白山ATD是市面上少有的专注于防护应用层攻击的威胁识别防护产品,应用层攻击具有IP真实、行为界定困难、攻击变种多等特点,白山ATD将大数据技术和机器学习结合起来,并且利用特有的IP信用等级、包丢弃技术可以有效的防止CC攻击、恶意爬虫、恶意刷单、撞库、慢速攻击等行为。 白山ATD具有以下几个特点:
- 纯软件私有云旁路部署
- 实时离线大数据分析结合机器学习算法精准识别威胁攻击
- IP信用等级二次验证,提高识别准确率
- 包丢弃技术,可以大大增加攻击者成本
首先,CC攻击都是合法的HTTP请求,都是真实IP,所以在前面的流量清洗设备无法将其拦截。其次,对于高频攻击而言,恶意攻击和群体“秒杀”等行为区别很困难,不进行智能趋势分析不可能进行精准识别。另外,传统的硬件HTTP安全产品在防范CC攻击方面具有明显劣势,比如一些硬件防火墙会利用RST反弹等技术进行防护,但这种技术实际会影响用户体验。最后,CC攻击的变化有很多,用户可以根据实际的请求模式,变化出很多的攻击方式,使人难以防护。
不能。ATD专著于防范应用层攻击,换句话说,它是工作在入口流量后的,可以有效的防止负载均衡设备或者Web服务器的CPU、内存、连接数等资源被消耗。但是,如果入口流量被打满,ATD产品将无法知晓,这种情况请企业购买流量清洗中心进行防御。
经过严格测试得出,延迟控制在毫秒级别以内,当然,对于私有云部署模式,这依赖于企业内网通信的延迟和稳定性。
云聚合是白山云科技推出的针对API网关、API加速、ATD的一系列产品总称,ATD是云聚合的一个子产品。
对接ATD只需要做两个工作:
- 将HTTP访问日志推送给Kafka队列,可以使用各种语言的客户端
- 将大数据的分析结果触发到拦截器,如果使用我们自带的拦截器,这块无需关注。但对于某些场景,比如硬件负载均衡,无法部署我们的拦截器,这种情况可以直接对接负载均衡设备的接口,进行拦截。
可以使用HTTP标准header:x-forward-for记录原始客户端IP,也可以使用自定义的标准,只要能让ATD产品知道哪个字段能表示客户端原始IP即可。