态势感知&“裸奔”的中国人 | 专访 360 张翀斌

一旦确定了某个黑客组织，在相关部门的授权下，张翀斌的团队会对黑客进行溯源和“画像”，包括攻击者常用的工具，平时喜欢登陆那些论坛，他的攻击技能有什么，喜欢攻击什么目标。这种情况下就可以把黑客的信息作为威胁情报，如果同类企业再次探测到同一批人的访问请求，就可以直接根据情报把这个特征的访问拒之门外。

正如伊朗核设施被美国攻击一样，黑客进攻往往是从外围的薄弱系统进入，一步步渗透到核心系统。在黑客步步为营的过程中，越早感知到黑客的存在，就越能把损失降到最小。张翀斌举了几个真实的态势感知案例：

某能源企业，被变种蠕虫入侵，进而所有电脑终端的用户名和密码都被黑客获得，最终连无人值守站的密码都被黑客获得。如果黑客的目的是破坏生产的话，他几乎已经成功了。幸亏发现及时，才在破坏的最后一环力挽狂澜。

某国有银行，使用了态势感知服务。安全研究员很快就发现某分行存在一个口令爆破攻击行为。可怕的是，从这个线索追查发现，全国十几家分行都存在这个问题。黑客利用漏洞，正在快速感染更多的银行系统。安全研究员紧急制定了修复策略，才使得损失没有进一步扩大。

在这个银行的例子中，如果提前部署态势感知系统，在黑客刚刚感染一个分行的时候就可以被感知，其产生的影响会比现在更小。

【态势感知内部界面示意】

我们的做法是，根据人的经验，每次发现新的攻击方试，就可以固化到平台里，在以后的检测中平台就能够降低对人的依赖。

但攻击者也在升级，如果他们知道我们已经掌握了攻击手段，他们就会换一个。

张翀斌列举了几个态势感知的坑。

在很多高端的攻击中，对方使用了未知的攻击手段，那么作为防守方，检测出来的可能性会大大降低。面对这种情况他们会采用行为分析的方法来检测。他为雷锋网宅客频道举了一个例子：

正常互联网世界里的一个IP，会访问很多不特定的IP，但如果一个IP只持续访问两个IP，那么这种行为就是很可疑的。

从服务器角度来看，普通的访问数据是有规律的，如果突然某个电脑的DNS突然变化异常，也是一个有问题的细节。

一般系统的研发人员都是死宅，如果系统检测到了它的 ID 连续几天都在异地登录，那么这也是明显的问题。

当然这只是一些简单的例子。我们会利用机器学习和人工智能的方法对诸多行为之间的关联进行计算，利用这些结果往往可以探查到黑客的蛛丝马迹。针对这些蛛丝马迹进行研究，就会大大提高“破案”的成功率。

他说。

虽然针对每一次攻击，态势感知系统都要做响应。但是如果安全研究员不能认识到这次进攻背后的真实意图，就往往会低估对手。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!