腾讯科技讯，“流量是一个看不见的东西，又无处不在。”如果将安全攻防对抗比作一场战斗，流量就是一个出色的“情报员”，掌控着敌方各种入侵动作及意图，并以最快的速度同步“指挥官”，协助指挥官做出正确战略决策，夺取胜利。
　　8 月 20 日，XCon2020 安全焦点信息安全技术峰会在北京举行。会上，腾讯云 DDoS 防护团队分享了将流量分析应用于攻防对抗的腾讯内部实战案例，并介绍了腾讯内部工程化的纵深防御体系。
　　通过挖掘流量的安全能力，将各个安全系统有效串联，构建多层防线的纵深防御体系，腾讯云搭建了面向未来的安全防御“堡垒”，形成“团战”的力量。
　　安全攻防进入深水区，纵深防御是基础
　　随着 5G 时代的到来，网络环境正在经历巨变，企业也在面向数字化云化转型。与之相对，黑客攻击手法也在不断演进：模拟真人、多源低频、APT 等各类攻击手段层出不穷，企业安全建设面临新的挑战。
　　传统企业的安全体系建设，往往通过叠加多种基础安全产品进行防护，如网络层防 DDoS 攻击、主机层防入侵、应用层防漏洞等。想象中的情况是各个版块各展所长，然而实际情况往往却是各层系统信息不互通、碎片化、各自为战，不可避免造成“安全盲区”的存在。
　　在严峻的安全攻防形势下，企业必须要将各个安全系统有效串联，形成牵一发而动全身的防护效果——这就是多层防线的纵深防御体系。
　　腾讯安全工程师邓之珺、彭晨晨介绍到，目前，腾讯已建立起整体化的多层智能纵深防御体系，涵盖 DDoS 防护、DNS 劫持等网络安全，web 风险监控、注入检测、代码审计等应用安全，木马通讯检测、基线监控等主机安全，合规监控、全程票据等数据安全，通过流量分析进行有效串联，并具备多层布防能力。
　　1 1>2，流量分析是关键
　　多层防线的纵深防御体系有效解决了各系统割裂的问题，形成“1 1>2”的效果。这其中，流量作为一个“纽带”，扮演了重要的角色。
　　今年上半年，腾讯处理了一次攻击流量峰值高达 260W qps 的 HTTPS CC 攻击，通过流量分析，实现了秒级响应，调用防护设备进行流量清洗，成功保障了平台稳定。事后，通过流量分析进行溯源取证，并作为威胁情报返回给纵深防御体系中的其他环节，达成安全联防。
　　除此之外，腾讯在高危服务开放、管理后台识别等漏洞收敛领域，探测扫描、爆破尝试、木马通讯等入侵检测领域也有相关布局。
　　腾讯云 DDoS 防护团队发现，流量分析对于及时感知新型攻击也具有独有的优势，比如团队曾在某个 CVE 公开一个小时内就成功捕获了针对该漏洞的少量攻击。同时流量本身作为蜜罐(一种对攻击方进行欺骗的技术)，在流量中构建一系列通用捕获模型，也可发现未知攻击和隐蔽攻击，例如针对 0day 和 APT 的挖掘。
　　可以说，流量分析的有效应用，已成为企业安全攻防对抗的下一个路口。“流量 ”的应用落地将大大提升企业的安全能力。
　　流量分析 AI，从“被动应对”到“主动进化”
　　安全建设是一场永无止境的攻防战，攻击手法和防御手段此消彼长、交替升级。面对更为复杂多变的攻击手法，腾讯不断挖掘流量分析的更多应用场景，结合大数据、AI 等技术，对不同安全场景进行精细化分析。
　　例如，在攻防研究中，腾讯将 AI 技术与流量分析结合，用于 Web 管理后台的识别，一定程度上改善了传统扫描器方案误报和漏报等问题，提升了灵活性和判断能力。同时，腾讯也在探索 AI 与入侵检测、漏洞收敛等技术的结合。
　　面对攻防对抗中“降本增效”的要求，腾讯云 DDoS 防护团队通过 AI 算法学习经验数据，形成具备自学习、自进化、自适应特性的流量模型，将‘被动应对’发展成为‘主动进化’，进一步增强了攻防能力。