、行为日志，解决了传统安全数据采集覆盖面不足、存储容量有限的问题，只能采集小范围主机的日志，且仅保留攻击日志，导致无法对攻击和未知攻击进行调查。

更快地发现 0day 漏洞

通过云端海量日志的实时过滤和关联分析，结合丰富的威胁情报，可以快速发现0day漏洞和新的利用方法。特别是在大规模攻防演练中，全局分析可以实现对单点攻防的降维。

更容易捕获高级持续性攻击

APT攻击从侦察到扫描再到资产清查往往需要数月的时间，通过全日志分析，更容易发现攻击者的活动轨迹，发现异常情况。

更容易恢复完整的攻击链

企业每天都会产生大量的日志，来自各种网络侧设备，如云企业网、直通通道、VPC、NAT、SLB等设备，完全覆盖了云上所有的盲区。

03

超级弹性云网络x安全=？

安全与云网络之间的固有关系使得安全人员可以俯瞰整体网络拓扑，并检测日常 PB 级流量中的异常。

云主机级别的微隔离——最小化攻击单元

通过云主机防火墙和VPC防火墙实现微隔离，由于可以看到同一个VPC内主机间的完整链路，一旦发生横向入侵或者主动外联，可以立即采取措施。

主机+流量双视角——最大化威胁发现

流量侧的攻击指令最终会在主机侧执行，基于污点传播理论，通过对主机和流量日志的综合分析，可以揭示主机侧的风险来自于哪些流量，从而最大化实现威胁的发现与溯源。

风险挖掘“四大能力模块”

基于以上云原生安全能力优势，阿里云云主机智能纵深防御体系经过多年实践沉淀，拥有四大核心能力模块：

01

漏斗型智能防御模块

实现多维度流量管控，实现4-7层网络流量智能识别、恶意加密流量实时防御；分层管理，实现渐进式分级检测手段，逐步收敛网络流量及文件攻击的漏报、误报风险；

02

多模态感知与智能联合决策

通过多模式识别识别恶意文件攻击，丰富感知面，利用联合决策补充提升检测能力；

03

上下文行为图检测引擎

智能构建行为威胁图谱，并利用可解释的强化学习生成新的威胁策略，丰富策略库，提高作战效率，增强风险识别和防护能力；

04

风险情报数据库

自动学习异常行为，挖掘高精准度的恶意指标及其关联上下文信息、相关指标的攻击者信息，大幅提升安全运营分析人员判断风险的效率。

“一纵三横”防护体系

基于以上四大能力模块构建三层防护架构，包括网络入侵防御层、恶意文件检测层、行为关联决策层，结合风险情报库的纵深能力，实现主机风险的漏斗式防御。

01

网络入侵防御层：

“漏斗型”+“千人千面”智能防御

结合7层网络模型，在IP维度、协议维度、应用维度构建多维度防御体系，实现对4-7层网络流量的多层次递进的智能判断与防御。

基于IP+端口+协议维度的历史流量生成智能策略，在IP维度降低主机对公网的暴露，拦截和阻断海量无效、探测、扫描等一级攻击，最大限度减少4-7层网络暴露。

协议交互层基于海量主机应用及加密流量指纹构建加密流量指纹库，利用入侵防御系统（IPS）在无需解密的情况下实时拦截恶意加密流量。

在应用层，基于站点历史正常访问模式，结合精细化的应用级结构化数据分析，构建协议级和应用级白基线，确保应用级攻击误报率低、检测率高。

02

恶意文件检测层：

“文件分层管理+多引擎联合决策”

我们针对黑白灰文件的特点，利用多种算法引擎构建动静结合的攻击感知能力，通过多引擎联合决策智能拓展感知面，提升检测准确率。模型在线上持续沉淀黑白样本，并辅助轻量化引擎自动化生产、图相似性聚类，持续增强防御体系。

通过智能样本检测生成轻量级策略引擎：基于云端智能算法强大的计算推理能力，分析模型沉淀样本库自动提取知识蒸馏生成轻量级引擎。轻量级引擎具备检测可解释、检测能力可移植的优势。轻量级策略引擎在云端保留大量样本的知识结构进行检测，使得结果可操作、可解释。同时在云端大规模算力下提取多个引擎的联合决策信息，让引擎无需大规模算力支撑，即可快速移植云端能力到多种环境，精准检测大量通用样本。

云端多引擎联合智能决策，跨维度识别：利用机器智能算法对多个引擎的感知结果进行融合决策，对单引擎的感知结果进行关联决策，实现黑白灰文件识别。进一步在轻量级引擎过滤的文件中识别风险文件，提升风险捕获能力，解决传统单引擎防控碎片化问题，相互补充提升检测能力。

通过知识图谱深度挖掘发现高级样本：基于以上两种环境下检测识别出的黑白样本，提取本体构建风险文件知识图谱，对图谱进行向量化，构建高级样本相似性发现模型，进一步识别灰度样本中的高级恶意文件，发现更多变形样本，对抗高级恶意文件（如为大规模攻防演练或挑战而专门制作的样本），最大程度降低漏检率。

针对防杀场景的云沙箱行为分析：云沙箱依托阿里云神龙架构，在拥有高性能仿真的同时，也有天然对抗恶意样本使用的反虚拟化技术的能力，配合定制化的二进制检测探针，在安全高效的隔离环境下深度分析二进制文件，识别出静态防杀的高级对抗样本。

同时，基于智能模型蒸馏算法对发现的高级样本进行提炼，将知识结构反馈到第一层轻量级检测引擎，实现闭环链接，提升云检测能力。目前，阿里云安全可以毫秒级响应风险，大大提升运营效率。

03

行为相关决策层：

“一图模型”建模理念

构建多源异构数据的上下文行为关联决策体系，在不增加误报的情况下发现未知风险，并为云主机提供高级威胁检测、报警溯源和事件聚合能力。

从全局视角而非单一角度构建图模型。图检测需要利用图计算连接更多的数据，连接的数据越多，特征维度越丰富，分类边界越清晰。阿里云云主机智能纵深防御体系的原生属性可以实现：a.全流程、全链路、全量采集所有安全攻防数据；b.借助云端批计算、流计算、图计算等平台进行统一存储、标准化、计算和治理，获取高质量数据；c.通过文本相似度、链接预测等智能算法提取关键实体和关系，形成全局视角的知识图谱，解决传统情况下因网络拓扑不完整导致的断链、关联爆炸等问题。目前阿里云实时全链路安全计算耗时小于3s，拥有资产图、行为图、威胁图三大类。

统一单图模型赋能安全产品。统一单图模型已经在云安全中心等主机安全产品的实际应用中得到应用，当单点异常发生时会放到整个图里，结合上下文进行综合研判分析，从而得到更精准的预测。此外，统一单图模型可以支持文件植入流程分析、上下文行为追踪、跨产品多源日志融合分析等单点检测无法覆盖的场景，支持入侵链路、告警聚合事件的自动告警追溯与还原。目前阿里云安全中心告警分析效率提升75%，全链路追溯实现自动追溯与可视化，比人工追溯提升90%。

04

风险情报库：多源融合、统一建模

依托阿里云海量攻防数据和计算能力，基于真实攻击源数据实时计算恶意文件、域名、IP、URL，结合主动和被动的网络检测能力，从攻击者角度实时发现暴露在外的风险资产。目前阿里云安全威胁地图拥有上亿级IP、域名、URL，威胁标签超过8000个，准确率高达99%。

多源融合：融合来自阿里云安全事件、威胁报警、异常行为以及 Whois、证书、OSINT 等外部数据源的威胁情报，利用大数据分析方法、知识图谱和机器学习能力，从海量数据中提取威胁指标。同时基于多源数据构建历史行为集，将行为融入安全知识图谱，构建单实体意图智能分析模型，利用图谱深度遍历能力实时判断单实体是否恶意。

统一建模：通过对威胁情报内容级别进行分类定级，设计情报数据模型，分为：画像库、风险库、信誉库、拦截库。从千亿级日志数据中提取亿级画像库，刻画威胁情报实体行为；进一步挖掘亿级信誉库，描述恶意行为；最后提炼百万级拦截库，进行拦截处置。

云攻击者发现模型：基于图的聚类方法，利用图表示和图聚类算法对攻击者行为和组织进行聚类，发现具有相同攻击手法和组织背景的攻击者，有效实时监控云攻击者的活动。

云端多场景实施

攻击等级下降90%

目前，阿里云云主机智能纵深防御系统已落地网络入侵检测领域，通过对海量网络流量数据的深度分析和过滤，结合集中决策系统，实现了高检测率、低误报率，攻击等级下降90%，在2021年度“Magic for”报告中获得客户高度好评。

恶意文件攻击防护场景

利用多模态感知结合多引擎智能决策对脚本、二进制等文件进行防护，实现了对恶意文件攻击的多维度智能识别和多终端部署的精准检测，应用于阿里云安全中心等众多产品，守护百万级云主机安全，日检测数十亿级文件，发现数百万级可疑文件。

与行为相关的决策场景

云安全中心为上万用户、上百万在线机器提供高级威胁检测能力，大大提升了此前基于简单行为关联易出现的漏报、误报风险。在《IDC Scape：2020中国终端安全检测与响应市场》测评中，被评为终端安全检测与响应（EDR）能力第一，位居第一，处于领先地位；

风险情报数据库

为云产品提供风险资产暴露识别，提升隐性资产发现能力和实时自适应资产发现能力；为安全检测、防御、分析溯源、联动分析提供数据能力支撑，可大幅提高发现率和溯源分析效率。

云主机智能纵深防御系统在阿里云安全场景中历经磨练，已成为一套有效稳定的解决方案，未来将应用在更多的主机安全对抗场景和公有云、私有云、混合云等不同产品形态中。

阿里云安全

作为全球领先的云安全解决方案提供商，我们拥有零信任SASE、数据安全、流量安全等八大安全域百余项核心能力，帮助数百个行业构建源于云架构、具有高度集成、智能化、自演进的安全防护体系。

2023年，在《基础设施即服务平台原生安全浪潮》报告中位居中国第一；2022年，在国际知名咨询公司对全球云厂商解决方案能力的评估中，阿里云安全能力排名第一；2020年，成为中国唯一一家整体安全能力获得三大国际组织（//IDC）认可的云厂商。

作为云原生安全技术的领先探索者和实践者，我们通过将安全能力与云紧密耦合，实现了双向技术的变革性突破，实现了数倍的安全效率提升、高弹性、高可用、稳定协同，云服务内置天然免疫基因，与用户共同守护云上数字原生世界的安全。