83
道哥自述:為什麼彈性安全網絡將誕生最大的人工智能?
前陣子,阿裏科學家王剛、吳翰清同時入選MIT2017年度TR35 開創中國互聯網企業先河 一文刷爆了朋友圈,阿裏巴巴人工智能實驗室首席科學家王剛、阿裏雲首席安全科學家吳翰清同時入選MIT2017。這是自該獎項創立18年以來,第一次中國公司裏同時有2人入選榜單。今天,阿裏妹分享一篇來自吳翰清(也就是大家熟悉的道哥、小黑)的文章,讓我們一起走進道哥的彈性安全網絡世界。
前些天得知自己入選了MIT的TR35,非常開心。我想這是中國安全技術在國際上被認可的一次證明。但這個榮譽不僅屬於我一個人,更屬於我團隊中所有為此做出過努力和貢獻的人,也屬於那些敢於和我們一起嚐試最新技術的客戶們,因為新技術在誕生之初往往是生澀的,但缺少了孵化過程中的磨難,我們永遠見不到美麗綻放的那天。我也非常感謝王堅博士、弓峰敏博士、華先勝老師、Dawn Song教授能夠成為我的TR35推薦人,感謝你們對我所從事的工作的認可。
自從參加工作以來,我一直執著於將中國技術推向全球,我認為中國有著最好的安全技術和最好的人,隻是缺乏了讓他們成長的土壤和展示的舞台。所以我也希望這次MIT對我個人的認可,能夠成為一次鼓勵中國安全產業的優秀人才和優秀技術成果走向世界的契機。長期以來,我們享受了很多開源技術的紅利,但中國技術對世界互聯網發展的貢獻卻非常微薄。我認為這中間有語言的障礙,有文化的障礙,但沒有能力的障礙。現在是時候讓我們去跨越這些障礙,去解決全球互聯網發展過程中遇到的那些問題了。隻有中國本土的優秀人才成長起來,中國才會變得更加強大。
回顧我十多年的工作生涯,期間從事和研究過非常多的技術工作,但我認為唯有「彈性安全網絡」的研究是最獨特的。「彈性安全網絡」不是對現有技術的一種應用,它是真正的發明了一項此前所沒有的技術,提出了一種全新的方法,采用了一個全新的角度來看待現有世界。也因此它能跳出現有的技術框架,帶來一些突破性的驚喜。這些驚喜,往往連創造者都沒有辦法在一開始就想清楚。正如從比特幣中抽象出了區塊鏈技術一樣,最早我們構建的產品「遊戲盾」是用來防禦超大流量DDoS攻擊,最後抽象出來的「彈性安全網絡」技術,卻讓我們看到了構建下一代互聯網的可能性。
簡單來說,彈性安全網絡是將DDoS防禦前置到網絡邊緣處。但是,未來真正要做的事情是通過端到端的連接,通過風險控製技術,重新構建一個幹淨的、安全的互聯網。
前些天《麻省理工學院技術評論》的記者對我做了一次采訪,我完整的闡述了一次關於彈性安全網絡的構想。我把這次采訪的錄音放在這裏,分享給所有對這項技術感興趣的人,並附上整理後的文字稿(但依然強烈推薦聽錄音原文)。未來我希望有更多人參與到對「彈性安全網絡」的建設中來。
道哥完整闡述彈性安全網絡
互聯網的流量就像流淌在管道裏的水,但互聯網發展到今天,流量裏已經摻雜了太多的東西,變得不再純粹和健康了。比如說,這些流量裏麵包含了很多攻擊請求,也有很多惡意爬蟲請求和一些欺詐行為的請求。
理想狀況下,我們希望未來的流量是幹淨、健康的,希望把所有的網絡攻擊前置到整個網絡的邊緣處。就是說進入這張網絡的時候,流量本身就是幹淨的。這就是clear traffic的概念。
為了實現這個想法,我們遇到了很多的困難。我們在思考,需要用一個什麼樣的架構去實現它。剛巧這個時候,我們有一些客戶嚐試用快速切換的思路來對抗DDoS攻擊。這給了我靈感。最終,我把兩個東西結合起來,產生了做彈性安全網絡的想法。
彈性安全網絡真正想要去做的,是替換掉整個互聯網最核心的心髒,替換掉DNS,從而讓網絡變得有彈性,能夠快速調度資源,形成一個全新的網絡架構。
事實上, DNS誕生在互聯網早期,是互聯網1.0時代的產物,是一個開放的協議。到今天,也沒有一個獨立的運營商來運營整個互聯網的DNS Server。它分散在各家不同的運營商。全球可能有上百家運營商,都在提供自己的DNS服務。運營商跟運營商之間的打通,是通過標準的DNS協議進行數據交換。
這也是為什麼這麼多年DNS協議都沒辦法進步的原因,過於碎片化。
目前,DNS有三個顯著問題。第一個,是DNS完全解析的時間過長,這是整個DNS使用中遇到的一個非常大的痛點。
比如,對於一個大型網站,要把用戶的所有流量指向一個新地址。把DNS的解析修改之後,可能需要花兩到三天時間,流量才會百分之百的切到新地址去,不會在舊地址上還有殘餘流量。
為什麼需要兩到三天時間?原因是有很多運營商的DNS遞歸解析服務器,都需要更新自己的數據。而有的運營商還有自己的省級運營商,甚至更下麵的地市級的DNS的遞歸解析。過於碎片化,使得難於進行統一的數據管理,這是今天現實存在的問題。
第二個問題是今天DNS Server軟件中的解析數遇到了瓶頸,沒有辦法一個名字解析到幾千個、甚至上萬個,甚至未來十幾萬個不同地址。一個名字可能最多也就解析到十幾個或幾十個地址就不能再擴大了。這種瓶頸限製了我們的一些能力拓展。
第三個就是,原本可以基於DNS去實現的一些安全機製,比如風險控製,並沒有建立起來。其實也比較好理解,在互聯網1.0時代並沒有如今天這般強大的數據能力和計算能力。
今天,我們要解決這些問題。在整個彈性安全網絡的架構下麵,我們在構思下一代的互聯網應該是什麼形態?答案就是通過可靠的快速調度技術把互聯網心髒重構掉。
首先,就是它的快速解析的能力,一定要非常實時以及幹淨。其次,就是它本身支持的調度能力,要能達到上萬的這個級別,規模特別的重要,就是一個名字能夠解析到上萬個地址、甚至是十幾萬個地址。
我們以防禦DDoS攻擊為切入點,進行嚐試。過去防禦DDoS攻擊時,必須要做的是儲備單點大帶寬。因為IP是變不了的(在中國的網絡環境下由於政策原因暫不考慮anycast的方案)。所以在DNS架構下,就是去硬抗這個IP遇到的流量攻擊。比如說300G的流量打過來,必須要有300G的帶寬在這裏,才能夠扛得住。如果隻有100G的帶寬,那整個機房就被堵死了,甚至可能會影響到運營商的網絡穩定。
這是在過去攻防對抗的思路,就是你攻擊打過來多少,我就必須要有多少帶寬儲備在這兒。這比的是資源,比的是單純的帶寬儲備。
我們現在的思路是,你攻擊這個IP,我馬上就把這個IP拿掉,不要這個IP了,然後啟用一個新的地址,並告訴所有客戶,你來訪問新地址。
當然,這時候攻擊者會跟隨,但是攻擊者跟隨是有成本的。一般,攻擊者跟隨到一個新地址,需要大概10多分鍾。
在這個10分鍾裏,通過數據分析的方式,我們可以分析出攻擊者到底是誰,把好人和壞人分離出來,阻止壞人的流量,並同時放幹淨的流量繼續訪問,這就是整個彈性安全網絡的核心思想。
彈性安全網絡的實現,是通過快速完成上萬個地址的調度,從根本上改變過去需要在單點儲備大帶寬的一種防禦方式能力。
就是,你不需要在單點儲備大帶寬了,你需要的更多的地址,更強的數據分析能力。
要知道,單點儲備大帶寬的價格非常貴。改用這種方式之後,DDoS防禦成本可以下降兩到三個數量級,因為不需要再單點儲備大帶寬。
做完這個之後,我們就發現,其實這個事情,最重要的不是多了一種對抗DDoS攻擊的方法,而是改變了DNS本身,這是本質的東西。所以,我們是用一種新技術去解決了一個老問題。
沿著彈性安全網絡的思路,我們希望通過風險控製來管理整個互聯網的資源。
未來,彈性安全網絡將重新定義互聯網的入口。通過為每一個訪問者建立“足跡庫”,分析他是好人還是壞人的概率。一旦判斷這次訪問請求可能是有風險的,則可以隨即讓他訪問不到這個資源。
所以,未來最大的人工智能應該是誕生在彈性安全網絡,因為整個互聯網的資源都被管理起來了,而且是基於每一個訪問者的行為沉澱,來判斷風險。
相當於想要進入這個封閉的網絡,每個訪客要先過安檢。隻有通過安檢才能訪問到這個資源。而且,訪客所有的曆史行為會被積累下來,為未來的風險判斷做儲備。而今天互聯網的心髒 -- DNS,由於其開放性和碎片性,已經失去了將所有訪問數據統一匯聚後進行分析的可能性。
在一個自成閉環的體係裏麵,由一家基礎設施的提供商,去運營整個網絡心髒的這種解析服務。然後也基於這種解析服務,它能夠對整個網內的所有訪客進行智能分析,最終就能夠實現這張網內的所有訪客的請求,都是在風險控製之下的,從而構建一個全新的互聯網。
今天,一些阿裏雲上的遊戲客戶,就是通過彈性安全網絡的技術,來調度他們所有的遊戲資源,同時對所有玩家進行風險控製的。
彈性安全網絡自成閉環。也就是說,這些使用彈性安全網絡的遊戲,已經從我們現在的互聯網,也就是今天以DNS為支撐的這個互聯網裏,消失掉了。
一個玩家,通過DNS,是訪問不到彈性安全網絡這張網裏的所有資源的。未來我們要做的事情就是,不斷地去擴大這張網,直到網內可調度的資源覆蓋整個互聯網的資源。
目前來看,主要機會就是在IoT和移動互聯網,因為這兩者實際上是沒有DNS的需求的。過去,之所以需要DNS,是因為有一個瀏覽器,瀏覽器裏麵有一個地址欄,這個東西必須通過輸入一個好記的地址,才能訪問到資源。
在移動互聯網時代,今天手機不需要瀏覽器,而是直接打開一個App。那這個App訪問的是什麼東西,它不一定需要DNS來解析。
這是我們看到今天這個技術有可能走下去的一個非常重要的原因。
延伸出來,在IoT時代,也是不需要有一個瀏覽器去訪問你所需要訪問的服務和資源的。
所以這是我看到,這張網在未來有可能升級今天整個互聯網最重要的一個原因。
未來,阿裏會開放彈性安全網絡的技術。
類似DNS,彈性安全網絡本身也不涉及任何訪問資源,它隻是知道你今天到這個地方來了。就像,一個人今天到某個國家去,需要入關和出關,是一個道理。
事實上,在很多關鍵領域,彈性安全網絡非常有價值。
比如,各個國家政府,或者大型企事業單位的專網或內網。如果它是以DNS為核心的話,那這是一個暴露在整張網內的弱點。因為DNS是一個公開的服務。一旦DNS這個單點被癱瘓掉,整張網可能就沒法工作了,所以這是非常大的風險。
所以,彈性安全網絡技術,不是為某一個客戶設計的,它是為整個互聯網設計的。
來源:阿裏技術
原文鏈接
最後更新:2017-08-31 10:33:08