作者：羿莉（蕭羿）

全球出圈的中國大模型

DeepSeek?作為一款革命性的大型語言模型，以其卓越的自然語言處理能力和創新性成本控制引領行業前沿。該模型不僅在性能上媲美?OpenAI-o1，而且在推理模型的成本優化上實現了突破性的低成本運營，被譽為“小力出奇跡”的典范。隨著新一代模型?DeepSeek-R1?的發布，1 月 27 日，DeepSeek 應用迅速登頂蘋果應用商店中國和美國地區的免費 App 下載排行榜，甚至在美國地區下載量上超越了?ChatGPT。不僅如此，DeepSeek 還采用了完全開源的策略，大幅降低了用戶的使用門檻，推動了 AI 開發者社區的協同創新。

DeepSeek 的迅速走紅引發了網絡熱議，其最引人注目的成就是打破了傳統 AI 對高端硬件的依賴。通過顯著降低的訓練成本，DeepSeek 將 AI 的訓練和開發變得更加簡便，對硬件要求大幅降低，使得科技巨頭引以為傲的“護城河”變成了“小水洼”。這不僅引發了全球互聯網的廣泛關注，還對歐美科技股帶來了顯著沖擊，導致英偉達股價的歷史性下跌，并引發納斯達克綜合指數的顯著波動。華爾街分析師們甚至驚呼，這一現象標志著 AI 產業迎來了“斯普特尼克時刻”。

遭受大規模惡意攻擊

然而，DeepSeek 作為人工智能領域的一顆璀璨明星，其引人矚目的成就難免引發一些外部的惡意注視。2025 年 1 月 27 日晚至 28 日凌晨，一則令整個 AI 社區嘩然的消息出現了——DeepSeek 官方服務狀態頁面發布公告，宣稱其遭遇了一次大規模的網絡惡意攻擊。 這一事件如同平地驚雷，揭示了此次攻擊的嚴重性，并迅速引起廣泛關注。在此攻擊的影響下，DeepSeek 線上服務面臨重大挑戰。注冊服務被迫限制，非 +86 手機號的注冊方式暫時中止，而已注冊用戶盡管能夠登錄系統，卻仍然遭遇諸多功能障礙。網頁及 API 普遍呈現性能異常，問題如登錄困難、無法注冊以及服務不可用等頻繁發生，令大量依賴 DeepSeek 進行文本創作、體驗 AI 功能及進行學習工作的用戶獲得不佳的使用體驗。

Due to large-scale malicious attacks on DeepSeek’s services, registration may be busy. Please wait and try again. Registered users can log in normally. Thank you for your understanding and support.

針對近期頻繁遭遇宕機事件，初步分析指出，這與新模型上線后的訪問流量激增密切相關。然而，DeepSeek 官方更進一步披露，這一狀況還涉及到"large-scale malicious attacks"的因素，暗示不僅僅是由于網絡訪問驟增導致的資源枯竭，而是遭遇了有組織的惡意攻擊行為。根據奇安信 Xlab 實驗室的監測數據，過去一個月中，DeepSeek 遭受持續的海外攻擊行為，自 1 月 27 日起攻擊手段升級，不僅是?DDoS 攻擊頻發，Xlab 實驗室報告還發現大量密碼暴力破解攻擊。這些攻擊行為使得 DeepSeek 的 AI 服務和數據正承受前所未有的安全壓力。與此同時，綠盟科技伏影實驗室也報告了自 2025 年 1 月 20 日以來，針對 DeepSeek 對話系統接口 （chat.deepseek.com） 和 API 接口 （api.deepseek.com） 的多波攻擊事件。這些攻擊采用?NTP 反射攻擊和?Memcached 反射攻擊等手段，具有極大的破壞性。

盡管如此，對 DeepSeek 的攻擊不僅沒有停止，反而愈加升級。1 月 30 日凌晨，Xlab 進一步檢測到，有兩種僵尸網絡已參與到對 DeepSeek 的攻擊行動中。從行業競爭的視角來看，AI 領域日益白熱化的競爭，使得 DeepSeek 憑借其技術優勢對其他競爭者造成威脅。在技術層面，網絡攻擊手段推陳出新，黑客可能會借助 DeepSeek 系統的潛在漏洞實施攻擊。此外，隨著 AI 技術的不斷發展，其本身也可能被用于發起更復雜和隱蔽的網絡攻擊。這一動態不僅提升了以 DeepSeek 為代表的 AI 創新企業提高網絡安全防御措施的緊迫性，也預示著網絡安全挑戰將更加嚴峻。

隱憂與反思：構建安全可觀測體系

在科技發展的洪流中，DeepSeek 遭遇的攻擊事件不僅是其自身面臨的挑戰，更揭示了整個人工智能行業亟需正視和反思的安全隱患。在 AI 技術迅猛發展的背景下，網絡安全已成為潛在威脅，嚴重影響著 AI 技術的進一步應用和普及。若無法有效確保 AI 系統的網絡安全，AI 的發展將面臨難以估量的風險與阻撓。對于 AI 初創企業而言，當務之急是在于加強網絡安全防御能力，并建立健全、可觀測的安全體系，以確保在快速更迭的技術環境中立于不敗之地。那么，我們來簡單介紹一下，部署或構建在阿里云上的應用與服務應該如何快速構建一個完整的安全可觀測體系。

首先，網站流量經過阿里云的?DDoS 高防，通過 DNS 解析和 IP 直接指向引流到阿里云高防網絡機房。流量清洗中心進行第一道防護。該中心的基礎設施廣泛分布于國內外的數據網絡，具備卓越的 DDoS 攻擊防護能力、可抵御流量型和資源耗費型攻擊，并能實時監控及自動化處理機制，確保非法流量被精準過濾，從而做到僅允許合法流量進一步傳輸。經過流量清洗后，合法流量會進入?Web 應用防火墻（WAF） ，這一層次的安全平臺可以有效防范 SQL 注入、跨站腳本攻擊等常見的 Web 威脅，為用戶提供更嚴密的安全保護。在確認流量的安全性后，阿里云的負載均衡（CLB） 組件會對其進行合理分配，以確保在用戶服務和?ECS、ACK?之間的主機、容器資源使用達至最佳化，并維持服務的穩定性和高可用性。同時，云安全中心（SAS） 也提供全面的風險管理和威脅分析，助力護航企業的云上資產安全。

除此之外，阿里云提供的日志服務（SLS） 全程收集并分析各個階段產生的防護日志、訪問日志、安全日志和業務日志等。云監控會收集各個產品組件的具體指標。這種全鏈路日志監控結合機器學習與異常檢測技術，從宏觀洞察、回溯審計到智能巡檢，實現深度可視化的數據分析，幫助企業識別潛在威脅并提前進行整改。例如通過流量分析日志，各類異常行為可以通過?SLS 告警檢測機制及時通知相關人員，系統可以通過短信、電話或釘釘等途徑發出警報，確保安全事件能夠迅速得到響應，進而將可能的損失降至最低。

通過整合 DDoS 高防、WAF、CLB 等功能，結合阿里云 SLS 全面先進的日志審計和告警檢測能力，企業可以在阿里云平臺支持下能夠構建一個全面、堅實且可觀測的安全體系，不僅顯著提升了安全防護能力，同時通過自動化提高了運營效率。這一架構使企業能夠從容應對復雜多變的網絡威脅，推動業務的穩健發展。

安全可觀測場景最佳實踐

下面我們從流量訪問日志的接入與監控、日志審計與自定義分析、異常檢測與安全告警三個功能場景方面，給出具體的示例參考。

（一）訪問日志的接入與監控

1. 日志接入

第一張圖像（左圖）展示了阿里云?DDoS 高防日志的一例，詳細記錄了一個自動化網絡請求被識別為?CC 攻擊并成功攔截的事件。日志中包含關于訪問者的 IP 地址和客戶端的詳細信息，這些信息對于網絡管理員在防范 DDoS 攻擊或其他惡意流量時至關重要。網絡管理員可以利用這些數據來設置適當的閾值或制定封禁策略，從而提升網絡的安全性。下一張圖像（右圖）則記錄了一次通過?WAF（Web 應用防火墻）攔截的表達式注入攻擊嘗試，日志中包含攻擊者的 IP 地址和 URL 請求信息。阿里云 WAF?通過準確檢測和阻止這一潛在威脅，成功地保護了 Web 應用程序免受可能的破壞性攻擊。

2. 流量監控

下圖展示了一份關于 DDoS 高防的流量訪問分析和監控內置 SLS 儀表盤。這份報告詳細呈現了用戶請求的數據指標，其中包括頁面訪問量（PV） 和獨立訪客數（UV） ，并對比了與前一天的數據變化。攻擊監控板塊提供了“攻擊次數”和“攻擊流量”的詳細數據，同時列出被攻擊的網站信息。在流量監控部分，用戶可以查看“有效請求率”、“有效流入流量”和“有效流出流量”等統計信息。這些信息為理解和應對 DDoS 攻擊提供了全面的數據支持。

除了安全防護日志外，VPC 流日志、DNS 解析日志、負載均衡訪問日志以及?Kubernetes Ingress 日志等多種類型的訪問日志亦可進行實時監控。這些功能的集成不僅顯著提升了系統觀測的完整性和全面性，還增強了數據分析的深度。在此關于具體實現的細節不再贅述。有興趣的用戶可以訪問阿里云 SLS 官網，以獲取更為詳盡的技術信息和應用案例。

（二）日志審計與自定義分析

1. 日志審計

在當代軟件開發的領域中，日志審計扮演著關鍵角色。它不僅能夠及時識別未經授權的訪問和潛在的數據泄露，還能迅速定位問題源頭，分析故障根因，確保業務的安全與合規性。例如，通過使用 SLS 等平臺記錄詳盡的?API 調用日志，企業可以實現高度精確的用戶行為監控和全面審計。此方案可追蹤和分析諸如輸入和輸出 Token 的數量、API 調用延遲以及調用頻次等關鍵指標，從而有效識別并解決性能問題，幫助企業構建專業的分析框架。在這些 API 調用日志中，涵蓋了客戶端信息、請求內容、Token 數量、模型響應時間、響應結果及錯誤率等重要的上下文信息，可以確保運營流程的透明性和可審計性，也有助于進行歸納分析，找到業務瓶頸。以下展示的是一個關于任務 （Task）響應的統計和儀表盤示例。

2. 自定義分析

此外，通過 iLogtail 實現主機或容器環境下的業務日志采集，能夠顯著提升數據的潛在價值。以采集大型語言模型（LLM）的對話明細日志為例，數據經過脫敏處理 后，可以將其采集入日志服務（SLS）中進行集中存儲。所采集的日志不僅能夠協助評估對話的復雜性和文本回復的質量，還可以深入分析用戶行為模式，從而提升用戶滿意度和優化精準推薦效果。下圖展示了一份模擬人工智能對話的明細日志樣例，記錄了一段日志分析對話的輸入輸出。

在日志自定義分析處理過程中，用戶可以充分利用 SLS 強大的函數算子來優化日志分析過程。首先，可以使用 date_trunc 函數將日志時間精確對齊到分鐘級別，隨后通過 date_format 函數將時間格式化為 %H:%i，從而便于計算每分鐘內每個賬號 ID 請求數量。對于復雜的數據解析需求，json_extract 函數提供了強大的工具來提取 JSON 對象中的特定參數。例如，可以提取會話中的 sessionId，或從 results 字段中獲取對話輪次信息 taskRoundId，以便更精確地評估會話流程中的交互輪次和對答效果。此外，當用戶的 inputs 參數包含 URL 編碼時，url_decode 函數可用于解碼 URL。然后，再通過 url_extract_path 函數，用戶能夠高效地提取具體的 URL 路徑模塊。最后，借助正則表達式函數 regexp_extract，可以從響應內容中精確提取出如電話號碼、郵箱地址、IP 地址及證件 ID 等關鍵詞。這一過程對于識別和處理響應內容中潛在的敏感信息至關重要，從而確保響應結果的安全性和合規性。

（三）異常檢測與告警響應

1. 異常檢測

通過海量繁雜的日志發現異常也是困擾運維管理人員的難題。下面介紹一種將 SLS?訪問日志轉換為指標的技術流程，并利用 SLS 機器學習函數對指標進行異常檢測的示例步驟。首先，使用 SLS 管道語言 SPL 中的算子（如 stats 和 make-series）對訪問日志數據（包括時間戳和請求計數）進行時間聚合，生成每分鐘的訪問量指標序列。接著，應用機器學習函數 series_decompose_anomalies 對這些近似連續的指標進行檢測和分析，以識別異常點。根據這些異常點，進一步分析相應的訪問日志以獲取相關?IP 地址。最后，通過 SQL 函數（如 ip_to_country 等）解析請求來源的地理坐標，從而確定訪問或攻擊來源。下圖紅色點為異常點示意，可以針對異常點的訪問日志進行深入挖掘，更多數學統計和機器學習函數可以訪問阿里云 SLS 官網文檔。

2. 告警響應

日志服務 SLS 中的告警功能為業務異常監測提供了有力支持。利用該功能，可以有效識別并告警潛在的 DDoS 攻擊、業務波動等異常情況。例如，突發的流量激增或流量來源于非典型地理位置，抑或是短時間內從多個不同地區大規模涌入，均是 DDoS 攻擊的典型特征。通過監控和分析網絡流量的動態變化及其來源，網絡管理員可以及時識別異常流量，進而提升運維團隊的警覺性，大大加快響應和處理的效率。下圖是 SLS 告警配置的基本流程示意。

總結

在近來發生的 DeepSeek 遭遇的安全事件中，我們可以看到當前人工智能行業在網絡安全方面的脆弱性，同時也為業界敲響了警鐘。唯有通過全行業的協同努力，加強整體、完善的網絡安全可觀測建設，才能為 AI 技術的創新和發展構建一個安全而穩固的環境。我們期盼并相信，在攻克這些網絡安全難題之后，AI 創新將迎來更加安全、燦爛的未來。

點擊此處，了解更多安全可觀測場景最佳實踐。