qq3250845

语义分析非规则运算引擎，新一代安全防护体系，即将上线



高并发、高流量、数据量大、逻辑复杂，大流量网站如何实现有效的 Web 应用安全防护

Web 2.0时代，网络行为多元化发展，业务的发展和用户的增加对网站性能的要求进一步提高，任何一个环节的瓶颈都会影响网站系统业务正常运行，影响用户体验，进而造成巨大的经济损失。大流量网站面临着不可忽视的刚需。

智能语义分析算法，不使用传统规则库，准确率高、误报率低，攻击拦截性能强。

采用智能语义分析算法并结合机器学习技术，能够实现基于上下文逻辑的攻击检测，用算法的迭代改变规则防护现状，在降低误报率的同时，将攻击拦截性能提升至全新水平。

检测未知威胁，变被动防御为主动识别，基于攻击语言代码的理解，提取同类攻击原理，对未知威胁有天然的抵抗力。

全开放接口，汇聚多面防护可能。

精准威胁情报联动，事前预判攻击，事后分析溯源。TB级DDoS攻击防护，阻断恶意资源消耗。Open API，支持与SOC、SIEM、态势感知等产品协同联动。

适配多种应用场景，紧密贴合业务需求，有策略的逻辑访问控制，细粒化业务防护。

智能建模，贴合业务场景识别未知威胁，灵活可编程插件，满足差异化防护场景。

多维能力拓展，保护API，管理BOT请求，针对性API防护，有效应对微服务、物联网等场景下的安全问题。

BOT统一管理，保障业务运营及数据安全。

容器化系统架构，灵活可塑适配多种运行环境。轻松实现弹性扩展运行时耗能低，支持私有云、政务云、混合云等中国特色云化需求，适配集群架构、Kubernetes等多种使用场景，多样灵活部署支持软硬件/容器等多种形态，快速上线，灵活增减易用性强。

新语义分析非规则运算引擎，不让黑客越池半步，让网络安全由繁到简。

科技创新只有起点，没有终点！

qq3250845

Linux 或 Windows 上实现端口映射





Windows 下实现端口映射

1. 查询端口映射情况

netsh interface portproxy show v4tov4

2. 查询某一个 IP 的所有端口映射情况

netsh interface portproxy show v4tov4 | find "[IP]"

例：

netsh interface portproxy show v4tov4 | find "192.168.1.1"

3. 增加一个端口映射

netsh interface portproxy add v4tov4 listenaddress=[外网IP] listenport=[外网端口] connectaddress=[内网IP] connectport=[内网端口]

例：

netsh interface portproxy add v4tov4 listenaddress=2.2.2.2 listenport=8080 connectaddress=192.168.1.50 connectport=80

4. 删除一个端口映射

netsh interface portproxy delete v4tov4 listenaddress=[外网IP] listenport=[外网端口]

例：

netsh interface portproxy delete v4tov4 listenaddress=2.2.2.2 listenport=8080




Linux 下实现端口映射


1. 允许数据包转发

echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -j MASQUERADE
iptables -A FORWARD -i [内网网卡名称] -j ACCEPT
iptables -t nat -A POSTROUTING -s [内网网段] -o [外网网卡名称] -j MASQUERADE

例：

echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -j MASQUERADE
iptables -A FORWARD -i ens33 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.50.0/24 -o ens37 -j MASQUERADE

2. 设置端口映射

iptables -t nat -A PREROUTING -p tcp -m tcp --dport [外网端口] -j DNAT --to-destination [内网地址]:[内网端口]

例：

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 6080 -j DNAT --to-destination 10.0.0.100:6090

qq3250845

什么是 APT 攻击




apt攻击是指高级持续性威胁，本质是针对性攻击。利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式，APT 攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在 APT 在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用 0day 漏洞进行攻击。

qq3250845

基于DPDK的高性能DDoS攻击防御系统设计与实现





网络技术的迅速发展给社会和人们生活带来了极大的便捷,但同时也使得DDoS攻击数量和规模迅速扩大,传统的DDoS攻击防御方案越来越难以有效应对。通过分析发现当前DDoS攻击呈现大流量、潮汐性、差异性和广泛性的特点,并在此基础上研究了目前DDoS攻击常见的防御方式、流量清洗技术、数据包处理技术和DDoS攻击防御系统部署方式四个方面的国内外研究现状,一种基于DPDK的高性能DDoS攻击防御系统。

主要工作和创新点包括以下四个方面:

(1)针对当前DDoS攻击态势一种基于DPDK的高性能DDoS攻击防御系统,主要包括数据包检测、流量清洗和管理中心三个模块。利用数据包检测模块对网络链路中的流量进行检测,若发现DDoS攻击则通过告警日志上报管理中心模块,管理中心模块收到告警日志后下发流量清洗指令到流量清洗模块,由流量清洗模块对链路流量进行引流,然后进行一系列流量清洗和过滤操作,最后将流量回注到原链路中。
(2)在数据包检测模块中,利用DPDK的快速包处理特性,将DPDK应用于数据包捕获过程,并且扩展了 DPDK数据包捕获程序的功能,加入数据包识别、分类以及吞吐率计算过程,通过实时吞吐率检测对吞吐率超过防御阈值的情况上报告警信息到管理中心。测试结果表明采用DPDK方式相比传统方式在丢包率和时延等性能上有较大提升。
(3)在流量清洗模块中,利用特征过滤、虚假源认证、黑名单过滤和智能限速这四个主要步骤进行攻击数据包过滤。同样利用DPDK捕获引流来的数据包,然后对数据包捕获程序进行扩展,加入上述流量清洗过程。其中在特征过滤步骤中,利用解析数据包的源端口字段特征来过滤利用特定端口发起的UDP反射放大攻击;在虚假源认证步骤中,一种改进的Counting Bloom Filter算法——HCBF(High-Performance Counting Bloom Filter)算法进行虚假源地址识别,过滤利用伪造源地址发起的DDoS攻击。测试结果表明HCBF算法相比传统虚假源地址识别算法在漏报率和误报率等性能方面有较大提升。
(4)针对受攻击端单一的DDoS攻击防御系统难以应对当前大流量DDoS攻击的问题,在全国各省骨干网节点上部署本系统的数据包检测和流量清洗模块,并由统一的管理中心模块进行管理,从而实现在近DDoS攻击源端进行分布式的防御,以减轻受攻击端防御系统的压力并且提升防御性能。

qq3250845

       1、如果网站推广关键词不稳定，就得看网站是否有以下原因：

　　(1)搜索引擎更新算法

　　(2)网站服务器是否不稳定?

　　(3)网站有高质量的内容吗?

　　(4)网站还在审查中吗?

　　(5)网站是否存在漏洞?

　　(6)网站的外链建设有问题吗?

　　2、百度搜索引擎每周都会对网站进行不同程度的更新。这时候就会有很多网站推广关键词的起起落落。也有网站权利被降级的情况。如果你的网站上有很多收集到的内容，就会被百度算法命中，更3新后，关键词排名就会下降。

　　3、网站服务器的质量直接影响网站的打开速度。网站打开速度慢直接影响用户体验，网站弹跳率高。它也会影响搜索引擎爬虫的抓取结果。如果遇到网站很慢，会直接影响关键词排名的不稳定性

　　4、网站上高质量的文章也是非常重要的事情。如果网站上收集的文章太多，那么百度的收录就是一个问题。如果入选人数减少，排名自然会不稳定。

　　5、一旦新网站上线并被搜索引擎索引，不同的关键词排名就会出现在搜索引擎中。但是由于网站是新网站，百度的审核周期还没有完成，网站关键词就会下降。

qq3250845

高防是如何防御




数据中心，特别是高防数据中心，不仅需要一套好的网络布局来实现网络的负载均衡，还需要多套强大的硬件防火墙来做支撑，下边详细了解一下什么是高防服务器，以及防护DDos的原理。

高防服务器

抗DDos能力在200G以上的单个独立服务器，我们称之为高防服务器，能保障客户的业务安全及稳定，高防服务器地属于服务器的范畴内，每个机房的部署都是有区别的，硬防和软防也是目前防护的两大种类。硬防和软防是什么呢？用通俗易懂的说法就能够帮助客户抗下ddos或是CC攻击，对机房主节点线路进行全天候监测，检查服务器可能存在的安全漏洞，咱们都称之为高防服务器。

硬防和软防

在选择高安全性服务器时，您必须首先了解防御的类型和规模。防火墙是内部网和外部网之间以及专用网和公用网之间的一道保护屏障。防火墙分为两种类型：一种是软件防火墙，另一种是硬件防火墙。

1.软件防火墙：软件防火墙寄生在操作平台上。软件防火墙是通过软件将内部网与外部网络隔离的保护屏障。

2.硬件防火墙：硬件防火墙嵌入在系统中。硬件防火墙是由软件和硬件结合而成的。硬件防火墙在性能和防御方面优于软件防火墙。

流量牵引

这是新型防护手段，流量牵引技术，智能化的区分开正常与异常流量，把异常的攻击流量牵引到抗DDos或CC的防护设备上去，而不是让服务器自身来承受打击。

攻击种类

现在的攻击种类也多样化，Syn、Ack Flood、ICMP、HTTP GET、UDP_Flood、CC（Challenge Collapsar）、Tcp全连接攻击等这些都是攻击手段，就目前的防火墙设备来说只能分析每个数据包，分析数据连接的状态也是有限的，防护Syn或变异的Syn、Ack效果还行，但对Tcp和Udp协议不能从根本上来分析。其中Syn、UDP_Flood、CC（Challenge Collapsar）这几类也是最常见，遇到最频繁的攻击方式。当中CC（Challenge Collapsar）攻击是最为恶心，最让客户和机房头痛的攻击方式。

如何防护

什么是操作系统和分布式拒绝服务？DoS是一种使用单台计算机的攻击方法。分布式拒绝服务(DDoS)是基于拒绝服务攻击的一种特殊形式。这是一种分布式、协作的大规模攻击模式，主要针对相对较大的网站，如一些商业公司的、搜索引擎和政府部门的网站。DdoS攻击是利用一组受控机器攻击一台机器。这样的突然袭击很难防范，因此具很强的破坏性。如果网络管理员过去可以根据拒绝服务过滤IP地址，那么就没有办法处理拒绝服务的大量伪造地址。因此，防止DdoS攻击变得更加困难。如何采取有效措施来处理它？以下是从两个方面的介绍。DdoS攻击是黑客最常用的攻击手段，主要是为了确保安全而进行的防范。下面列出了一些常规的处理方法。

(1)常规扫描

定期扫描现有网络主节点，检查可能存在的安全漏洞，并及时清理新出现的漏洞。主干节点计算机由于其高带宽而成为黑客的最佳位置，因此加强这些主机自身的主机安全非常重要。此外，所有连接到网络主节点的计算机都是服务器级计算机，因此定期扫描漏洞变得更加重要。

(2)在主干节点配置防火墙

防火墙本身可以抵御DdoS攻击和其他攻击。当发现攻击时，可以将攻击定向到一些牺牲主机，这可以保护真正的主机免受攻击。当然，这些面向牺牲主机的系统可以选择不重要的系统，或者是像linux和unix这样漏洞很少、对攻击有很好的自然防御能力的系统。

(3)使用足够的机器来抵御黑客攻击

这是一个理想的应对策略。如果用户有足够的能力和资源来攻击黑客，当它不断访问用户、来获取用户资源时，它自己的能量逐渐被消耗，黑客可能无法支持攻击。

(4)充分利用网络设备保护网络资源

所谓网络设备是指路由器、防火墙等负载均衡设备，可以有效保护网络。当网络受到攻击时，路由器首先死亡，但其他机器没有死亡。重启后，失效路由器将恢复正常，并快速启动，不会有任何损失。如果其他服务器死亡，数据将会丢失，重新启动服务器是一个漫长的过程。特别是，一家公司使用负载平衡设备，因此当一台路由器受到攻击并崩溃时，另一台会立即工作。从而最大限度地减少DdoS攻击。

(5)过滤不必要的服务和端口

过滤不必要的服务和端口，也就是在路由器上过滤假的IP…许多服务器只打开服务端口是一种流行的做法，例如，WWW服务器只打开80个端口，并关闭所有其他端口或在防火墙上执行阻塞策略。

(6)检查访客来源

通过反向路由器查询，使用单播反向路径转发等方法检查访问者的IP地址是否正确。如果它是假的，它将被阻止。许多黑客攻击经常用假的IP地址来迷惑用户，并且很难找出它来自哪里。因此，使用单播反向路径转发可以减少虚假IP地址的发生，有助于提高网络安全性。

(7)过滤所有RFC1918的IP地址

RFC1918 IP地址是内部网的IP地址，例如10.0.0.0、 192.168.0.0和172.16.0.0。它们不是网段的固定IP地址，而是保留在互联网内部的区域IP地址，应该过滤掉。该方法不过滤内部人员的访问，而是过滤攻击过程中伪造的大量虚假内部IP，从而减少DdoS攻击。

(8)限制同步/ICMP流量

用户应在路由器上配置SYN/ICMP的最大流量，以限制SYN/ICMP数据包可占用的最大带宽，以便当大量SYN/ICMP流量超过限制时，这不是正常的网络访问，而是黑客入侵。早期限制SYN/ICMP流量是防止DOS的最好方法，虽然这种方法对DDoS的影响并不明显，但仍然可以起到一定的作用。如果用户受到攻击，寻找处理攻击的机会，他能做些什么来抵抗攻击将是非常有限的。由于一场大流量的灾难性攻击没有做好准备，网络很可能在用户恢复意识之前就瘫痪了。然而，用户仍然可以抓住机会寻找一线希望。

(1)检查攻击来源

通常黑客会通过多个假IP地址发起攻击，此时，如果用户能分辨出哪个是真正的IP地址，哪个是假IP地址，然后知道IP来自哪个网段，然后要求网络管理员关闭这些机器，以便从一开始就消除攻击。如果您发现这些IP地址来自外部，而不是来自公司的IP，您可以通过临时过滤服务器或路由器上的IP地址来过滤这些IP地址。

(2)找出攻击者通过的路径并阻止攻击

如果黑客从某些端口发起攻击，用户就可以阻止这些端口的入侵。然而，这种方法对公司的网络只有一个出口，当受到外部DDoS攻击时，它无法工作。毕竟，在退出端口关闭后，没有一台计算机能够访问互联网。

如果按照本文的方法和思路去防范DDos的话，收到的效果还是非常显著的，可以将攻击带来的损失降低到最小。

qq3250845

应用程序是指通过各种协议向客户端公开业务逻辑的程序。它提供对业务逻辑的访问，供客户端应用程序使用。接口服务器是提供给第三方调用的服务，主要是为了我们自己应用的安全，所以我们只在接口服务器中封装可以提供给第三方调用的东西。随着互联网的发展，传统的“主机/终端”或“客户端/服务器”的应用系统模式已经不能适应新的环境，于是出现了新的分布式应用系统。相应地，出现了新的开发模式，即所谓的“浏览器/服务器”结构和“瘦客户端”模式。应用是实现这种模式的核心技术。

一、为什么要使用应用服务器？有什么好处？

当您需要与现有的数据库和服务器(如网络服务器)集成时，您应该使用应用服务器。它可以通过启用集中式方法来提供数据和代码完整性，从而提供应用程序更新和升级。可伸缩性是使用应用服务器的另一个原因和好处。应用服务器可以连接到数据库。这意味着企业可以在不增加数据库连接数量的情况下扩展网络服务器群。另一个好处是安全。如果从网页到数据库的直接链接被暴露，SQL注入将攻击基础设施。通过执行数据验证和/或通过单独的数据访问层显示业务逻辑，可以确保在Web表单中输入的文本不会被用作SQL调用。还可以通过集中身份验证过程和数据访问管理来提高安全性。它还可以通过限制网络流量来提高 对高性能要求的应用程序的性能。

二、它和其他类型的服务器有什么区别？

应用服务器不同于Web服务器，因为前者通过各种协议处理向应用程序提供业务逻辑，而Web服务器响应和处理HTTP请求。它托管一个网站，并存储静态内容，如图像、CSS、JavaScript和HTML页面。虽然Web服务器可能不支持事务或数据库连接，但它可能具有容错和可伸缩功能，例如负载平衡、缓存和集群。它不同于数据库服务器，因为它执行数据分析、存储、数据处理、归档和其他数据管理相关任务。服务器使用ODBC和JDBC等协议。它们还将托管数据库，如Oracle、SQL Server、MySQL等。

三、数据库服务器和应用服务器有什么区别？

1.根据不同的应用环境，需要不同的数据库服务器。一般来说，如果数据库服务器需要连接更多不同权限组的客户端，就需要更多的网络接口。此外，数据库服务器的处理器性能相对较高，因为它需要频繁的操作，并且它的内存需求很大，这加快了数据访问的速度。应用服务器的要求相对较低。如果是FTP服务器，网卡的速度更高，至少千兆。web服务器对网卡的速度也有更高的要求，但是处理器的性能没有那么高。

2. 产品的硬件也很重要。应用服务器位于网络和数据库之间，但是应用服务器实际上是做什么的呢？应用服务器为应用程序提供业务逻辑。它是以服务器为中心的架构中基于组件的中间件。这种架构通常是一个主要的基于网络的界面。它是业务逻辑所在的应用服务器。第三层，即后端，是负责数据库的服务器。应用服务器充当用户和数据库之间的交互。应用服务器通过各种协议向客户端应用程序打开业务逻辑。它还可以包括计算机、网络服务器或其他应用服务器上的图形用户界面。逻辑通过组件应用编程接口传递。它还管理自己的资源，并执行安全性、事务处理、资源和连接池以及消息传输。对于高端需求，应用服务器通常具有高可用性监控、集群、负载平衡、集成冗余和高性能分布式应用服务，并支持复杂的数据库访问。

qq3250845

语义分析非规则运算引擎，为下一代区块链提供防护服务



区块链（传统定义），是一个又一个区块组成的链条。每一个区块中保存了一定的信息，它们按照各自产生的时间顺序连接成链条。这个链条被保存在所有的服务器中，只要整个系统中有一台服务器可以工作，整条区块链就是安全的。这些服务器在区块链系统中被称为节点，它们为整个区块链系统提供存储空间和算力支持。如果要修改区块链中的信息，必须征得半数以上节点的同意并修改所有节点中的信息，而这些节点通常掌握在不同的主体手中，因此篡改区块链中的信息是一件极其困难的事。相比于传统的网络，区块链具有两大核心特点：一是数据难以篡改、二是去中心化。基于这两个特点，区块链所记录的信息更加真实可靠，可以帮助解决人们互不信任的问题。

狭义区块链是按照时间顺序，将数据区块以顺序相连的方式组合成的链式数据结构，并以密码学方式保证的不可篡改和不可伪造的分布式账本。广义区块链技术是利用块链式数据结构验证与存储数据，利用分布式节点共识算法生成和更新数据，利用密码学的方式保证数据传输和访问的安全、利用由自动化脚本代码组成的智能合约，编程和操作数据的全新的分布式基础架构与计算范式。

公有区块链（Public Block Chains）：世界上任何个体或者团体都可以发送交易，且交易能够获得该区块链的有效确认，任何人都可以参与其共识过程。公有区块链是最早的区块链，也是应用最广泛的区块链，各大bitcoins系列的虚拟数字货币均基于公有区块链，世界上有且仅有一条该币种对应的区块链。

行业区块链（Consortium Block Chains）：由某个群体内部指定多个预选的节点为记账人，每个块的生成由所有的预选节点共同决定（预选节点参与共识过程），其他接入节点可以参与交易，但不过问记账过程（本质上还是托管记账，只是变成分布式记账，预选节点的多少，如何决定每个块的记账者成为该区块链的主要风险点），其他任何人可以通过该区块链开放的API进行限定查询。

私有区块链（Private Block Chains）：仅仅使用区块链的总账技术进行记账，可以是一个公司，也可以是个人，独享该区块链的写入权限，本链与其他的分布式存储方案没有太大区别。传统金融都是想实验尝试私有区块链，而公链的应用例如bitcoin已经工业化，私链的应用产品还在摸索当中。

从实践进展来看，区块链技术在商业银行的应用大部分仍在构想和测试之中，距离在生活、生产中的运用还有很长的路，而要获得监管部门和市场的认可也面临不少困难，主要有：

（一）受到现行观念、制度、法律制约。区块链去中心化、自我管理、集体维护的特性颠覆了人们生产生活方式，淡化了国家、监管概念，冲击了现行法律安排。对于这些，整个世界完全缺少理论准备和制度探讨。即使是区块链应用最成熟的比特币，不同国家持有态度也不相同，不可避免阻碍了区块链技术的应用与发展。解决这类问题，显然还有很长的路要走。

（二）在技术层面，区块链尚需突破性进展。区块链应用尚在实验室初创开发阶段，没有直观可用的成熟产品。比之于互联网技术，人们可以用浏览器、APP等具体应用程序，实现信息的浏览、传递、交换和应用，但区块链明显缺乏这类突破性的应用程序，面临高技术门槛障碍。再比如，区块容量问题，由于区块链需要承载复制之前产生的全部信息，下一个区块信息量要大于之前区块信息量，这样传递下去，区块写入信息会无限增大，带来的信息存储、验证、容量问题有待解决 。

（三）竞争性技术挑战。虽然有很多人看好区块链技术，但也要看到推动人类发展的技术有很多种，哪种技术更方便更高效，人们就会应用该技术。比如，如果在通信领域应用区块链技术，通过发信息的方式是每次发给全网的所有人，但是只有那个有私钥的人才能解密打开信件，这样信息传递的安全性会大大增加。同样，量子技术也可以做到，量子通信——利用量子纠缠效应进行信息传递——同样具有高效安全的特点，近年来更是取得了不小的进展，这对于区块链技术来说，就具有很强的竞争优势。

qq3250845

确保端点安全的五大策略


从移动设备到服务器和容器，端点在日益复杂的攻击中仍为攻击目标。尽管企业已部署多种形式的端点保护，但许多攻击行为都依赖于入侵端点才能成功。为了有效应对安全漏洞，企业需要使用可用的最佳端点保护措施进行全副武装。

端点容易遭到攻击的目标

端点是系统和应用访问的主要入口点，随着用户和设备数量持续增长，基础架构中某些设备被忽视或不受管理的可能性也随之增加。根据Ponemon Institute的数据显示，68%的企业经历过一次或多次端点攻击，这些攻击成功窃取了数据或入侵其 IT 基础架构。研究中超过一半的受访者认为自身端点安全解决方案在检测高级攻击方面没有作用。对于IT和安全专业人员来说，管理并保护分布式端是一项挑战，他们可能会力不从心，无法支持企业的数字转型计划、云迁移和远程办公的员工队伍。当下是企业认真评估端点安全方案的绝佳时机，尤其是端点安全方案正在不断创新并探索如何将保护范围扩大到端点之外。注意，并非所有端点安全解决方案都有同样的效果。端点防护最早是在防病毒软件开发出来后开始的，防病毒软件的目的是扫描端点文件中的恶意软件，以检测和清除计算机中的病毒。为应对不断变化的威胁，需要用更加现代的端点安全解决方案。

端点检测和响应的必要性

当今最流行、最有效的端点安全策略是采用端点检测和响应 (EDR) 技术。端点保护永远无法做到尽善尽美，无法自动阻止一切威胁，但可以阻止99%以上的入侵行为，可仍然会留下 1% 的风险，需要使用高级检测和响应功能来发现并阻止这些攻击。

随着端点安全市场不断成熟，EDR解决方案将最佳保护和检测功能进行结合，为抵御端点上的威胁提供了行之有效的工具。EDR有助于加快事件响应团队的响应时间，理想情况下，还可以在造成损害之前阻止威胁。EDR为安全分析师带来了许多好处，包括利用基于规则的自动响应和分析功能实时持续监控和收集端点数据。通过深入了解事件，可以提高事件响应速度。已实施 EDR 解决方案的企业报告称威胁检测的平均时间 (MTTD) 有所减少、未被调查的警报数量也已降低， 阻止威胁的平均时间也有所缩短。

端点安全要求

如今，端点安全市场有诸多选择，五个关键特性和功能帮助企业高效选择行之有效的EDR 解决方案：

1.高级威胁防御

据估计，每天有45 万个新注册的恶意软件实例。依赖签名数据库和更新的传统反病毒解决方案无法应对大量新威胁。最佳端点保护解决方案应利用技术阻止漏洞利用，使用机器学习阻止恶意软件文件，并观察多种行为以阻止恶意行为。

2.卓越的检测功能

最复杂、最具破坏性的攻击甚至可以绕过最佳防御措施，因此需要成熟的检测能力，以便在入侵发生之前快速识别并阻止威胁活动。识别这些攻击的最佳方法是使用丰富的数据收集和详细的端点遥测，通过机器学习随着时间的推移进行分析，清楚地了解攻击链，以便在警报分类和验证期间进行丰富的分析。

专业提示：想要快速排除干扰，了解检测声明是否合格？以下是值得关注的创新威胁检测功能列表:
将警报智能分组到事件中
基于机器学习的事件评分
端点取证，包括内存数据
跨数据分析
跨客户分析
跨端点的索引式实时搜索
长期数据存储

在寻求EDR 解决方案时，了解检测质量至关重要。评估解决方案检测到的威胁类型以及用于检测的技术和技巧均至关重要，如MITRE ATT&CK 评估报告。

3.简化的调查和响应
尽管每周花费数百个小时进行警报调查，但无论严重程度如何，都有高达 17% 的警报未被调查，误报也是导致大量警报被忽略的原因之一。要加快响应时间，就要通过自动化而非手动操作来简化调查，以发现警报的根本原因、事件顺序和威胁情报详细信息。通过合适的事件管理，自动关联警报并将其整合到事件中，以减少单个警报的数量、简化调查并加快事件响应速度。

4.便于部署和管理
EDR 应通过可在单个管理控制台中进行端点策略管理、检测、调查和响应的平台最大限度地提高工作效率。云原生平台提供简化的部署，无需部署新的本地日志存 储或网络传感器。代理应易于安装，且无需重启端点即可开始保护。现代端点安全方案无需本地日志记录和管理服务器，从而简化了操作。

5.行业验证和独立测试
在评估 EDR 解决方案时，企业应该始终寻找那些备受认可，并且性能通过第三方测试、分析师验证和客户证明的解决方案。MITRE ATT&CK 评估旨在帮助供应商和最终用户深入了解与 MITRE 可公开访问的 ATT&CK 框架相关的产品功能。AV-Comparatives 提供端点防御和响应 (EPR) 测试，以帮助验证反恶意软件解决方案的有效性。该评估会考虑端点威胁预防、易用性、调查的彻底性和响应能力，确保评估能够反映安全效力和总体拥有成本。最后，每个企业的环境都是独一无二的。在概念验证 (PoC) 期间以及在生产中以试点形式测试一 个解决方案，对于评估其集成性、可用性和互操作性至关重要。

qq3250845

DDoS兴风作浪，游戏行业：为什么受伤的总是我？



一个拥有百万玩家的游戏平台，突然无法正常响应玩家请求，服务器被大量伪造的数据包淹没。这时，游戏平台收到了一封来自黑客组织的电子邮件，要求支付价值约2万元的比特币作为赎金，否则将持续对其服务器发动DDoS攻击。

这一幕在游戏行业几乎天天上演。游戏行业是遭受DDoS攻击最多的行业之一，从大厂到小工作室，再到游戏推荐平台，都难逃DDoS的“魔爪”，因攻击导致炸服、停服的新闻屡见不鲜。

我们过往十余年中，为数百家游戏企业提供过安全服务，完整地经历了游戏行业攻防对抗的演进历程，和游戏企业安全意识的转变。

“越来越多游戏公司意识到，面对DDoS威胁，找一个真正能防得住的安全厂商，用一个固定的、可接受的投入，防住未来可能发生的数不清的攻击，是更理智的选择，”我们产品张总监如是说。

真防得住，就是游戏客户在我们防护下对黑产坚决说“不”的底气。

01

为何DDoS在游戏行业如此猖獗？

张总监分析，这一方面是由于游戏自身的特性——流水量大且对网络波动极为敏感，使得DDoS这种打瘫服务器的攻击方式非常奏效。

另一方面，“技术的发展让DDoS越来越易攻难守。”

僵尸网络和反射放大技术，让黑产能够用非常低的成本，发动Tb级超大流量攻击。加上精巧型慢速CC、高频瞬时攻击等更加精细化、隐蔽化的攻击手段的出现，极大提升了防御的难度和成本，让游戏团队在支付赎金和购买DDoS防护服务的投入和效益之间做权衡。

面对不断升级的DDoS威胁，只有真正防得住、经得住考验的防护服务，才能坚定游戏企业与网络黑产抗击到底的信心。

02

我们有什么对抗DDoS的经典案例？

无论面对超大流量攻击，还是难以识别的CC攻击，我们都曾刷新过国内防御纪录。

去年11月，某游戏推荐平台在我们平台上监测到多次超过T级的DDoS攻击流量，蹿升速极快，其中最大的一次，攻击持续3个小时，峰值带宽达到2.39Tbps。秒级监测的我们平台，监测到异常流量后，智能防护算法识别为混合型DDoS攻击，自动开启防护策略。

我们分布式架构天然擅长分散和抵御攻击流量，平台防护带宽总量高达15T，支持无上限防御。我们成功为该游戏推荐平台防御了数轮攻击，其业务始终未受到任何影响。

在CC攻击防御方面，我们也发展出了强大的防御体系。今年4月，我们成功防御过峰值高达3695万QPS的CC攻击，超过了当时全球已知最高应用层攻击防御纪录。