《YY直播應用大數(shù)據決勝安全對抗的實踐》《YY直播應用大數(shù)據決勝安全對抗的實踐》1大數(shù)據安全對抗應用背景大數(shù)據分析在DDOS對抗中的應用大數(shù)據分析在機器人外掛識別中的應用1235大數(shù)據安全對抗應用背景大數(shù)據分析在機器人外掛識別中的應用132大數(shù)據讓YY安全防御體系從“溫飽”過渡到“小康”大數(shù)據讓YY安全防御體系從“溫飽”過渡到“小康”3歡聚時代(YY)直播業(yè)務

--

娛樂&游戲&教育歡聚時代(YY)直播業(yè)務--娛樂&游戲&教育4DDOS

攻擊滲透入侵外掛業(yè)務破壞逆向破解

盜號盜Y幣面臨的安全威脅DDOS滲透外掛業(yè)務逆向 盜號面臨的安全威脅5對抗技術演進攻擊、入侵、滲透等顯著特征模糊識別精

TEXT

別

ADD

CONTENTS確識從“精確的模式特征”

向

“模糊的模式特征”演進

通過大數(shù)據分析、數(shù)據挖掘、實時計算等分析模糊特征對抗技術演進攻擊、入侵、滲透等顯著特征模糊識別精TEXT6YY直播應用大數(shù)據決勝安全對抗的實踐培訓課件7YY直播應用大數(shù)據決勝安全對抗的實踐培訓課件8

云防DDOS業(yè)務風控系統(tǒng)

WAF

Kafka&Storm&Hadoop

大數(shù)據(實時&離線)計算平臺(K-Means、Decision

Tree、Apriori等)安全系統(tǒng)的log/message上報外掛對抗系統(tǒng)主機入侵檢測賬號安全系統(tǒng)

計算結果在安全系統(tǒng)中應用

業(yè)務系統(tǒng)(登陸、禮物、好友、搜索等)

登陸、支付等協(xié)議數(shù)據上報

計算分析結果:(IP畫像庫、設備

畫像庫等)基線歷史數(shù)據：

bps/pps/qps/rt

等基線數(shù)據大數(shù)據計算在平臺框架 云防DDOS Kafka&Storm&Hadoop安全系9大數(shù)據安全對抗應用背景大數(shù)據分析在DDOS對抗中的應用大數(shù)據分析在機器人外掛識別中的應用12345大數(shù)據安全對抗應用背景大數(shù)據分析在機器人外掛識別中的應用1310YY直播應用大數(shù)據決勝安全對抗的實踐培訓課件11基于src_ip頻率模式基于報文特征頻率模式src_ip的散列度&歸屬地報文的重復度攻擊報文聚類挖掘機器學習報文特征IP畫像庫大數(shù)據流量模型機器學習防御DDOS技術演進

畸形報文特征

非法填充報文特征

黑名單攻擊報文特征

白名單指紋特征

Syn

cookie等人機挑戰(zhàn)基于src_ip頻率模式攻擊報文聚類挖掘防御DDOS技術演進12（1）機器學習報文提取特征；（2）大數(shù)據分析疑似的攻擊源ip；（3）基于大數(shù)據IP進行“柔性可活”人機挑戰(zhàn)和對抗；（4）基于歷史大數(shù)據學習單ip響應延時數(shù)學分布;在DDOS防御中的應用場景（1）報文特征根據經驗輸入程序；（2）根據當前請求頻率分析攻擊源；（3）根據當前的請求src_ip對抗；（4）根據經驗預先“拍”閾值；（1）機器學習報文提取特征；在DDOS防御中的應用場景13場景一：大數(shù)據分析在報文特征機器學習和攻擊源IP的識別云防DDOS

檢測模塊云防DDOS清

洗模塊服務器A服務器B服務器CC的攻擊流量

清洗后C的流量A的正常流量

B的正常流量

鏡像或分光A,B,C所有流

量

核心交換機LVS+Nginx集群(WAF)

C的流量被牽

引到清洗設備正常用戶攻擊者大數(shù)據中心WAF處理Http協(xié)議CC攻擊場景一：大數(shù)據分析在報文特征機器學習和攻擊源IP的識別云防D14

鏡像流量攻擊檢測引擎流量回注

交換機轉發(fā)流量到業(yè)

務服務器

發(fā)現(xiàn)攻擊

BGP宣告路由流量清洗引擎

攻擊？沒有攻擊大數(shù)據分析

平臺 鏡像流量流量回注轉發(fā)流量到業(yè) 發(fā)現(xiàn)攻擊 攻擊？大數(shù)據分析15云防DDOS在清洗比例低于閾值自動抓包云防DDOS在清洗比例低于閾值自動抓包16解析報文并提取關鍵信息挖掘至長度為4字節(jié)的特征，發(fā)現(xiàn)特征：74

55

42

02挖掘完畢，最長長度為4字節(jié)，共15個特征，目前以文件方式記錄云防DDOS實現(xiàn)基于DPDK自動抓包分析報文特征解析報文并提取關鍵信息挖掘至長度為4字節(jié)的特征，發(fā)現(xiàn)特征：717正文第46字節(jié)

第45字節(jié)

…

…Vx，其中x指代數(shù)據包正文部分第x個字節(jié)惡意特征概率發(fā)現(xiàn)特征由于算法決定，特征串需要經過序號排列最終符合閱讀習慣，后續(xù)將根據調用特征的接口所需規(guī)范進行翻譯實際所指代的含義V40

V41

V42

V43

V44

V45

V46

V47

V48

V49

V50

64

**

94

**

**

32

67

**

26

16

e7

64

54

94

**

**

32

67

**

26

16

**正文第46字節(jié)第45字節(jié)……Vx，其中x指代數(shù)據18發(fā)現(xiàn)可疑IP寫文件記錄可疑IP惡意顯著性抽查結果與惡意IP庫中已收錄IP相互印證云防DDOS在攻擊報文中識別惡意IP

分析到第10個pcap文件將前述的Apriori算法改造，可用于大規(guī)模發(fā)現(xiàn)DDOS攻擊中的惡意IP發(fā)現(xiàn)可疑IP可疑IP惡意顯著性抽查結果與惡意IP庫中已收錄I.總包量40萬，源地址數(shù)量39萬，散列度極高99%的IP只發(fā)送一個數(shù)據包源地址表面接近，實則地理分布分散，海外地址比例過高，分別來源泰國，日本，韓國，澳大利亞，廣州，福州等地（目標服務器位于遼寧沈陽）不同位置的服務器訪問相同的目標服務器，TTL高度集中在同一水平（238）時間戳源地址目標地址包長

TTL

源端口

目的端口偽造源地址攻擊的樣本1.總包量40萬，源地址數(shù)量39萬，時間戳源地址目標地址包長20度量說明定義正常訪問真實地址攻擊虛假地址攻擊時間窗口內源地址散列程度該度量隨正常訪問真實地址攻擊虛假地址攻擊顯著提升單位時間窗口內，互異的IP數(shù)量除以總的包數(shù)量小于10%稍高，約30%~40%約90%相繼同源數(shù)據包比例虛假地址攻擊中該比例較正常訪問或真實地址攻擊大幅降低時間軸上相鄰兩個訪問數(shù)據包具有同源的數(shù)量除以總體相鄰數(shù)目高于10%約10%上下小于5%時間窗口內單包傳輸比例虛假IP地址幾乎不會重復使用，絕大部分虛假地址只會發(fā)送一個數(shù)據包統(tǒng)計各源IP發(fā)包數(shù)量，計算發(fā)送單包IP數(shù)量的占比90%以上大于190%以上大于190%以上是單包時間窗口內TTL均值及標準差虛假IP數(shù)據包通常設置TTL為255，且虛假IP占絕大多數(shù)下，TTL均值趨于更大計算單位時間窗口內數(shù)據包TTL的均值和方差均值：約50多至60多標準差：小于30均值：約50多至110多標準差：大于30均值：大于200標準差：小于30IP與指定相鄰IP間組內距離*真實地址傾向頻繁出現(xiàn)，且通常來自相近地理位置，虛假地址則傾向隨機，分布不存在規(guī)律某一源地址，計算它與其后N個地址的平均距離普遍小于50100上下，通常小于200普遍超過300度量說明定義正常訪問真實地址虛假地址攻擊時間窗口內源地該度量21正常訪問或真實地址攻擊中：1.2.同一IP總是頻繁重復出現(xiàn)，相鄰距離較多出現(xiàn)0的情況由于負載均衡和網絡加速技術，目標服務器總是服務于相對固定區(qū)域的用戶而虛假地址攻擊中：1.2.幾乎不存在相鄰距離為0的情況（虛假IP不會重復出現(xiàn)）訪問目標機器的IP呈現(xiàn)隨機化K相鄰IP組內距離概念正常訪問或真實地址攻擊中：1.同一IP總是頻繁重復出現(xiàn)，相鄰22正常樣本.5.源地址散列程度

：0.028相繼同源IP比例：46%發(fā)包規(guī)模：90%以上29個包以上TTL均值

62，標準差1310個相鄰IP間距：79真實地址攻擊樣本.5.源地址散列程度

：0.101相繼同源IP比例：8.5%發(fā)包規(guī)模：90%以上22個包以上TTL均值

51，標準差1410個相鄰IP間距：105虛假地址攻擊樣本.5.源地址散列程度

：0.931相繼同源IP比例：3.0%發(fā)包規(guī)模：99%以上單包TTL均值

230，標準差3410個相鄰IP間距：455正常樣本1.源地址散列程度：0.028真實地址攻擊樣本1.23IP相鄰間IP距離IP相鄰間IP距離K相鄰IP組內距離（K=10）

真實地址樣本虛假地址樣本?

100%國內地址?

超過50%有在惡意IP庫收錄?

同外掛和網絡代理維度匹配?

（確認為真實地址）?

約6%IP與惡意IP庫記錄重合?

絕大部分海外地址IP相鄰間IP距離IP相鄰間IP距離K相鄰IP組內距離（K=24大數(shù)據IP畫像在CC攻擊對抗中的應用場景檢測算法：（1）單src_ip的連接數(shù)超過閾值（舉例：200

QPS)；（2）后端業(yè)務服務器（tomcat)響應延時超時比例超過閾值(舉例：50%）；（3）后端業(yè)務服務器（tomcat)響應延時延遲比例閾值(舉例：8s以上30%）；防御算法：（1）人機挑戰(zhàn)(anticookie-js)；（2）根據當前連接數(shù)，封src_ip

top

n

的http請求；應用大數(shù)據：（1）計算所有后端服務器(tomcat)響應nginx集群的響應的延時數(shù)學分布；（2）計算分析歷史單src_ip的連接數(shù)數(shù)學分布數(shù)據；（3）根據當前的連接數(shù)top

n

同時結合IP畫像庫大數(shù)據，精確度更高；大數(shù)據IP畫像在CC攻擊對抗中的應用場景檢測算法：25云防DDOS外掛對抗WAF防刷系統(tǒng)IP畫像數(shù)據分析移動安全加

固反廣告過濾賬號安全系

統(tǒng)

秩序違規(guī)反向探測掃描IP畫像庫（1）探測開放代理端口（2）探測XX云主機（3）探測域名解析IP（4）探測IP歸屬地（5）探測運行路由服務

IP畫像服務接口層提供IP畫像調用接口，返回IP惡意定級、命中

維度IP畫像庫大數(shù)據分析框架圖云防DDOS外掛對抗WAF防刷系統(tǒng)IP畫像數(shù)據分析移動安全加26YY直播應用大數(shù)據決勝安全對抗的實踐培訓課件27大數(shù)據安全對抗應用背景大數(shù)據分析在DDOS對抗中的應用大數(shù)據分析在機器人外掛識別中的應用12345大數(shù)據安全對抗應用背景大數(shù)據分析在機器人外掛識別中的應用1328YY直播應用大數(shù)據決勝安全對抗的實踐培訓課件29YY直播應用大數(shù)據決勝安全對抗的實踐培訓課件30正常用戶&行為惡意用戶&行為攻擊行為、入侵行為、滲透掃描行為、

外掛機器人用戶等惡意特征明顯；正常用戶&行為特征明顯；大數(shù)據

分析Storm/Hadoop大數(shù)據分析在用戶行為識別的應用正常用戶&行為惡意用戶&行為攻擊行為、入侵行為、滲透掃描行為31設備畫像設備硬件信息設備環(huán)境信息

IP畫像網絡信

息黑產IP

歷史地域信

息用戶畫像行為模

式惡意歷史信息登陸信

息特征通訊協(xié)議特征進程埋點特征

技術行

為特征技術KafkaStormHadoop數(shù)據挖掘

分析機器人外掛對抗系統(tǒng)機器人用戶大數(shù)據識別框架

設備運

行信息

對抗策略下發(fā)登陸服務對抗策略下發(fā)

XXXX服務

對抗策略下發(fā)頻道服務設備設備硬設備環(huán) IP網絡信黑產IP地域信用戶行為模惡意歷登32已知某條件概率，如何得到兩個事件交換后的概率，也就是在已知P(A|B)的情況下如何求得P(B|A)

。換成反外掛領域語言理解：已知外掛（非外掛）中uid的各特征組合的百分比，根據樸素貝葉斯定理，可求得當出現(xiàn)指定特征組合時，該特征視為外掛（非外掛）的概率已知某條件概率，如何得到兩個事件交換后的概率，也就是在已知P33分析1Confidence=0.5為例對這些序列計算密度函數(shù)

正態(tài)分布指數(shù)分布分析1Confidence=0.5為例對這些序列計算密度函數(shù)34分析2左圖是將不同的Confidence得到的序列的分布函數(shù)集中展現(xiàn)。橫軸是單個IP多開UID數(shù)量，縱軸是多開數(shù)量占總體數(shù)量的百分比。如圖中的黑圈，表示Confidence為0的情況下，一個IP登錄一個UID的情況占比超過90%。對應的紅圈位置，表明Confidence為0.2時，一個IP登錄一個UID的情況占比降低，只有80%多。如果Confidence0.5時，單個IP同時登錄20個uid只占60%。推論：假設單個IP多開UID數(shù)目是外掛非常重要的特征，而Confidence=0.4屬外掛的可能性非常高，則只有約10%的樣本會被100這個閾值觸發(fā)找到（如前所述，結論無法推斷全體，只能限定該批樣本）分析2左圖是將不同的Confidence得到推論：假設單個I35演講完畢，謝謝觀看！演講完畢，謝謝觀看！36《YY直播應用大數(shù)據決勝安全對抗的實踐》《YY直播應用大數(shù)據決勝安全對抗的實踐》37大數(shù)據安全對抗應用背景大數(shù)據分析在DDOS對抗中的應用大數(shù)據分析在機器人外掛識別中的應用1235大數(shù)據安全對抗應用背景大數(shù)據分析在機器人外掛識別中的應用1338大數(shù)據讓YY安全防御體系從“溫飽”過渡到“小康”大數(shù)據讓YY安全防御體系從“溫飽”過渡到“小康”39歡聚時代(YY)直播業(yè)務

--

娛樂&游戲&教育歡聚時代(YY)直播業(yè)務--娛樂&游戲&教育40DDOS

攻擊滲透入侵外掛業(yè)務破壞逆向破解

盜號盜Y幣面臨的安全威脅DDOS滲透外掛業(yè)務逆向 盜號面臨的安全威脅41對抗技術演進攻擊、入侵、滲透等顯著特征模糊識別精

TEXT

別

ADD

CONTENTS確識從“精確的模式特征”

向

“模糊的模式特征”演進

通過大數(shù)據分析、數(shù)據挖掘、實時計算等分析模糊特征對抗技術演進攻擊、入侵、滲透等顯著特征模糊識別精TEXT42YY直播應用大數(shù)據決勝安全對抗的實踐培訓課件43YY直播應用大數(shù)據決勝安全對抗的實踐培訓課件44

云防DDOS業(yè)務風控系統(tǒng)

WAF

Kafka&Storm&Hadoop

大數(shù)據(實時&離線)計算平臺(K-Means、Decision

Tree、Apriori等)安全系統(tǒng)的log/message上報外掛對抗系統(tǒng)主機入侵檢測賬號安全系統(tǒng)

計算結果在安全系統(tǒng)中應用

業(yè)務系統(tǒng)(登陸、禮物、好友、搜索等)

登陸、支付等協(xié)議數(shù)據上報

計算分析結果:(IP畫像庫、設備

畫像庫等)基線歷史數(shù)據：

bps/pps/qps/rt

等基線數(shù)據大數(shù)據計算在平臺框架 云防DDOS Kafka&Storm&Hadoop安全系45大數(shù)據安全對抗應用背景大數(shù)據分析在DDOS對抗中的應用大數(shù)據分析在機器人外掛識別中的應用12345大數(shù)據安全對抗應用背景大數(shù)據分析在機器人外掛識別中的應用1346YY直播應用大數(shù)據決勝安全對抗的實踐培訓課件47基于src_ip頻率模式基于報文特征頻率模式src_ip的散列度&歸屬地報文的重復度攻擊報文聚類挖掘機器學習報文特征IP畫像庫大數(shù)據流量模型機器學習防御DDOS技術演進

畸形報文特征

非法填充報文特征

黑名單攻擊報文特征

白名單指紋特征

Syn

cookie等人機挑戰(zhàn)基于src_ip頻率模式攻擊報文聚類挖掘防御DDOS技術演進48（1）機器學習報文提取特征；（2）大數(shù)據分析疑似的攻擊源ip；（3）基于大數(shù)據IP進行“柔性可活”人機挑戰(zhàn)和對抗；（4）基于歷史大數(shù)據學習單ip響應延時數(shù)學分布;在DDOS防御中的應用場景（1）報文特征根據經驗輸入程序；（2）根據當前請求頻率分析攻擊源；（3）根據當前的請求src_ip對抗；（4）根據經驗預先“拍”閾值；（1）機器學習報文提取特征；在DDOS防御中的應用場景49場景一：大數(shù)據分析在報文特征機器學習和攻擊源IP的識別云防DDOS

檢測模塊云防DDOS清

洗模塊服務器A服務器B服務器CC的攻擊流量

清洗后C的流量A的正常流量

B的正常流量

鏡像或分光A,B,C所有流

量

核心交換機LVS+Nginx集群(WAF)

C的流量被牽

引到清洗設備正常用戶攻擊者大數(shù)據中心WAF處理Http協(xié)議CC攻擊場景一：大數(shù)據分析在報文特征機器學習和攻擊源IP的識別云防D50

鏡像流量攻擊檢測引擎流量回注

交換機轉發(fā)流量到業(yè)

務服務器

發(fā)現(xiàn)攻擊

BGP宣告路由流量清洗引擎

攻擊？沒有攻擊大數(shù)據分析

平臺 鏡像流量流量回注轉發(fā)流量到業(yè) 發(fā)現(xiàn)攻擊 攻擊？大數(shù)據分析51云防DDOS在清洗比例低于閾值自動抓包云防DDOS在清洗比例低于閾值自動抓包52解析報文并提取關鍵信息挖掘至長度為4字節(jié)的特征，發(fā)現(xiàn)特征：74

55

42

02挖掘完畢，最長長度為4字節(jié)，共15個特征，目前以文件方式記錄云防DDOS實現(xiàn)基于DPDK自動抓包分析報文特征解析報文并提取關鍵信息挖掘至長度為4字節(jié)的特征，發(fā)現(xiàn)特征：753正文第46字節(jié)

第45字節(jié)

…

…Vx，其中x指代數(shù)據包正文部分第x個字節(jié)惡意特征概率發(fā)現(xiàn)特征由于算法決定，特征串需要經過序號排列最終符合閱讀習慣，后續(xù)將根據調用特征的接口所需規(guī)范進行翻譯實際所指代的含義V40

V41

V42

V43

V44

V45

V46

V47

V48

V49

V50

64

**

94

**

**

32

67

**

26

16

e7

64

54

94

**

**

32

67

**

26

16

**正文第46字節(jié)第45字節(jié)……Vx，其中x指代數(shù)據54發(fā)現(xiàn)可疑IP寫文件記錄可疑IP惡意顯著性抽查結果與惡意IP庫中已收錄IP相互印證云防DDOS在攻擊報文中識別惡意IP

分析到第10個pcap文件將前述的Apriori算法改造，可用于大規(guī)模發(fā)現(xiàn)DDOS攻擊中的惡意IP發(fā)現(xiàn)可疑IP可疑IP惡意顯著性抽查結果與惡意IP庫中已收錄I5.總包量40萬，源地址數(shù)量39萬，散列度極高99%的IP只發(fā)送一個數(shù)據包源地址表面接近，實則地理分布分散，海外地址比例過高，分別來源泰國，日本，韓國，澳大利亞，廣州，福州等地（目標服務器位于遼寧沈陽）不同位置的服務器訪問相同的目標服務器，TTL高度集中在同一水平（238）時間戳源地址目標地址包長

TTL

源端口

目的端口偽造源地址攻擊的樣本1.總包量40萬，源地址數(shù)量39萬，時間戳源地址目標地址包長56度量說明定義正常訪問真實地址攻擊虛假地址攻擊時間窗口內源地址散列程度該度量隨正常訪問真實地址攻擊虛假地址攻擊顯著提升單位時間窗口內，互異的IP數(shù)量除以總的包數(shù)量小于10%稍高，約30%~40%約90%相繼同源數(shù)據包比例虛假地址攻擊中該比例較正常訪問或真實地址攻擊大幅降低時間軸上相鄰兩個訪問數(shù)據包具有同源的數(shù)量除以總體相鄰數(shù)目高于10%約10%上下小于5%時間窗口內單包傳輸比例虛假IP地址幾乎不會重復使用，絕大部分虛假地址只會發(fā)送一個數(shù)據包統(tǒng)計各源IP發(fā)包數(shù)量，計算發(fā)送單包IP數(shù)量的占比90%以上大于190%以上大于190%以上是單包時間窗口內TTL均值及標準差虛假IP數(shù)據包通常設置TTL為255，且虛假IP占絕大多數(shù)下，TTL均值趨于更大計算單位時間窗口內數(shù)據包TTL的均值和方差均值：約50多至60多標準差：小于30均值：約50多至110多標準差：大于30均值：大于200標準差：小于30IP與指定相鄰IP間組內距離*真實地址傾向頻繁出現(xiàn)，且通常來自相近地理位置，虛假地址則傾向隨機，分布不存在規(guī)律某一源地址，計算它與其后N個地址的平均距離普遍小于50100上下，通常小于200普遍超過300度量說明定義正常訪問真實地址虛假地址攻擊時間窗口內源地該度量57正常訪問或真實地址攻擊中：1.2.同一IP總是頻繁重復出現(xiàn)，相鄰距離較多出現(xiàn)0的情況由于負載均衡和網絡加速技術，目標服務器總是服務于相對固定區(qū)域的用戶而虛假地址攻擊中：1.2.幾乎不存在相鄰距離為0的情況（虛假IP不會重復出現(xiàn)）訪問目標機器的IP呈現(xiàn)隨機化K相鄰IP組內距離概念正常訪問或真實地址攻擊中：1.同一IP總是頻繁重復出現(xiàn)，相鄰58正常樣本.5.源地址散列程度

：0.028相繼同源IP比例：46%發(fā)包規(guī)模：90%以上29個包以上TTL均值

62，標準差1310個相鄰IP間距：79真實地址攻擊樣本.5.源地址散列程度

：0.101相繼同源IP比例：8.5%發(fā)包規(guī)模：90%以上22個包以上TTL均值

51，標準差1410個相鄰IP間距：105虛假地址攻擊樣本.5.源地址散列程度

：0.931相繼同源IP比例：3.0%發(fā)包規(guī)模：99%以上單包TTL均值

230，標準差3410個相鄰IP間距：455正常樣本1.源地址散列程度：0.028真實地址攻擊樣本1.59IP相鄰間IP距離IP相鄰間IP距離K相鄰IP組內距離（K=10）

真實地址樣本虛假地址樣本?

100%國內地址?

超過50%有在惡意IP庫收錄?

同外掛和網絡代理維度匹配?

（確認為真實地址）?

約6%IP與惡意IP庫記錄重合?

絕大部分海外地址IP相鄰間IP距離IP相鄰間IP距離K相鄰IP組內距離（K=60大數(shù)據IP畫像在CC攻擊對抗中的應用場景檢測算法：（1）單src_ip的連接數(shù)超過閾值（舉例：200

QPS)；（2）后端業(yè)務服務器（tomcat)響應延時超時比例超過閾值(舉例：50%）；（3）后端業(yè)務服務器（tomcat)響應延時延遲比例閾值(舉例：8s以上30%）；防御算法：（1）人機挑戰(zhàn)(anticookie-js)；（2）根據當前連接數(shù)，封src_ip

top

n

的http請求；應用大數(shù)據：（1）計算所有后端服務器(tomcat)響應nginx集群的響應的延時數(shù)學分布；（2）計算分析歷史單src_ip的連接數(shù)數(shù)學分布數(shù)據；（3）根據當前的連接數(shù)top

n

同時結合IP畫像庫大數(shù)據，精確度更高；大數(shù)據IP畫像在CC攻擊對抗中的應用場景檢測算法：61云防DDOS外掛對抗WAF防刷系統(tǒng)IP畫像數(shù)據分析移動安全加

固反廣告過濾賬號安全系

統(tǒng)

秩序違規(guī)反向探測掃描IP畫像庫（1）探測開放代理端口（2）探測XX云主機（3）探測域名解析IP（4）探測IP歸屬地（5）探測運行路由服務

IP畫像服務接口層提供IP畫像調用接口，返回IP惡意定級、命中

維度IP畫像庫大數(shù)據分析框架圖云防DDOS外掛對抗WAF防刷系統(tǒng)IP畫像數(shù)據分析移動安全加62YY直播應用大數(shù)據決勝安全對抗的實踐培訓課件63大數(shù)據安全對抗應用