更多騰訊海量技術文章, 請關注騰訊雲技術社區:https://cloud.tencent.com/community
作者:戴唯偉
前言每年的電商大促, 就像是一次次的系統檢閱儀式, 接受著來自用戶、同行以及老闆的審視。 而在一次次訂單量記錄刷新, 成交額飆出新高的同時, 平臺架構也在面臨巨大的挑戰, 如頁面打不開、服務不可用、優惠券被薅、網路被攻擊、支付延遲等都有可能發生。 那麼針對這些問題, 騰訊雲是如何助力其電商客戶解決?本文將從海量併發、安全性、用戶體驗幾個方面, 深入講解騰訊雲電商平臺最佳實踐方案。
海量併發彈性擴容回顧近年來的電商大促,
對於這些問題, 可以採用負載均衡配合雲監控、彈性伸縮(Auto Scaling)、訊息佇列、分散式緩存、分散式資料庫等服務來解決。
負載均衡服務:CLB 單集群的最大併發連接數超過 1.2 億, 可處理峰值 40Gbps 的流量, 每秒處理包量為 600 萬, 負載均衡服務曾在歷年的春節微信“搶紅包”歷練;
彈性伸縮可以根據需求和策略, 比如 CPU 利用率達到閥值, 就自動擴容指定數量的雲伺服器, 也可根據定時、週期或監控策略, 相應地增加或減少 CVM 實例,
對於自建 IDC 的客戶, 則可以採用混合雲的模式, 以專線將騰訊雲與其自建 IDC 連接起來, 這樣僅在公有雲上部署其接入、邏輯、cache 層, 就可充分複用公有雲的 BGP 接入及彈性的能力。
騰訊雲安全體系防禦原理及過程分析安全性對於電商平臺來說, 不僅僅在大促期間會一而再再而三地關注到, 它更是一個日常話題, 網站入口、支付等環節, 都往往處於“高危”環境, 來自於網路“駭客”及“黑產”團隊的惡意攻擊等, 都有可能會導致網站核心業務不可用、運營投入的大量優惠券被“羊毛黨”搶佔, 甚至給後臺系統帶來“致命”打擊。
騰訊雲今年推出了 AI 安全戰略, 以大資料和 AI 的演算法為驅動,
這些能力通過多款產品, 如業務安全(天禦)、主機安全(雲鏡)、資料安全(數盾)、移動安全(樂固)、帳號安全(祝融)、網站與流量安全、內容安全與風控安全, 為客戶提供安全保障。 本次我們將重點放在電商客戶最常遇到的網路安全和業務安全展開介紹。
網路安全檢測系統及防禦原理BGP 高防(大禹)產品是騰訊雲針對電商網站遭受大流量 DDoS 攻擊時服務不可用的情況推出的增值服務, 提供 300G 的防護服務並擁有 35 線的 BGP 線路,
騰訊雲 DDos 防護體系架構
BGP 高防攻擊檢測對於 BGP 的高防攻擊檢測, 騰訊雲採用光棱鏡物理分光來做 1:1 流量鏡像, 旁路 Netflow 檢測鏡像流量, 不影響客戶正常業務流向, 檢測後的鏡像流量被丟棄。
對於清洗攻擊, 在檢測到某個 IP 被攻擊後, 清洗集群向核心路由發佈 BGP 牽引路由, 將該 IP 的流量牽引至清洗集群防護。 清洗後的乾淨流量, 再通過 BGP 路由回注至核心路由, 最終流至客戶的雲主機或通過轉發集群流至客戶在騰訊雲外的機房。
防護演算法主要是基於 IP/TCP/UDP 協定的缺陷檢測及 HTTP、HTTPS 報頭的分析, 不涉及、不查閱業務負載報文, 防護系統對客戶的業務資料完全無感知。
雲內客戶通過高防包綁定需要防護的設備, 來提升防護級別。
BGP 高防專區除了提供高防服務, 還同時對騰訊雲客戶的公網 IP 提供基礎防護
業務部署在騰訊雲的客戶, 可以將綁定高防包綁定至需要防護的設備, 提升防護級別。
雲外客戶通過高防 IP 牽引攻擊流量,保護後端業務
客戶在騰訊雲高防 IP 上配置業務轉發規則;
客戶將高防 IP 作為業務 IP 對外發佈;
所有流量都先經過騰訊高防 IP,再轉發到客戶真實源站,攻擊流量在高防機房被清洗。
高防 IP 基於公網 IP 回源,在其他雲或 IDC 機房的業務,都可以接入騰訊雲高防 IP 的防護
大禹是騰訊雲 AI 安全戰略的網站安全防禦系統,大禹網站高防可抵禦 SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各類攻擊。防護與騰訊安全大資料平臺聯動,即時更新防護策略庫,有效防護新攻擊手法。
DDos 防護:大禹 BGP 高防基於先進特徵識別演算法進行精確清洗,抵禦 Syn Flood、ICMP Flood 等各種大流量攻擊。業務接入大禹 BGP 高防後,該功能自動開啟,無論是 SYN Flood、UDP Flood 還是其他類型的大流量攻擊,大禹 BGP 高防系統單節點能夠防禦 300Gbps 攻擊。
CC 防護:大禹 BGP 高防通過模式識別、身份識別等多種手段,來識別惡意訪問者,同時採用重認證、驗證碼、存取控制等手段,抵禦 http get 等各類應用層攻擊。惡意競爭者和黑產從業者將無法通過應用層攻擊威脅到客戶的業務伺服器。
騰訊目前通過自建骨幹網的 CAP 平臺,BGP 鏈路對接了 35 家運營商,其中包括中國電信、中國聯通、中國移動、中國教育和科研電腦網、中國科技網 5 家運營商。其餘為中小運營商,包括:鵬博士、長寬以及各地廣電等寬頻接入服務商。
騰訊雲業務安全防禦框架深度解析“羊毛黨”雙十一刷單流程“羊毛党”其實早已經從個體行為、小作坊發展成了產業鏈,他們往往有著明確的分工,已形成幾大團夥。下圖為電商刷單團隊的工作模式和任務分工。
電商刷單團隊的工作流程
具體操作方式:
軟體製作團夥:專門製作各種自動、半自動的黑產工具,比如註冊自動機、刷單自動機等;他們主要靠出售各種黑產工具、提供升級服務等形式來獲利。
帳號出售團夥:他們主要是大量註冊各種帳號,通過轉賣帳號來獲利;該團夥與刷單團夥往往屬於同一團夥。
刷單團夥:到各種電商平臺刷單,獲取優惠,並且通過協力廠商的電商平臺出售優惠,實現套現。
騰訊雲天禦系統安全監測方案騰訊天禦產品通過騰訊積累的安全大資料和防刷引擎,精准識別“薅羊毛”的惡意行為,避免企業被刷帶來的巨大經濟損失。其防禦過程大概如下:
1 . 通過天禦防刷,判定請求流量是否為惡意(API 即時介面);
2 . 之後,天禦結果 200 毫秒內返回,廠商可根據返回的風險值(level),共計 5 個檔位做合適的處理:
3 . 若廠商需要做精細化運營,或者希望對某種異常標籤做針對性的打擊。可參考 risktype 返回的標籤。通常根據風險值(level)做處理已足夠。在風險值 level 不為 0 的情況下,risktype 可任意組合(根據命中異常的標籤實際情況)。
風險防禦處理案例解析
以下為某廠商根據天禦返回的風險值(level)進行處理的實際案例:
基於輸入參數的即時分析系統,確保每次請求都即時評估判定:
傳統黑名單機制,極易造成用戶投訴。比如手機重放號、帳號被盜後找回等,因歷史作惡判定為黑而永久黑;
天禦的即時判定服務,確保在不同的環境(如 IP)下,即時關聯資料亦不相同。所以每次請求,即使是同一個帳號,亦會做出公允的評判
天禦即時模型,在大量業務中學習和訓練。這是整個服務的核心引擎,確保高可用高覆蓋
除了基礎穩定性、安全性的保障,越來越多的電商平臺,也在尋找新的模式、新的玩法,來提升自身平臺的用戶體驗,提升轉化率。騰訊雲就現金電商平臺的業務需求,總結了以下三大創新應用:
智慧推薦,是最普適的一個訴求,面對不同的使用者,根據客戶的特徵、喜好,展現不同的商品,一來可以提升用戶好感度,另一方面也是提升轉化率的良方。但這對於一般企業來說,是個漫長的週期,需要投入大量的人力和時間,不斷地積累資料,不斷地打磨演算法,才能有所見效。騰訊雲依託騰訊在電商、遊戲、金融、泛娛樂、資訊及 3C 等多領域深厚的大資料技術積累,為客戶提供基於海量使用者畫像 + 即時大資料機器學習的內容個性化推薦 PaaS 服務。
電商 + 直播。說到新玩法,“電商 + 直播”絕對是一個繞不開的火熱話題,然而自主研發,卻是難熬的等待,騰訊雲基於騰訊多年在視頻領域的經驗,推出一站式解決方案,從全平臺的推流主播 SDK,到海量雲端處理系統,再到強大的 CDN 雲端加速,最終到使用者播放 SDK,無縫連結,24 小時即可完成接入。
當然,如今備受關注的小程式,也是一個不得不提的話題,據統計,蘑菇街女裝精選小程式 7 月 4 日正式上線,截至目前已經獲取了 6000 萬的新客戶。到 9 月份,日均訪問量增長較 7 月超過 200%,GMV 增長超過 140%。而小程式現有的 SDK/DEMO 缺乏對雲端的支援,依賴開發者逐個模組搭建雲端服務,過程繁瑣。騰訊雲提供了一鍵構建具備雲端能力的專屬小程式,提高小程式開發的效率。此外,還提供 PaaS 級的 WebSocket 通道服務,降低了開發者使用 WebSocket 通信的門檻。同時,通過提供完整的鑒權會話管理服務,來保證使用者的資訊安全。
寫在最後本文通過雲端海量併發彈性擴容、AI 安全體系防禦構建與實施、電商領域的創新應用三大板塊介紹了騰訊雲如何在雙十一電商大促的情境下,為電商平臺提供可用、高效、完善的安全護航方案。電商與黑產之間的較量從來不會結束,雙十一來臨之際,我們希望通過一些對抗黑產的新經驗和技術的分享,給電商從業人員以及相關的開發者提供一些新的思路和借鑒。
提升防護級別。
雲外客戶通過高防 IP 牽引攻擊流量,保護後端業務
客戶在騰訊雲高防 IP 上配置業務轉發規則;
客戶將高防 IP 作為業務 IP 對外發佈;
所有流量都先經過騰訊高防 IP,再轉發到客戶真實源站,攻擊流量在高防機房被清洗。
高防 IP 基於公網 IP 回源,在其他雲或 IDC 機房的業務,都可以接入騰訊雲高防 IP 的防護
大禹是騰訊雲 AI 安全戰略的網站安全防禦系統,大禹網站高防可抵禦 SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各類攻擊。防護與騰訊安全大資料平臺聯動,即時更新防護策略庫,有效防護新攻擊手法。
DDos 防護:大禹 BGP 高防基於先進特徵識別演算法進行精確清洗,抵禦 Syn Flood、ICMP Flood 等各種大流量攻擊。業務接入大禹 BGP 高防後,該功能自動開啟,無論是 SYN Flood、UDP Flood 還是其他類型的大流量攻擊,大禹 BGP 高防系統單節點能夠防禦 300Gbps 攻擊。
CC 防護:大禹 BGP 高防通過模式識別、身份識別等多種手段,來識別惡意訪問者,同時採用重認證、驗證碼、存取控制等手段,抵禦 http get 等各類應用層攻擊。惡意競爭者和黑產從業者將無法通過應用層攻擊威脅到客戶的業務伺服器。
騰訊目前通過自建骨幹網的 CAP 平臺,BGP 鏈路對接了 35 家運營商,其中包括中國電信、中國聯通、中國移動、中國教育和科研電腦網、中國科技網 5 家運營商。其餘為中小運營商,包括:鵬博士、長寬以及各地廣電等寬頻接入服務商。
騰訊雲業務安全防禦框架深度解析“羊毛黨”雙十一刷單流程“羊毛党”其實早已經從個體行為、小作坊發展成了產業鏈,他們往往有著明確的分工,已形成幾大團夥。下圖為電商刷單團隊的工作模式和任務分工。
電商刷單團隊的工作流程
具體操作方式:
軟體製作團夥:專門製作各種自動、半自動的黑產工具,比如註冊自動機、刷單自動機等;他們主要靠出售各種黑產工具、提供升級服務等形式來獲利。
帳號出售團夥:他們主要是大量註冊各種帳號,通過轉賣帳號來獲利;該團夥與刷單團夥往往屬於同一團夥。
刷單團夥:到各種電商平臺刷單,獲取優惠,並且通過協力廠商的電商平臺出售優惠,實現套現。
騰訊雲天禦系統安全監測方案騰訊天禦產品通過騰訊積累的安全大資料和防刷引擎,精准識別“薅羊毛”的惡意行為,避免企業被刷帶來的巨大經濟損失。其防禦過程大概如下:
1 . 通過天禦防刷,判定請求流量是否為惡意(API 即時介面);
2 . 之後,天禦結果 200 毫秒內返回,廠商可根據返回的風險值(level),共計 5 個檔位做合適的處理:
3 . 若廠商需要做精細化運營,或者希望對某種異常標籤做針對性的打擊。可參考 risktype 返回的標籤。通常根據風險值(level)做處理已足夠。在風險值 level 不為 0 的情況下,risktype 可任意組合(根據命中異常的標籤實際情況)。
風險防禦處理案例解析
以下為某廠商根據天禦返回的風險值(level)進行處理的實際案例:
基於輸入參數的即時分析系統,確保每次請求都即時評估判定:
傳統黑名單機制,極易造成用戶投訴。比如手機重放號、帳號被盜後找回等,因歷史作惡判定為黑而永久黑;
天禦的即時判定服務,確保在不同的環境(如 IP)下,即時關聯資料亦不相同。所以每次請求,即使是同一個帳號,亦會做出公允的評判
天禦即時模型,在大量業務中學習和訓練。這是整個服務的核心引擎,確保高可用高覆蓋
除了基礎穩定性、安全性的保障,越來越多的電商平臺,也在尋找新的模式、新的玩法,來提升自身平臺的用戶體驗,提升轉化率。騰訊雲就現金電商平臺的業務需求,總結了以下三大創新應用:
智慧推薦,是最普適的一個訴求,面對不同的使用者,根據客戶的特徵、喜好,展現不同的商品,一來可以提升用戶好感度,另一方面也是提升轉化率的良方。但這對於一般企業來說,是個漫長的週期,需要投入大量的人力和時間,不斷地積累資料,不斷地打磨演算法,才能有所見效。騰訊雲依託騰訊在電商、遊戲、金融、泛娛樂、資訊及 3C 等多領域深厚的大資料技術積累,為客戶提供基於海量使用者畫像 + 即時大資料機器學習的內容個性化推薦 PaaS 服務。
電商 + 直播。說到新玩法,“電商 + 直播”絕對是一個繞不開的火熱話題,然而自主研發,卻是難熬的等待,騰訊雲基於騰訊多年在視頻領域的經驗,推出一站式解決方案,從全平臺的推流主播 SDK,到海量雲端處理系統,再到強大的 CDN 雲端加速,最終到使用者播放 SDK,無縫連結,24 小時即可完成接入。
當然,如今備受關注的小程式,也是一個不得不提的話題,據統計,蘑菇街女裝精選小程式 7 月 4 日正式上線,截至目前已經獲取了 6000 萬的新客戶。到 9 月份,日均訪問量增長較 7 月超過 200%,GMV 增長超過 140%。而小程式現有的 SDK/DEMO 缺乏對雲端的支援,依賴開發者逐個模組搭建雲端服務,過程繁瑣。騰訊雲提供了一鍵構建具備雲端能力的專屬小程式,提高小程式開發的效率。此外,還提供 PaaS 級的 WebSocket 通道服務,降低了開發者使用 WebSocket 通信的門檻。同時,通過提供完整的鑒權會話管理服務,來保證使用者的資訊安全。
寫在最後本文通過雲端海量併發彈性擴容、AI 安全體系防禦構建與實施、電商領域的創新應用三大板塊介紹了騰訊雲如何在雙十一電商大促的情境下,為電商平臺提供可用、高效、完善的安全護航方案。電商與黑產之間的較量從來不會結束,雙十一來臨之際,我們希望通過一些對抗黑產的新經驗和技術的分享,給電商從業人員以及相關的開發者提供一些新的思路和借鑒。