潘瑶：云抗D备份体系创新与深度应用

潘瑶表示，DNS攻击日益严重，已成为网络安全的重要威胁之一。随着互联网规模的扩大和关键业务对DNS依赖的加深，攻击者不断利用DNS协议的脆弱性发起更复杂、更具破坏性的攻击。近年来，DNS劫持、缓存投毒、DDoS攻击等事件频发，攻击目标涵盖金融机构、政府网站乃至关键基础设施，导致数据泄露、服务瘫痪和重大经济损失。同时，攻击手段持续升级，如结合自动化攻击或利用物联网设备扩大攻击规模，使得防御难度进一步加大。

潘瑶指出，2020年-2023年IDC全球DNS威胁报告显示，总体攻击趋势和DDoS攻击趋势持续增长。2023年有90%的企业遭受过DNS攻击，其中35%为DDoS攻击；2023年22%的DNS攻击行为针对金融行业，金融行业常年受攻击占比稳定；同时，具备高带宽攻击特征，50%以上的超过5Gbps高带宽线路遭受过DDOS攻击。

如何实现互联网域名体系安全防护，潘瑶强调，要同时具备防御、监测、逃生三大要素，依托云端安全防护能力，构建金融互联网DNS体系立体化防御与灾备逃生机制，并基于云端智能监测能力，实现金融互联网DNS体系全域流量实时感知与威胁洞察，实现互联网业务风险防范及业务连续性保障能力提升目标。在安全防护体系，达成集成 DNS 系统安全防护、流量清洗及状态监测的全链路保障；在智能监测体系，实现以终端用户视角，全链条感知互联网域名体系解析状态；在应急逃生技术，实现互联网解析 “无缝” 应急接管，突破本地 DNS 故障限制。

潘瑶介绍，此前申万宏源证券的互联网DNS架构，是在上海的主中心和同城中心部署了一套本地智能解析组群，可以实现基于健康检测状态和流量调度模型的全局流量调度，但同时也面临攻击防御能力弱、对域名体系各层级的监测成为盲区、没有相应的快速应急管理体系等弱点，也不具备多环境下的冗余结构。因此，2023年公司对互联网DNS架构进行了演进优化，形成了云端铸盾、备份筑底、全域监测、全景管控的DNS体系。

“新的DNS架构，保留了本地的F5 GTM集群作为双活的本地DNS解析集群，但是同时引入了ZDNS云解析服务，实现云上云下混合解析”，潘瑶表示，在智能解析平面上，数据中心内部构建本地智能DNS解析集群，可实现基于健康检测状态和流量调度模型的全局流量调度；监控分析平面上，云监控实现对域名解析服务的全域全链路监控，确保互联网DNS智能解析服务的可用性和准确性；安全防护平面上，云高防可实现对本地智能DNS解析集群的铸盾防护，清洗攻击流量，确保互联网智能解析的安全，极端情况实现对解析服务的备份筑底逃生。

在云抗D备份体系方面，2023年11月上线以来，共计受到701次DDoS攻击，云抗 D 备份平台依托云端弹性算力与智能防御，毫秒级过滤恶意流量，扛住冲击，保障业务全链路平稳，实现 “零中断、零卡顿”，筑牢安全防线。在实际攻击事件中，2024年3月单日业务遇到3.8亿次流量攻击；2025年1 月单日业务遇1.8亿次流量洪峰，潘瑶表示，ZDNS云抗D平台拦截了绝大多数的恶意流量，保证业务安全稳定。

在自动关联还原攻击路径方面，能够实时捕获攻击源IP地址，自动关联IP地理信息，智能聚合攻击事件，输出频次，强度及时间趋势分析。潘瑶介绍：“某次攻击事件中，系统成功定位攻击源来自3个国家，其中62%集中于美国地区，并统计出单日最高攻击量达1000+次/秒。该能力为我司提供攻击画像与决策依据，显著提升威胁响应效率”。

在域名解析全景感知方面，目前建成的域名监测系统已对公司关键互联网业务系统实行周期性监测。覆盖权威DNS、公共递归和运营商递归服务器，实时监控解析服务质量、配置变更、调度策略及结果准确性，实现异常秒级告警，依托监测结果为业务质量提升提供精准处置依据。

展望未来发展方向，潘瑶表示，将着重聚焦AI应用，首先是在监测体系方面，构建覆盖全球核心区域的分布式探测节点基础上，通过多源数据融合与AI分析，为运营决策提供精准依据，确保域名解析服务的高可用性与安全性；在防护能力方面，能够基于AI的动态防护引擎将自动识别并拦截新型攻击（如DDoS变种、隐蔽隧道），构建多层级防护体系。通过持续优化策略库，满足合规与实战双重要求；在技术创新方面，希望探索区块链DNS等去中心化方案，规避单点失效风险，打造“永不宕机”的解析服务；构建跨企业联防联控机制，推动DNS安全技术从“跟随”到“引领”的转变。