散落在房子里、吸引人的萬圣節(jié)糖果只意味著一件事：今年又到了零售商為黑色星期五熙熙攘攘的假日購(gòu)物者準(zhǔn)備商店（包括實(shí)體店和網(wǎng)店）的時(shí)候了。

　　據(jù)說，黑色星期五來源于19世紀(jì)末期發(fā)生在費(fèi)城的一次事件。零售商Wanamaker百貨公司決定以極優(yōu)惠的價(jià)格售賣印花棉布，這是當(dāng)時(shí)制衣過程中最常用的織物。被超低價(jià)印花棉布吸引蜂擁而至的購(gòu)物者最終擠破了商店前門的玻璃櫥窗，使得商店被迫關(guān)閉。毫無疑問，商店的關(guān)閉讓W(xué)anamaker損失了很多生意。

　　眾所周知，這種情況并不是Wanamaker所特有的，在假日購(gòu)物熱潮中，顧客的需求也會(huì)激增。每逢黑色星期五或網(wǎng)絡(luò)星期一的閃電購(gòu)物，維護(hù)網(wǎng)絡(luò)和應(yīng)用可用性已經(jīng)成為零售商一年一度的固定工作。一般而言，期間的風(fēng)險(xiǎn)遠(yuǎn)高于1890年Wanamaker事件。ComScore稱，去年網(wǎng)絡(luò)星期一的銷售額達(dá)到了30億美元，11月的銷售額接近300億美元。Ponemon研究所的評(píng)估數(shù)據(jù)顯示，企業(yè)一分鐘的宕機(jī)成本就超過2萬美元，但如果考慮到購(gòu)物高峰期的集中銷售額，網(wǎng)絡(luò)星期一的重要性更高。

　　例如，2014年的黑色星期五，零售商百思買集團(tuán)遭遇了數(shù)小時(shí)的業(yè)務(wù)中斷，據(jù)報(bào)道，流量峰值是由移動(dòng)設(shè)備生成的。由于可用的信息有限，很難確定此次宕機(jī)是由一波又一波的合法客戶造成的還是網(wǎng)絡(luò)安全攻擊產(chǎn)生的惡意流量引發(fā)的。

　　可以確定的是，過去幾周發(fā)生了很多真實(shí)且讓人震驚的有關(guān)被入侵設(shè)備的例子，這些設(shè)備可以發(fā)起足以擊垮大型網(wǎng)絡(luò)和運(yùn)營(yíng)商的攻擊。

　　近期的DDoS攻擊只是證明了要百分之百確保用戶免受攻擊侵?jǐn)_的是多么具有挑戰(zhàn)性。但DDoS等威脅的提升并不能作為沒有做好充足準(zhǔn)備的借口。當(dāng)IT和安全專家只是說他們的防御是希望自己不會(huì)遭到攻擊時(shí)，情況就變得讓人遺憾了。正如他們所言：“希望并不是策略。”

　　好消息是，仍有一些能夠應(yīng)對(duì)最新攻擊發(fā)展的措施可供企業(yè)選擇，以確保企業(yè)的安全運(yùn)營(yíng)。

　　效果顯著但卻不易實(shí)現(xiàn)的措施是如何有效區(qū)分合法流量和惡意流量。打個(gè)比方，在流量類型和客戶群之間畫一條平行線。假設(shè)您有一個(gè)可以在全天不同時(shí)段滿足不同人群需求的餐廳。白天，顧客通常是中年全職媽媽或外出吃快餐的商務(wù)人士。晚上，顧客群明顯變得更年輕，有在鎮(zhèn)上閑逛的青少年群體或是在少年棒球聯(lián)盟賽結(jié)束后與父母一起來的小孩子。這些來到餐館的客戶類型就是你的流量基線，代表了客戶群的正常行為。

　　當(dāng)提及利用行為分析技術(shù)檢測(cè)惡意的網(wǎng)絡(luò)或應(yīng)用流量（包括潛在攻擊）時(shí)，也會(huì)使用類似的原理。當(dāng)流量類型（如SYN）在總體流量中占比出現(xiàn)異常時(shí)，行為分析引擎就會(huì)啟動(dòng)。如果在同一時(shí)間SYN流量總體速率超出了正常速率，高級(jí)安全解決方案就會(huì)將其認(rèn)定為攻擊，并攔截這一異常行為。

　　再以上述的餐館為例。如果在中午出現(xiàn)比例不尋常的年輕客戶，您可能需要加以關(guān)注。如果這些客戶的人數(shù)變的很多，甚至到了可能會(huì)耗盡必要資源（如年輕人喜愛的意大利面）的地步，那么您就要采取相應(yīng)的解決辦法了。

　　遺憾的是，并不是所有針對(duì)應(yīng)用或網(wǎng)站的攻擊類型都可以用這種方式檢測(cè)出來。DDoS攻擊可以被檢測(cè)出來，而更高級(jí)的攻擊卻因沒有明顯的流量模型而無法被檢測(cè)。這些攻擊使用眾多試圖利用應(yīng)用代碼漏洞發(fā)起攻擊的惡意腳本，針對(duì)這類攻擊則需要不同類型的防護(hù)措施。很多這種類型的攻擊被收錄在開放Web應(yīng)用安全項(xiàng)目（OWASP）中，防御這些攻擊通常需要Web應(yīng)用防火墻（WAF）。和任何安全技術(shù)一樣，不同的WAF產(chǎn)品在處理能力和方法上有所不同，最近Radware還發(fā)現(xiàn)，許多攻擊都利用了用戶依靠IP地址確認(rèn)攻擊源的這一方法所存在的局限性。幸運(yùn)的是，高級(jí)WAF都在使用快速發(fā)展的設(shè)備指紋識(shí)別技術(shù)，通過各種工具和方法（包括在客戶端運(yùn)行JavaScript）采集與數(shù)據(jù)源有關(guān)的、除IP之外的信息。設(shè)備指紋識(shí)別技術(shù)可以通過數(shù)十個(gè)用戶設(shè)備屬性識(shí)別Web工具實(shí)體，確認(rèn)并追蹤他們的活動(dòng)，生成用戶行為和聲譽(yù)資料。因此可以隨著時(shí)間推移追蹤并確認(rèn)異常行為和潛在的惡意行為，進(jìn)而定義設(shè)備的風(fēng)險(xiǎn)程度。

　　為什么前面所介紹的技術(shù)措施都很重要呢？當(dāng)考慮到由機(jī)器人程序生成的流量所占的高比例（預(yù)計(jì)超過50%）時(shí)，很顯然，企業(yè)在僵尸網(wǎng)絡(luò)（惡意或其他）識(shí)別方面的能力還需要進(jìn)一步的提升。多數(shù)的應(yīng)用DDoS、暴力破解、SQL注入等重大安全威脅大部分都會(huì)通過僵尸網(wǎng)絡(luò)執(zhí)行。僵尸網(wǎng)絡(luò)攻擊流量會(huì)給交易處理能力帶來不可預(yù)知的的、不必要的負(fù)擔(dān)，因此，如果能夠更加精確地成功檢測(cè)并攔截機(jī)器人程序，這將給企業(yè)帶來更好的ROI。

　　Radware（NASDAQ:RDWR）是為虛擬數(shù)據(jù)中心和云數(shù)據(jù)中心提供應(yīng)用交付和應(yīng)用安全解決方案的全球領(lǐng)導(dǎo)者。Radware屢獲殊榮的解決方案為關(guān)鍵業(yè)務(wù)應(yīng)用提供充分的彈性、最大的IT效率和完整的業(yè)務(wù)靈敏性。Radware解決方案幫助全球上萬家企業(yè)和運(yùn)營(yíng)商快速應(yīng)對(duì)市場(chǎng)挑戰(zhàn)，保持業(yè)務(wù)的連續(xù)性，在實(shí)現(xiàn)最高生產(chǎn)效率的同時(shí)有效降低成本。