笔者今天还非常清晰地记得自研高性能攻击防护产品AliGuard第一次上线没多久 ，线上就有多次成功防御的案例，而且很快某存储类产品被攻击，第一次出现了单次40Gbps以上的攻击，项目组的同学都非常震惊，竟然遇到了这么大流量的攻击，这个值当时已经超过了某些商业设备的解决方案的防御能力。

注：凭借AliGuard的顶级防御能力，2014年，阿里巴巴抵御住了全球互联网史上最大的一次DDoS攻击，攻击时间长达14个小时，攻击峰值流量达到每秒453.8Gb。

如果自研再晚一些的话，可以想象还是存在不小的安全隐患的。当然，后续随着集群能力的扩充，新的策略的不断增加，集群的能力也在不断提升，云产品被大流量攻击那次，优雅防御450多G既可以说是出乎意料，也可以说在情理之中，因为在优雅防御的背后有足够的技术能力和资源的储备，才能在关键时刻让产品成功抵御了这一次的大流量攻击。

后续也多次出现过更大流量的攻击，也是成功防御，没有造成过大的损失，可以说在一场场恶战中，产品一次次坚挺的表现，也充分证明了只有拥有足够多的技术储备做支撑才能在关键时刻做到“此时此刻，非我莫属”。

发展到今天，自研高性能攻击防护产品AliGuard，成功服务阿里巴巴集团3年多时间。X86服务器的横向可扩展性，CPU的计算能力的不断提升，特别是近几年网卡容量快速的提升，从1G、10G、到40G、100G网卡，我们团队紧跟技术前沿，每一次单机能力提升的背后都是我们AIS的网络研发的技术预研走在最前面，只有把最先进的技术预研投入放在一个非常重要的位置，我们才有可能在这条路上走得更远，走得更坚实。

图3是AliGuard的一种典型部署场景，因为使用集群化部署，所以整集群的能力可以做弹性伸缩，在保证整体功能不变的前提下，适应多种不同的容量需求，非常适合全球化多区域部署。

<img src="https://pic2.zhimg.com/50/v2-2a56a72dfea1de5387e2547913b66e49_hd.jpg" data-rawwidth="591" data-rawheight="578" class="origin_image zh-lightbox-thumb" width="591" data-original="https://pic2.zhimg.com/v2-2a56a72dfea1de5387e2547913b66e49_r.jpg">

阿里巴巴集团每天流量型的DDoS攻击次数不下几千次，攻击流量从几十M到几百G不等，攻击持续时间也长短不一，有数据表明这里大部分攻击都在1个小时以内结束，但是很多攻击者在攻击过程中会因为无法达到目的而不断地尝试更换攻击方式，这就带来非常大的挑战，原本一套清洗模板用到底的模式不再简单适用了。因为，尝试使用一套万能的模板带来的问题可能就是当前不存在的攻击方式对应的策略如果强制开启就可能引入正常流量受到影响的问题。

在原有防御算法基础上我们提出了Smart智能化防御的概念，简单来说就是在攻击过程中，如果攻击者不断更换攻击方式，我们可以通过对攻击流量做实时分析，判断出当前的攻击类型，根据攻击类型的变化在非常短的时间内秒级实现防御策略的调整收敛。

图4是一个基本的智能化防御的模型，核心的逻辑从上到下基本上分成三个角色：通过分析攻击信息，判断攻击类型，对防御策略做实时的调整，保证清洗效果的同时，减少了大量的人力投入，实现了真正的自动化，智能化防御。

<img src="https://pic4.zhimg.com/50/v2-71e127d72dff2a5998f216f214716703_hd.jpg" data-rawwidth="656" data-rawheight="482" class="origin_image zh-lightbox-thumb" width="656" data-original="https://pic4.zhimg.com/v2-71e127d72dff2a5998f216f214716703_r.jpg">

采用智能化防御模型之后，我们在具备了抗大流量攻击能力的基础上，能够更一步地提供更多信息，而且具备实时更新的能力：
1. 现在谁在攻击我？
2. 攻击流量分别有多大？
3. 攻击的目标地址，域名是什么？
4. 在攻击全过程中，黑客都采用了什么样的攻击手段？

一方面发动攻击的肉鸡信息和每时每刻的攻击量已经被我们实时记录，另一方面被攻击的目标，不管是域名还是目标IP也都会被实时统计出来，为smart模型提供强有力的数据支撑。数据在实现实时支撑业务逻辑的同时，每天积累的大量数据已经形成了一张无形的网，为后续更进一步的攻击溯源，立案侦查提供强有