互聯(lián)網(wǎng)IDC圈1月7日報道，1月5-7日，第十屆中國IDC產(chǎn)業(yè)年度大典（IDCC2015）在北京國家會議中心隆重召開。本次大會由中國信息通信研究院、云計算發(fā)展與政策論壇、數(shù)據(jù)中心聯(lián)盟指導(dǎo)，中國IDC產(chǎn)業(yè)年度大典組委會主辦，互聯(lián)網(wǎng)IDC圈承辦，并受到諸多媒體的大力支持。

成都創(chuàng)新互聯(lián)公司于2013年成立，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項目網(wǎng)站制作、網(wǎng)站建設(shè)網(wǎng)站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元平遙做網(wǎng)站,已為上家服務(wù),為平遙各地企業(yè)和個人服務(wù),聯(lián)系電話:13518219792

中國IDC產(chǎn)業(yè)年度大典作為國內(nèi)云計算和數(shù)據(jù)中心領(lǐng)域規(guī)模大、最具影響力的標(biāo)志性盛會，之前已成功舉辦過九屆，在本屆大會無論是規(guī)格還是規(guī)模都"更上一層樓"，引來現(xiàn)場人員爆滿，影響力全面覆蓋數(shù)據(jù)中心、互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等多個領(lǐng)域。

百度云安全資深安全專家郝軼出席IDCC2015大會并在大數(shù)據(jù)應(yīng)用與安全技術(shù)論壇發(fā)表主題為《全息安全：互聯(lián)網(wǎng)空間中的導(dǎo)彈防御系統(tǒng)》的精彩演講。

百度云安全資深安全專家郝軼

以下為郝軼演講實錄：

我今天的議題分幾個部分，是我們在信息安全方面有關(guān)大數(shù)據(jù)的思考以及百度的時間和我個人的態(tài)度。

五年前經(jīng)常說的一個事，我們信息安全風(fēng)險管理有三個要素，這邊是我們的資產(chǎn)，外面是威脅，資產(chǎn)有脆弱性，所以我們需要控制措施，需要這些豌豆、堅果做防護(hù)。信息安全在以往的思路上大家講縱深防御，如果一道防線防不住的話，后面還有別的防線。那個時候我主要做內(nèi)網(wǎng)安全，又過了五年，我覺得這個事有別的思路，我們站在攻擊者的角度和防護(hù)者的角度是不同的，我們希望我們能夠形成縱深防御，假設(shè)攻擊者的路線比較曲折，要一步一步來，假設(shè)我們是攻擊者，為什么要按照防御者規(guī)定好的路線和方向來攻擊呢？二是傳統(tǒng)的內(nèi)網(wǎng)里面的結(jié)構(gòu)里一定的復(fù)雜度，互聯(lián)網(wǎng)上中小網(wǎng)站結(jié)構(gòu)比較簡單，買一個云主機就結(jié)束了，沒有這么大的空間讓你部署這些防護(hù)系統(tǒng)，很難形成縱深防御，就這個想法我做了一些展開。

比如在伊拉克戰(zhàn)爭的時候，站在防護(hù)者的視角，就是薩達(dá)姆這一端，他們想說我們有很多軍隊，如果一旦發(fā)生戰(zhàn)斗我們要把敵人引到我們的巷子里面去，引到復(fù)雜的胡同、樓宇里進(jìn)行巷戰(zhàn)，做縱深防御是他們當(dāng)時的想法。站在旁觀者的角度，這個靠譜，縱深防御有很多人，我們在陸地上做防護(hù)，一個薩達(dá)姆需要一二十個國家非常難。有另外一個問題，如果站在攻擊者的角度，美國叫斬首行動，由于陸地上攻擊、推進(jìn)的話需要耗費大量的人力財力，而且有死亡的危險，他更希望派飛機和無人機直接斬首掉對方的領(lǐng)袖，比如本拉登，這是攻擊者的想法。實際上攻擊者沒有必要按照防護(hù)者的思路去走他的攻擊路線和攻擊路徑。我后來找到了一個圖，戰(zhàn)爭五環(huán)，這也是國外關(guān)于防護(hù)的理論，戰(zhàn)爭中有幾層，最核心的是領(lǐng)導(dǎo)、關(guān)聯(lián)系統(tǒng)要素、基礎(chǔ)設(shè)施、民眾和軍隊，從攻擊者的角度來講，他并不想直接和防御者的軍隊進(jìn)行直接接觸，他希望直接滅了對方的領(lǐng)導(dǎo)，就是斬首行動。

防護(hù)一個系統(tǒng)之前做很多建設(shè)，我們試圖把我們的防御機制，把我們要保護(hù)的對象比如我們的網(wǎng)站做得更安全，我們要不停地上防護(hù)的設(shè)備，增加安全的控制措施，這就像是我們設(shè)一座堡壘，我們有資產(chǎn)。昨天還是前天據(jù)說我們的鄰居朝鮮造出來一個武器氫彈，看報道它發(fā)射得不準(zhǔn)，這導(dǎo)致一個問題，很難把中小的網(wǎng)站每一個都防護(hù)得足夠承受攻擊，如果有人發(fā)射導(dǎo)彈，一種防護(hù)方法是把堡壘修得足夠結(jié)實，能扛得住導(dǎo)彈，還有一種是中小網(wǎng)站的成本不適合做這么高強度的控制措施，一般的國家怎么防護(hù)，監(jiān)控這種攻擊從預(yù)謀到開始、到途中、到快打到你這兒，爭取在空間中把你攔掉，這就是我今天要講的我們在互聯(lián)網(wǎng)空間中對中小網(wǎng)站的防護(hù)思路。我們一方面給予網(wǎng)站一個基本的防護(hù)，同時我們在整個空間中形成周密的監(jiān)測和系統(tǒng)，爭取在攻擊尚未打到你這兒時把它打掉。

我們做的過程中還有一些困擾。內(nèi)網(wǎng)APP威脅，很多針對互聯(lián)網(wǎng)中小網(wǎng)站的攻擊是程咬金的方法，屬于三斧子買賣或者一錘子買賣，打一下就好，像威客這種，一個中小的網(wǎng)站不需要你長期持續(xù)性的攻擊把它拿下，有這么多白帽子，對中小網(wǎng)站來講拍你一下就閃了，半小時就把你數(shù)據(jù)導(dǎo)走了，這種方法我們怎么做到。一個立方體，我們能不能看得更全面，站在甲方的業(yè)務(wù)的角度，你是做什么的，你能付出多少成本，你有多大財務(wù)上的影響，你安全人員的考慮，站在攻擊者的角度考慮怎么考慮你，安全行業(yè)對這件事情怎么考慮，你是處于什么行業(yè)，同行業(yè)對安全這件事情的看法。多個角度在視角上對目標(biāo)進(jìn)行分析。同時我們考慮到距離和范圍，原來關(guān)注更多的是你的外部，你的外部應(yīng)用防火墻，現(xiàn)在同時考慮到你的鏈路，比如百度自身的CDN監(jiān)測里面有沒有惡意的數(shù)據(jù)，監(jiān)控攻擊源，從不同的角度看這個事。比如我站得越來越遠(yuǎn)，我看的范圍會越來越大，從資產(chǎn)、行為、時間、身份多個維度進(jìn)行分析，這就是我們?nèi)踩龅氖隆?/p>

還有一個比較腦洞的事情，原來我們說信息安全這么多年來沒有高科技，我的同事說我給你出一個高科技的東西，叫穿越分析，如果我遇到了攻擊，能穿越到被攻擊之前把攻擊者滅掉那么我們就實現(xiàn)了防御，但實際上這件事不靠譜。我們唯一能做到的是，人們在宇宙中找跟地球相似的星星，去觀察這個星星怎么產(chǎn)生怎么消亡的給地球作為參考，關(guān)于這一點我說這個方式有可能實現(xiàn)，假設(shè)存在平行空間。我們認(rèn)為一個網(wǎng)站有DNA，這么多網(wǎng)站之間有什么區(qū)別，先說共同點，可能用到共同的底層中間系統(tǒng)，相同的中間件、相同的業(yè)務(wù)，不同點是里面的文字不同、模板不同、logo不一樣。

如果關(guān)注數(shù)百萬的網(wǎng)站的話，就可能在數(shù)百萬的網(wǎng)站中發(fā)現(xiàn)100個和你極其相似的網(wǎng)站，我認(rèn)為是你的影子或者是你的兄弟，你們DNA很接近，你們只是內(nèi)容文字不一樣，技術(shù)上是不一樣的，但內(nèi)容上有區(qū)別，沒關(guān)系。如果你的100個兄弟中有一個被入侵了，我們分析那個入侵的時候就能找到漏洞，能把漏洞補上，這個時候我們就可以利用從他那兒得到的教訓(xùn)先把漏洞補上，別人再入侵我們就入侵不了了。這是我們的一些想法。

考慮到其他的困擾，長期以來我們都到處布節(jié)點、探頭，去抓數(shù)據(jù)，做數(shù)據(jù)分析，這是基礎(chǔ)環(huán)節(jié)。我們通過實踐還是要把這件事情做好。我們?nèi)绾巫龅哪?？我們期待日志豐富、工具聯(lián)動、高效維護(hù)、持續(xù)可用，但實際遇到的問題是日志匱乏，不是日志本身匱乏，大家不愿意把日志獻(xiàn)出來。工具要聯(lián)動，這個事沒多難，國內(nèi)的設(shè)備不是一家做的，每家數(shù)據(jù)的字典不一樣，對同一個日志的格式不一樣，對同一個漏洞的描述也不一樣，一件事可以分三條描述也可以分五條、一條描述，多廠協(xié)調(diào)很難。不是不能協(xié)調(diào)，過去五年里我就干過這個事，可以協(xié)調(diào)但很慢，兩邊的研發(fā)人員對數(shù)據(jù)字典，協(xié)調(diào)好了某一方面臨著系統(tǒng)升級，這事又白做了，又得從頭干，周期非常難，成本很高。硬件故障。設(shè)備里有很多硬件要插在里面。

我把我的東西做得足夠好，愿意下大本去做，還有一種方法是多平臺，從監(jiān)測端各種監(jiān)測工具，掃描、防護(hù)、加速都是我們自己的，我們集中維護(hù)，全是自己的人都放一起，這是現(xiàn)在百度云安全的做法。我們并不是克服了傳統(tǒng)的困難，而是繞過了這些困難，沒有這些協(xié)調(diào)的問題。日志也不需要你上傳，直接在鏈路上就把數(shù)據(jù)抓過來，對中小用戶用比較有親和力的方法把數(shù)據(jù)拿過來。在分析的過程中，我們也遇到了一些困擾?，F(xiàn)在機器學(xué)習(xí)非常火，尤其以百度為首的百度大腦，開會如果不說這件事實在對不起自己，這是一個方向。攻擊情報，后來我們發(fā)現(xiàn)機器學(xué)習(xí)再先進(jìn)，總有漏報誤報的問題，我們只用機器學(xué)習(xí)和大數(shù)據(jù)的方法發(fā)現(xiàn)異常中的線索，機器比人快，但是不夠準(zhǔn)，我們用人工分析的方法讓你準(zhǔn)，標(biāo)定你的這些問題，得出結(jié)論，再把結(jié)論反退給規(guī)則，這樣形成閉環(huán)，我們后來認(rèn)為方法有很多種，沒有誰強不強的問題，大家一起用，它其實是個閉環(huán)。

我們以分析的角度來看，這里面有一些例子大家可以看一下。我們能夠分析查詢數(shù)據(jù)庫查詢中的這些字段，正常的字段和有攻擊的字段，通過機器學(xué)習(xí)的方法把它分類，這是我們的方法，這樣我們能識別出原來這些查詢可能有出入。還有一個更簡單的是我們讀頁面的關(guān)系，正常的網(wǎng)站頁面和頁面有超鏈接，某個頁面不連別的別的也不連它可能是問題。我們通過模型對URL里的參數(shù)分布、請求頻率和請求寬度、404比例進(jìn)行分析，分析人和機器，一個正常人的訪問，他打開網(wǎng)頁一定有一半圖片一半文字，如果是掃描器的話，大部分都是文字內(nèi)容，他不會對圖片那部分進(jìn)行讀取。一個掃描器訪問你的網(wǎng)站的時候會出現(xiàn)頁面不存在的問題，正常人在頁面上點比例沒那么大，我們就是基于這些去找出異常。我們做了這些事，基于我們有很多的數(shù)據(jù)源和這些算法得出能夠在空間中誰準(zhǔn)備干這個事，因為他已經(jīng)動了別人家，誰正在對你干壞事，我們?nèi)プ钄?，總有漏掉的東西，我們溯源出來，找到尚不能防御的攻擊。我們過去找到一個攻擊過程，我們總有漏掉的時候，但我們可以通過分析得出你怎么進(jìn)我們的系統(tǒng)，什么時候來鏈接我。

百度做這件事情的時候做了大量基礎(chǔ)性的工作，各個方面都有這些儲備，全國有大量的IDC和CDN分布，我們能夠在IDC和CDN的節(jié)點流量來獲得這些數(shù)據(jù)，這是數(shù)據(jù)源的來源。我們自身也提供加速和外部防護(hù)的服務(wù)，現(xiàn)在服務(wù)數(shù)差不多100萬，有非常大的請求，對DDOS壓制能力達(dá)1T。我們也能在事后對這個事實進(jìn)行審計，出一些審計報表，也能對后門進(jìn)行識別。我今天講的內(nèi)容是實踐，既講到了對風(fēng)險的防護(hù)，也講到了我們在營銷和對數(shù)據(jù)的分析，我們能夠?qū)τ脩暨M(jìn)行畫像。大家都知道百度是弱用戶的系統(tǒng)，大家上百度的時候不需要登陸，我們可以通過對訪問的分析分析出你是誰，你有什么樣的愛好，這也是現(xiàn)在我們安全部門做的一件事。我們分析攻擊者的基礎(chǔ)上對正常訪客也做了一些分類。

最后說一下我自己的態(tài)度。高大上的方案不一定適合你。大家一定聽說過N多專家講，我認(rèn)為工具主要分為四類，有很多自己購買商業(yè)工具，效率很高但比較貴，還有自行研發(fā)工具、使用開源工具、云服務(wù)化工具，很多大公司講我們用開源的和自行研發(fā)的，這個是很好，但它需要大量的人員去投入，需要花很多錢。對中小用戶來講購買商業(yè)工具很貴，使用開源工具需要有很強的運維人員，自行研發(fā)需要你有很強的研發(fā)人員，而你要花錢雇研發(fā)和運維人員。無論是購買商業(yè)工具、使用開源工具、自行研發(fā)工具都要投入很大成本，我們提了很多高大上的方案，你回去根本用不了。百度有1000個信息安全人員，我們內(nèi)部做得很好，但是你沒有那么多人，這就是問題。我們怎么辦呢？我們把自己研發(fā)的工具實現(xiàn)云服務(wù)化的工具，百度內(nèi)部自己用，自己用效率會比較高，然后給用戶用，然后給愿意少量付費的用戶。但是用戶有問題，百度對自己的運維和研發(fā)對大客戶直接提供服務(wù)，這就是百度在安全方面能力的建立與分享，我們愿意把我們的研發(fā)和運維以及成形的云服務(wù)化工具給大客戶分享能力。

先進(jìn)的技術(shù)不一定適合所有場景，我在反思我們自己，我講了很多大數(shù)據(jù)的事，一加一等于二這個結(jié)論我一拍腦袋就出來了，可以用大數(shù)據(jù)算，也可以用塔羅牌算，如果用塔羅牌算和大數(shù)據(jù)算一樣準(zhǔn)確，為什么還要用大數(shù)據(jù)？如果有邏輯分析就能分析出來的富礦，為什么非要用大數(shù)據(jù)？大數(shù)據(jù)是好東西，但希望我們建立在已經(jīng)挖掘了很豐富的信息富礦的時候再考慮大數(shù)據(jù)或者同時考慮，無論你用什么技術(shù)，無論先進(jìn)還是不先進(jìn)，最重要的是找到富礦，而不是用了什么技術(shù)名詞，名詞確實挺多的。高難度的技術(shù)不一定帶來高價值，技術(shù)人員的鄙視鏈，操作系統(tǒng)漏洞挖掘和安全配置。到運維或者乙方售后工程師這一層，我們做的事情是安全配置，在鄙視鏈的最高端是做操作系統(tǒng)級的漏洞挖掘，但我有一個疑問不同操作系統(tǒng)下操作系統(tǒng)的漏洞挖掘一定比安全配置人員有價值嗎？技術(shù)難度一定等于高價值嗎？

我們是一個創(chuàng)業(yè)型的互聯(lián)網(wǎng)公司，我們有幾臺服務(wù)器，雇一個搞漏洞挖掘的人，他給你找出Windows的漏洞，你找到這個漏洞，國際上很關(guān)注你，你等著微軟發(fā)現(xiàn)你把漏洞補上。你如果找一個安全配置人員，能夠跟著不停地找漏洞并把漏洞補上，他很便宜，而且關(guān)注的面也大。對很多甲方來講，處于鄙視鏈低端的人，工程師們給我們帶來了更高的價值，遠(yuǎn)遠(yuǎn)高于那些能找漏洞的，他找出一個漏洞你的系統(tǒng)里可能還有一百個。高技術(shù)不一定帶來高價值，希望大家選擇給你帶來更高價值的人。

最后要說工程師最重要的是解決問題，技術(shù)只是手段，謝謝大家！

網(wǎng)頁題目：郝軼：全息安全互聯(lián)網(wǎng)空間中的導(dǎo)彈防御系統(tǒng)
文章分享：http://jinyejixie.com/article4/socdie.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信公眾號、網(wǎng)站營銷、網(wǎng)站內(nèi)鏈、面包屑導(dǎo)航、網(wǎng)站設(shè)計、移動網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)