女性移动app的安全攻防战（20页）.pdf

《女性移动app的安全攻防战（20页）.pdf》由会员分享，可在线阅读，更多相关《女性移动app的安全攻防战（20页）.pdf（20页珍藏版）》请在三个皮匠报告上搜索。

1、黄益聪美柚技术总监女性移动App安全攻防战2015-今 美柚技术总监2013 -2015 阿里巴巴(中国)软件有限公司 高级技术专家负责阿里云大数据基础服务核心开发 阿里罗汉堂 讲师，拥有6项技术发明专利2005-2013 英特尔公司 高级软件工程师 负责高并发、海量数据、高性能场景的性能分析和优化，拥有一项美国专利，获得2011年英特尔中国EOY Award（英特尔中国个人最高奖项），在IEEE和多个国际技术会议发表论文和演讲安全风险安全防御体系社区反垃圾目 录content以美柚(经期管理)切入女性市场，又陆续推出了柚宝宝孕育、柚宝宝时光、柚子街等一系列软件，形成工具社区电商的闭合商业模式

2、。产品用户超过1亿，DAU超过700万，是国内最大的女性经期管理工具，也是第一大女性社区；是唯一 一家覆盖从经期到孕期育儿等女性完整生命周期的互联网公司。美柚家族App攻击概况 流量攻击 恶意CC攻击 撞库注册用户 刷短信 爬虫抓取 域名劫持、页面篡改部分攻击统计二、安全防御体系DDoS防护阿里云DDoS防护：防护SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTP reply Flood、CC攻击、WEB应用攻击等3到7层攻击httpDNSWAF服务DDoS防护App访问示意图App安全代码混淆安全加固（阿里聚安全）防重打包

3、模拟器识别：加入多维特征识别自建HTTPDNS服务+HTTP 2.0防劫持精准调度0 ms解析延迟快速生效降低解析失败率使用Post zipKeep Alive更安全的SSL，防页面篡改弱网更流畅的用户体验未优化-2G深度优化-2G自研WAF（web application firewall）基于openresty构建高性能：得益于nginx的高性能，可横向扩展灵活配置：使用lua开发，得益于脚本的灵活性，同时使用了lua jit兼顾了高性能实时上线：可视化规则编辑，变更实时同步至所有worker，使用redis的subscribe/publish实现对worker广播，瞬间部署，无需重启定制

4、化防御功能：缓解CC攻击、精准访问控制、过滤非法请求，实时解决垃圾注册、刷库撞库、活动作弊、论坛灌水等严重业务风险WAF演进WAF日志数据后台展示机器学习规则更新后台实时汇总展示机器学习动态更新规则三、社区反垃圾社区风险全国最大的女性社区她她圈日均浏览量过亿广告贴、色情图、刷回复盗号、卖号猖獗反垃圾防控系统业务她她圈蜜友圈资讯IM个人资料其他UGC规则引擎文本规则规则中心hash相似文本分类词库机器学习图片规则相似算法OCR 黄图算法广告算法用户规则黑名单白名单用户评分设备库行为规则高频访问路径浏览比人机识别运营规则监控规则配置执行引擎议程管理分析评测词库图库文本库名单库地址库反垃圾系统架构图片服务：相似图片算法+阿里绿网算法API服务：离线训练+在线模型更新高频规则：Simhash垃圾词挖掘