安全宝冯景辉：每周都有超过100G大型DDoS攻击

“SaaS先锋”系列继续为您呈现，前几期我们重点分享了国内CRM、协同办公等领域的先锋企业，今天我们为大家带来国内安全领域具有特别影响力的企业——安全宝。 安全宝是国内第一家完全基于SaaS模式为用户提供安全防护服务的公司，也是李开复先生创办的创新工场中唯一一个安全领域的投资项目。

冯景辉（左图）

安全宝创始人兼研发副总监，冯景辉是资深开发专家，自幼酷爱电脑，16岁即在中国知名技术社区网易任CGI版主；17岁成立自己的网络工作室“星晖”；18岁加入当年红极一时的健康类门户健康久行网并任技术总监。

冯景辉在移动设备、网络设备等领域领导开发了多款产品，在Linux系统、反病毒和网络安全等领域拥有多项发明专利。以下是对安全宝VP冯景辉的采访实录。

CSDN： 首先介绍下自己，安全宝产品以及目前的技术团队情况？

冯景辉：我是安全宝的联合创始人，研发VP冯景辉，2011年和马杰共同创立安全宝，之前在瑞星工作多年，主要负责企业级安全产品的开发。安全宝带来的革命性替身安全服务理念与“一站式”的安全解决方案，帮助网站在“零部署”、“零维护”的情况下，为用户主动拦截包括黑客渗透、抵御多种CC、DDoS在内的网络攻击。同时，安全宝采用综合部署在全国的极速CDN系统，显著提升访问速度，降低故障率，从而整体提升网站的用户体验。

安全宝目前团队大约70人左右，70%为技术工程师，开发语言以C/C++，Python，JAVA为主。

CSDN：你们作为StartupBattlefield竞技场亚军获得者，同时两次闯入世界顶级黑客大赛DEFCON并获得优秀战绩，关于这些经历，你有什么想和大家分享的吗？

冯景辉：其实参加TechCrunch是一个偶然的机会，当时我们正在紧张地开发产品，想尽快发布，没有打算对外宣传，后来创新工场找到我们，要把我们的项目推荐给TechCrunch，我们想是个很好的学习机会，就去尝试一下，没想到后来在500多个项目中能够成功入围，最后拿了全球第二名，也是历届参赛的中国项目最好成绩。后来在2013年，安全宝-蓝莲花第一次进入DEFCON总决赛，取得了11名的成绩，虽然是中国战队有史以来最好成绩，但仍旧遗憾的在前十之外。2014年，安全宝-蓝莲花战队再次成功晋级全球总决赛，并取得了全球第5名的好成绩。我们很高兴能有这么一群年轻人为了技术不断的尝试，尤其在安全领域，需要更长时间的积累和摸索，希望我们国人的安全技术可以在国际舞台有更好的表现。

CSDN： 安全领域创业的门槛很高，你们为什么会选择从安全领域开始创业，遇到的挑战有哪些？

冯景辉：首先是背景关系，我们几个创始人都是做安全出身的，我和马杰曾经在瑞星工作很多年，一直在与病毒和黑客做斗争，后来安全形势在不断变化，我们发现传统的安全防护设备在新威胁下很难发挥应有的作用，一方面是安全设备需要不断维护规则，因为黑客的攻击也是在不断变化的，而一般公司根本没有专业安全人员，自己没有能力维护。另外一方面，安全厂商提供给大众的是通用型的规则，这种规则要平衡漏报和误报，就很难提高检出率，如果不能结合用户自己业务和应用的特点，在对抗黑客入侵时就会变得力不从心。

安全本身不能只是一种产品，更要结合专业的服务，所以我们想能不能用Saas的思路来解决这个问题，把我们专业的安全经验与产品一同提供给用户，让用户不需要了解安全的细节，只要简单的一二三步就能搞定。

但是实践这一思路也并不容易，一方面这种新的模式要被大家接受需要一个过程，很多用户还是习惯买个盒子放在那，感觉更踏实；另一方面，因为要处理海量的数据，需要有大数据的处理能力，你不能只对单一安全进行分析，要把全网数据放在一起看，这样一个用户遭受攻击了，你可以把防御手段应用在所有用户身上，你就有很强的0day处理能力，在这样一个思路下，其实要做的还有很多。

CSDN： 目前国内互联网安全现状大概是什么样的，国内安全防御技术和国外差距体现在哪些方面？

冯景辉：国内除了大型互联网公司有能力养得起自己的安全团队以外，绝大多数企业的安全能力还很薄弱，尤其是一些新兴创业领域，比如去年前年互联网金融很火，可好多互联网金融网站都是基于第三方模板二次开发的。为了快速上线满足业务需要，很多安全防范措施被忽略了，比如没有基本的合法性检查，数据库隔离也没有做，社工信息也没有很好地保护起来，这就给攻击者提供了很多方便，有时候就是扫描器也能扫出很多问题。

再比如DDoS攻击，现在国内也很严重，尤其在一些高营收行业，竞争白热化，完全以消耗带宽的方式去攻击，10G以上的攻击很常见，100G以上的攻击每周都会出现，虽然技术上可能还是和原来一样，但是资源上不同了，国内除了一线厂商，没有几个企业有实力囤积那么多带宽的，这必须要依靠专业的防护提供商来解决，光靠买设备是没用的。

从防御手段上来讲，其实我们和国外的差距并不明显，大家都在探索除了规则系统以外的防御方法，比如网页自学习，都是通过正常的访问请求来学习每一个URL每一个参数的取值特征，以此作为判别标准，国外产品虽然起步比较早，但这种学习本身要面临的挑战还很多：一方面因为网站自己也在变，这个学习不是一劳永逸的；另一方面，取值过紧会导致误报过高，取值过松又没有效果，所以总体上还不够理想。不过国外也有些得天独厚的优势，比如在DDoS防护上，国外安全服务提供商一般采用BGP Anycast带宽来分解攻击，保证每一个单点的处理能力和切换都是可控的。但是因为网络原因，在国内完全无法用这种解决方案，只能靠单点的大带宽来抗攻击。

CSDN： 基于SaaS的安全产品和传统的安全产品有什么区别？优势体现在哪里？

冯景辉：我们认为Saas安全产品最重要的还是数据和服务上，因为云安全的解决方案在底层技术上也是依赖传统的防护手段的，这点没有分别。但是重点在于Saas本身将所有客户的数据汇总处理和分析，可以做到全局统一的防护，比如一个网站遭受了攻击，攻击者的IP都会被记录入可疑名单，下次这些肉鸡再被利用，就很容易直接识别出来。安全宝现在的做法是把在单一客户发现的0day攻击迅速形成防御策略，应用给其他用户，这是在数据层面上；在服务层面区别会更大，因为我们有专业的安全工程师，会通过我们的数据分析系统辅助审计用户的日志，这对于普通网站来说是自己根本做不到的，这样有任何黑客尝试对你做入侵，我们都能在第一时间发现并处理，这是传统安全产品所无法比拟的。

CSDN： 安全宝产品在技术上有哪些亮点，能否和大家分享你们的平台打造历程？

冯景辉：我们是2011年开始开发我们平台的，毕竟做安全很多年，防御部分是有些积累的，所以WAF很早就可以投入使用了。但是要把广泛分布在互联网各个IDC上的节点穿成一个云，还需要有调度，需要知道哪个网站放在哪些节点上服务效果是最好的，这就要考虑离源站的距离、离用户的距离。当然最后我们还是选择离用户最近，但为了解决回源速度问题，我们要特别处理跨运营商的问题，需要在特定线路设计二次跳转的机制。

此外，安全宝还自主开发了过滤引擎，我们当时对比了mod_security和其他一些开源的解决方案，最终还是选择自主研发，原因在于一是匹配效率问题，因为同时要支持很大的访问量，单台QPS会影响我们的投入成本；二是灵活性更高，通过自主开发，我们得以使用自己的规则库，可以最大限度地满足规则合并和应对新威胁的需要。

CSDN： 基于SaaS的安全宝在打造过程中遇到哪些坎，你们是如何解决的？

冯景辉：我们这几年来一直在努力提高稳定性，最初的时候，因为单个节点的带宽并没有现在这么大，而我们又必须同时为很多用户服务，所以经常在遭受攻击时带宽被打满，后来我们一方面加大单个节点的带宽储备，另外一方面积极地开发调度算法，要在出现攻击时尽早定位攻击目标，将目标隔离，避免影响其他用户，还要对用户做历史评估，以计算其遭受攻击的风险系数，将风险高的业务分配在有更大防御能力的节点，还要不断修正风险系数，以达到速度和稳定的双重需要。

另一方面Saas模式都会遭遇因为回源IP变少，导致部分用户回源被封堵的问题，有时候是用户装了其他防火墙，有时候是机房的防御设备，所以我们一方面要加大回源IP数量和检测机制，另外一方面还要积极和各种防火墙厂商合作，建立联动。

CSDN： 目前用户的规模如何，用户关注的问题主要集中在哪些方面，你们如何应对？

冯景辉：我们目前为近40万网站提供安全保护和加速服务，每天处理数十亿次请求，这其中也包括一些日PV过千万的中大型站，用户集中关注的问题还是体现在安全防护的同时是否能够改善访问速度，是否能够保障稳定。在访问速度方面，我们每天会监测我们的节点网络状况，如果发现链路在一定时间内存在大量失败和延时，我们会及时更换数据中心和线路。另外我们也在开发一些加速功能，帮助还没有做好页面优化的网站自动优化，包括合并下载项以减少在TCP协议上的消耗、优化页面内容、将减少传输尺寸等等。

CSDN： 目前国内安全厂商都推崇免费策略，你们的产品如何收费，盈利模式如何？

冯景辉：我们从产品推出的第一天开始，就对大多数规模尚小的用户免费提供服务，因为互联网的安全基础本来就薄弱，我们希望能够和这些创业公司一起成长。在实际的案例中，我们也发现，用户一旦形成了使用习惯，随着他业务的壮大和经营状况的改善，他们会有付费意愿。当然我们的模式也不仅局限在这种直接收费上，还包括为大型网站提供私有云的解决方案，因为数据是一致的，我们在公有云上的技术和数据成果可以直接应用在私有云上，所以效果会很好，光这一块的营收增长我们去年就翻了10倍。

CSDN： 能否对未来的安全形势做下预测，眼下DDos攻击非常猖獗，未来的安全产品会呈现哪些特征？

冯景辉：的确，现在DDoS攻击非常猖獗，国内网络每周都有超过100G以上的大型DDoS攻击，而且很多都是动用了海外资源进行的，这给我们的防御提出了新的挑战，除了加强带宽储备，我们也积极地在和运营商一起合作，共同设计防御策略。

除了DDoS攻击以外，以拖库为代表的数据泄漏威胁也越来越严重，要防范这类攻击更加困难，因为数据泄漏的原因往往比较复杂，不是某一个点的问题，很多时候是管理不善造成防御方案失效才被拖库的，未来我们也将针对这些问题提出更进一步的解决方案。