回顧近年來的電商大促，最具特色的便是搶購、秒殺活動了，而這也使得 Web 訪問量可能瞬間陡增十倍甚至是數(shù)十倍，對接入層、邏輯層的按需、實(shí)時、快速平行擴(kuò)展能力提出了較高的要求，如選用傳統(tǒng)的硬件設(shè)備搭建集群，會遇到成本高昂，運(yùn)維繁瑣等問題。

對于這些問題，可以采用負(fù)載均衡配合云監(jiān)控、彈性伸縮（Auto Scaling）、消息隊(duì)列、分布式緩存、分布式數(shù)據(jù)庫等服務(wù)來解決。

• 負(fù)載均衡服務(wù)：CLB 單集群的最大并發(fā)連接數(shù)超過 1.2 億，可處理峰值 40Gbps 的流量，每秒處理包量為 600 萬，負(fù)載均衡服務(wù)曾在歷年的春節(jié)微信“搶紅包”歷練；

• 彈性伸縮可以根據(jù)需求和策略，比如 CPU 利用率達(dá)到閥值，就自動擴(kuò)容指定數(shù)量的云服務(wù)器，也可根據(jù)定時、周期或監(jiān)控策略，相應(yīng)地增加或減少 CVM 實(shí)例，并完成配置，保證業(yè)務(wù)平穩(wěn)健康運(yùn)行。

對于自建 IDC 的客戶，則可以采用混合云的模式，以專線將騰訊云與其自建 IDC 連接起來，這樣僅在公有云上部署其接入、邏輯、cache 層，就可充分復(fù)用公有云的 BGP 接入及彈性的能力。

安全性對于電商平臺來說，不僅僅在大促期間會一而再再而三地關(guān)注到，它更是一個日常話題，網(wǎng)站入口、支付等環(huán)節(jié)，都往往處于“高?！杯h(huán)境，來自于網(wǎng)絡(luò)“黑客”及“黑產(chǎn)”團(tuán)隊(duì)的惡意攻擊等，都有可能會導(dǎo)致網(wǎng)站核心業(yè)務(wù)不可用、運(yùn)營投入的大量優(yōu)惠券被“羊毛黨”搶占，甚至給后臺系統(tǒng)帶來“致命”打擊。

騰訊云今年推出了 AI 安全戰(zhàn)略，以大數(shù)據(jù)和 AI 的算法為驅(qū)動，構(gòu)建應(yīng)用于安全領(lǐng)域的包括社交圖譜分析、圖像自動識別、自然語言處理、知識表達(dá)推理等 AI 通用能力，形成智能身份鑒定、威脅情報分析、異常流量檢測、網(wǎng)絡(luò)攻擊溯源、人機(jī)行為識別、惡意圖片識別、垃圾文本檢測等 7 項(xiàng)技術(shù)應(yīng)用。

這些能力通過多款產(chǎn)品，如業(yè)務(wù)安全（天御）、主機(jī)安全（云鏡）、數(shù)據(jù)安全（數(shù)盾）、移動安全（樂固）、賬號安全（祝融）、網(wǎng)站與流量安全、內(nèi)容安全與風(fēng)控安全，為客戶提供安全保障。本次我們將重點(diǎn)放在電商客戶最常遇到的網(wǎng)絡(luò)安全和業(yè)務(wù)安全展開介紹。

BGP 高防（大禹）產(chǎn)品是騰訊云針對電商網(wǎng)站遭受大流量 DDoS 攻擊時服務(wù)不可用的情況推出的增值服務(wù)，提供 300G 的防護(hù)服務(wù)并擁有 35 線的 BGP 線路，幫助客戶全面應(yīng)對 DDoS 攻擊的挑戰(zhàn)，同時改善客戶的訪問體驗(yàn)。

對于 BGP 的高防攻擊檢測，騰訊云采用光棱鏡物理分光來做 1:1 流量鏡像，旁路 Netflow 檢測鏡像流量，不影響客戶正常業(yè)務(wù)流向，檢測后的鏡像流量被丟棄。檢測原理主要是基于流量建模分析客戶 IP 的流量中是否存在攻擊流量。

• 對于清洗攻擊，在檢測到某個 IP 被攻擊后，清洗集群向核心路由發(fā)布 BGP 牽引路由，將該 IP 的流量牽引至清洗集群防護(hù)。清洗后的干凈流量，再通過 BGP 路由回注至核心路由，最終流至客戶的云主機(jī)或通過轉(zhuǎn)發(fā)集群流至客戶在騰訊云外的機(jī)房。

• 防護(hù)算法主要是基于 IP/TCP/UDP 協(xié)議的缺陷檢測及 HTTP、HTTPS 報頭的分析，不涉及、不查閱業(yè)務(wù)負(fù)載報文，防護(hù)系統(tǒng)對客戶的業(yè)務(wù)數(shù)據(jù)完全無感知。

• 云內(nèi)客戶通過高防包綁定需要防護(hù)的設(shè)備，來提升防護(hù)級別。

• BGP 高防專區(qū)除了提供高防服務(wù)，還同時對騰訊云客戶的公網(wǎng) IP 提供基礎(chǔ)防護(hù)

• 業(yè)務(wù)部署在騰訊云的客戶，可以將綁定高防包綁定至需要防護(hù)的設(shè)備，提升防護(hù)級別。

• 云外客戶通過高防 IP 牽引攻擊流量，保護(hù)后端業(yè)務(wù)

• 客戶在騰訊云高防 IP 上配置業(yè)務(wù)轉(zhuǎn)發(fā)規(guī)則；

• 客戶將高防 IP 作為業(yè)務(wù) IP 對外發(fā)布；

• 所有流量都先經(jīng)過騰訊高防 IP，再轉(zhuǎn)發(fā)到客戶真實(shí)源站，攻擊流量在高防機(jī)房被清洗。

• 高防 IP 基于公網(wǎng) IP 回源，在其他云或 IDC 機(jī)房的業(yè)務(wù)，都可以接入騰訊云高防 IP 的防護(hù)

大禹是騰訊云 AI 安全戰(zhàn)略的網(wǎng)站安全防御系統(tǒng)，大禹網(wǎng)站高防可抵御 SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各類攻擊。防護(hù)與騰訊安全大數(shù)據(jù)平臺聯(lián)動，實(shí)時更新防護(hù)策略庫，有效防護(hù)新攻擊手法。

• DDos 防護(hù)：大禹 BGP 高防基于先進(jìn)特征識別算法進(jìn)行精確清洗，抵御 Syn Flood、ICMP Flood 等各種大流量攻擊。業(yè)務(wù)接入大禹 BGP 高防后，該功能自動開啟，無論是 SYN Flood、UDP Flood 還是其他類型的大流量攻擊，大禹 BGP 高防系統(tǒng)單節(jié)點(diǎn)能夠防御 300Gbps 攻擊。

• CC 防護(hù)：大禹 BGP 高防通過模式識別、身份識別等多種手段，來識別惡意訪問者，同時采用重認(rèn)證、驗(yàn)證碼、訪問控制等手段，抵御 http get 等各類應(yīng)用層攻擊。惡意競爭者和黑產(chǎn)從業(yè)者將無法通過應(yīng)用層攻擊威脅到客戶的業(yè)務(wù)服務(wù)器。

騰訊目前通過自建骨干網(wǎng)的 CAP 平臺，BGP 鏈路對接了 35 家運(yùn)營商，其中包括中國電信、中國聯(lián)通、中國移動、中國教育和科研計算機(jī)網(wǎng)、中國科技網(wǎng) 5 家運(yùn)營商。其余為中小運(yùn)營商，包括：鵬博士、長寬以及各地廣電等寬帶接入服務(wù)商。

“羊毛黨”其實(shí)早已經(jīng)從個體行為、小作坊發(fā)展成了產(chǎn)業(yè)鏈，他們往往有著明確的分工，已形成幾大團(tuán)伙。下圖為電商刷單團(tuán)隊(duì)的工作模式和任務(wù)分工。

圖：電商刷單團(tuán)隊(duì)的工作流程

具體操作方式：

1. 軟件制作團(tuán)伙：專門制作各種自動、半自動的黑產(chǎn)工具，比如注冊自動機(jī)、刷單自動機(jī)等；他們主要靠出售各種黑產(chǎn)工具、提供升級服務(wù)等形式來獲利。

2. 短信代接平臺：實(shí)現(xiàn)手機(jī)短信的自動收發(fā)。這其中，有一些短信平臺是亦正亦邪，不但提供給正常的商家使用，一些黑產(chǎn)也會購買相關(guān)的服務(wù)。

3. 賬號出售團(tuán)伙：他們主要是大量注冊各種賬號，通過轉(zhuǎn)賣賬號來獲利；該團(tuán)伙與刷單團(tuán)伙往往屬于同一團(tuán)伙。

4. 刷單團(tuán)伙：到各種電商平臺刷單，獲取優(yōu)惠，并且通過第三方的電商平臺出售優(yōu)惠，實(shí)現(xiàn)套現(xiàn)。

騰訊天御產(chǎn)品通過騰訊積累的安全大數(shù)據(jù)和防刷引擎，精準(zhǔn)識別“薅羊毛”的惡意行為，避免企業(yè)被刷帶來的巨大經(jīng)濟(jì)損失。其防御過程大概如下：

1. 通過天御防刷，判定請求流量是否為惡意（API 實(shí)時接口）；

   

2. 之后，天御結(jié)果 200 毫秒內(nèi)返回，廠商可根據(jù)返回的風(fēng)險值（level），共計 5 個檔位做合適的處理：

   

3. 若廠商需要做精細(xì)化運(yùn)營，或者希望對某種異常標(biāo)簽做針對性的打擊?？蓞⒖?risktype 返回的標(biāo)簽。通常根據(jù)風(fēng)險值（level）做處理已足夠。在風(fēng)險值 level 不為 0 的情況下，risktype 可任意組合（根據(jù)命中異常的標(biāo)簽實(shí)際情況）。

   

以下為某廠商根據(jù)天御返回的風(fēng)險值（level）進(jìn)行處理的實(shí)際案例：

基于輸入?yún)?shù)的實(shí)時分析系統(tǒng)，確保每次請求都實(shí)時評估判定：

• 傳統(tǒng)黑名單機(jī)制，極易造成用戶投訴。比如手機(jī)重放號、賬號被盜后找回等，因歷史作惡判定為黑而永久黑；

• 天御的實(shí)時判定服務(wù)，確保在不同的環(huán)境（如 IP）下，實(shí)時關(guān)聯(lián)數(shù)據(jù)亦不相同。所以每次請求，即使是同一個賬號，亦會做出公允的評判

• 天御實(shí)時模型，在大量業(yè)務(wù)中學(xué)習(xí)和訓(xùn)練。這是整個服務(wù)的核心引擎，確保高可用高覆蓋

除了基礎(chǔ)穩(wěn)定性、安全性的保障，越來越多的電商平臺，也在尋找新的模式、新的玩法，來提升自身平臺的用戶體驗(yàn)，提升轉(zhuǎn)化率。騰訊云就現(xiàn)金電商平臺的業(yè)務(wù)需求，總結(jié)了以下三大創(chuàng)新應(yīng)用：

• 智能推薦，是最普適的一個訴求，面對不同的用戶，根據(jù)客戶的特征、喜好，展現(xiàn)不同的商品，一來可以提升用戶好感度，另一方面也是提升轉(zhuǎn)化率的良方。但這對于一般企業(yè)來說，是個漫長的周期，需要投入大量的人力和時間，不斷地積累數(shù)據(jù)，不斷地打磨算法，才能有所見效。騰訊云依托騰訊在電商、游戲、金融、泛娛樂、資訊及 3C 等多領(lǐng)域深厚的大數(shù)據(jù)技術(shù)積累，為客戶提供基于海量用戶畫像 實(shí)時大數(shù)據(jù)機(jī)器學(xué)習(xí)的內(nèi)容個性化推薦 PaaS 服務(wù)。

• 電商 直播。說到新玩法，“電商 直播”絕對是一個繞不開的火熱話題，然而自主研發(fā)，卻是難熬的等待，騰訊云基于騰訊多年在視頻領(lǐng)域的經(jīng)驗(yàn)，推出一站式解決方案，從全平臺的推流主播 SDK，到海量云端處理系統(tǒng)，再到強(qiáng)大的 CDN 云端加速，最終到用戶播放 SDK，無縫鏈接，24 小時即可完成接入。

• 當(dāng)然，如今備受關(guān)注的小程序，也是一個不得不提的話題，據(jù)統(tǒng)計，蘑菇街女裝精選小程序 7 月 4 日正式上線，截至目前已經(jīng)獲取了 6000 萬的新客戶。到 9 月份，日均訪問量增長較 7 月超過 200%，GMV 增長超過 140%。而小程序現(xiàn)有的 SDK/DEMO 缺乏對云端的支持，依賴開發(fā)者逐個模塊搭建云端服務(wù)，過程繁瑣。騰訊云提供了一鍵構(gòu)建具備云端能力的專屬小程序，提高小程序開發(fā)的效率。此外，還提供 PaaS 級的 WebSocket 信道服務(wù)，降低了開發(fā)者使用 WebSocket 通信的門檻。同時，通過提供完整的鑒權(quán)會話管理服務(wù)，來保證用戶的信息安全。

本文通過云端海量并發(fā)彈性擴(kuò)容、AI 安全體系防御構(gòu)建與實(shí)施、電商領(lǐng)域的創(chuàng)新應(yīng)用三大板塊介紹了騰訊云如何在雙十一電商大促的情境下，為電商平臺提供可用、高效、完善的安全護(hù)航方案。電商與黑產(chǎn)之間的較量從來不會結(jié)束，雙十一來臨之際，我們希望通過一些對抗黑產(chǎn)的新經(jīng)驗(yàn)和技術(shù)的分享，給電商從業(yè)人員以及相關(guān)的開發(fā)者提供一些新的思路和借鑒。