互聯(lián)網IDC圈1月7日報道，1月5-7日，第十屆中國IDC產業(yè)年度大典（IDCC2015）在北京國家會議中心隆重召開。本次大會由中國信息通信研究院、云計算發(fā)展與政策論壇、數(shù)據(jù)中心聯(lián)盟指導，中國IDC產業(yè)年度大典組委會主辦，互聯(lián)網IDC圈承辦，并受到諸多媒體的大力支持。

成都創(chuàng)新互聯(lián)公司于2013年成立，是專業(yè)互聯(lián)網技術服務公司，擁有項目網站制作、網站建設網站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元平遙做網站,已為上家服務,為平遙各地企業(yè)和個人服務,聯(lián)系電話:13518219792

中國IDC產業(yè)年度大典作為國內云計算和數(shù)據(jù)中心領域規(guī)模大、最具影響力的標志性盛會，之前已成功舉辦過九屆，在本屆大會無論是規(guī)格還是規(guī)模都"更上一層樓"，引來現(xiàn)場人員爆滿，影響力全面覆蓋數(shù)據(jù)中心、互聯(lián)網、云計算、大數(shù)據(jù)等多個領域。

百度云安全資深安全專家郝軼出席IDCC2015大會并在大數(shù)據(jù)應用與安全技術論壇發(fā)表主題為《全息安全：互聯(lián)網空間中的導彈防御系統(tǒng)》的精彩演講。

百度云安全資深安全專家郝軼

以下為郝軼演講實錄：

我今天的議題分幾個部分，是我們在信息安全方面有關大數(shù)據(jù)的思考以及百度的時間和我個人的態(tài)度。

五年前經常說的一個事，我們信息安全風險管理有三個要素，這邊是我們的資產，外面是威脅，資產有脆弱性，所以我們需要控制措施，需要這些豌豆、堅果做防護。信息安全在以往的思路上大家講縱深防御，如果一道防線防不住的話，后面還有別的防線。那個時候我主要做內網安全，又過了五年，我覺得這個事有別的思路，我們站在攻擊者的角度和防護者的角度是不同的，我們希望我們能夠形成縱深防御，假設攻擊者的路線比較曲折，要一步一步來，假設我們是攻擊者，為什么要按照防御者規(guī)定好的路線和方向來攻擊呢？二是傳統(tǒng)的內網里面的結構里一定的復雜度，互聯(lián)網上中小網站結構比較簡單，買一個云主機就結束了，沒有這么大的空間讓你部署這些防護系統(tǒng)，很難形成縱深防御，就這個想法我做了一些展開。

比如在伊拉克戰(zhàn)爭的時候，站在防護者的視角，就是薩達姆這一端，他們想說我們有很多軍隊，如果一旦發(fā)生戰(zhàn)斗我們要把敵人引到我們的巷子里面去，引到復雜的胡同、樓宇里進行巷戰(zhàn)，做縱深防御是他們當時的想法。站在旁觀者的角度，這個靠譜，縱深防御有很多人，我們在陸地上做防護，一個薩達姆需要一二十個國家非常難。有另外一個問題，如果站在攻擊者的角度，美國叫斬首行動，由于陸地上攻擊、推進的話需要耗費大量的人力財力，而且有死亡的危險，他更希望派飛機和無人機直接斬首掉對方的領袖，比如本拉登，這是攻擊者的想法。實際上攻擊者沒有必要按照防護者的思路去走他的攻擊路線和攻擊路徑。我后來找到了一個圖，戰(zhàn)爭五環(huán)，這也是國外關于防護的理論，戰(zhàn)爭中有幾層，最核心的是領導、關聯(lián)系統(tǒng)要素、基礎設施、民眾和軍隊，從攻擊者的角度來講，他并不想直接和防御者的軍隊進行直接接觸，他希望直接滅了對方的領導，就是斬首行動。

防護一個系統(tǒng)之前做很多建設，我們試圖把我們的防御機制，把我們要保護的對象比如我們的網站做得更安全，我們要不停地上防護的設備，增加安全的控制措施，這就像是我們設一座堡壘，我們有資產。昨天還是前天據(jù)說我們的鄰居朝鮮造出來一個武器氫彈，看報道它發(fā)射得不準，這導致一個問題，很難把中小的網站每一個都防護得足夠承受攻擊，如果有人發(fā)射導彈，一種防護方法是把堡壘修得足夠結實，能扛得住導彈，還有一種是中小網站的成本不適合做這么高強度的控制措施，一般的國家怎么防護，監(jiān)控這種攻擊從預謀到開始、到途中、到快打到你這兒，爭取在空間中把你攔掉，這就是我今天要講的我們在互聯(lián)網空間中對中小網站的防護思路。我們一方面給予網站一個基本的防護，同時我們在整個空間中形成周密的監(jiān)測和系統(tǒng)，爭取在攻擊尚未打到你這兒時把它打掉。

我們做的過程中還有一些困擾。內網APP威脅，很多針對互聯(lián)網中小網站的攻擊是程咬金的方法，屬于三斧子買賣或者一錘子買賣，打一下就好，像威客這種，一個中小的網站不需要你長期持續(xù)性的攻擊把它拿下，有這么多白帽子，對中小網站來講拍你一下就閃了，半小時就把你數(shù)據(jù)導走了，這種方法我們怎么做到。一個立方體，我們能不能看得更全面，站在甲方的業(yè)務的角度，你是做什么的，你能付出多少成本，你有多大財務上的影響，你安全人員的考慮，站在攻擊者的角度考慮怎么考慮你，安全行業(yè)對這件事情怎么考慮，你是處于什么行業(yè)，同行業(yè)對安全這件事情的看法。多個角度在視角上對目標進行分析。同時我們考慮到距離和范圍，原來關注更多的是你的外部，你的外部應用防火墻，現(xiàn)在同時考慮到你的鏈路，比如百度自身的CDN監(jiān)測里面有沒有惡意的數(shù)據(jù)，監(jiān)控攻擊源，從不同的角度看這個事。比如我站得越來越遠，我看的范圍會越來越大，從資產、行為、時間、身份多個維度進行分析，這就是我們全息安全要做的事。

還有一個比較腦洞的事情，原來我們說信息安全這么多年來沒有高科技，我的同事說我給你出一個高科技的東西，叫穿越分析，如果我遇到了攻擊，能穿越到被攻擊之前把攻擊者滅掉那么我們就實現(xiàn)了防御，但實際上這件事不靠譜。我們唯一能做到的是，人們在宇宙中找跟地球相似的星星，去觀察這個星星怎么產生怎么消亡的給地球作為參考，關于這一點我說這個方式有可能實現(xiàn)，假設存在平行空間。我們認為一個網站有DNA，這么多網站之間有什么區(qū)別，先說共同點，可能用到共同的底層中間系統(tǒng)，相同的中間件、相同的業(yè)務，不同點是里面的文字不同、模板不同、logo不一樣。

如果關注數(shù)百萬的網站的話，就可能在數(shù)百萬的網站中發(fā)現(xiàn)100個和你極其相似的網站，我認為是你的影子或者是你的兄弟，你們DNA很接近，你們只是內容文字不一樣，技術上是不一樣的，但內容上有區(qū)別，沒關系。如果你的100個兄弟中有一個被入侵了，我們分析那個入侵的時候就能找到漏洞，能把漏洞補上，這個時候我們就可以利用從他那兒得到的教訓先把漏洞補上，別人再入侵我們就入侵不了了。這是我們的一些想法。

考慮到其他的困擾，長期以來我們都到處布節(jié)點、探頭，去抓數(shù)據(jù)，做數(shù)據(jù)分析，這是基礎環(huán)節(jié)。我們通過實踐還是要把這件事情做好。我們如何做的呢？我們期待日志豐富、工具聯(lián)動、高效維護、持續(xù)可用，但實際遇到的問題是日志匱乏，不是日志本身匱乏，大家不愿意把日志獻出來。工具要聯(lián)動，這個事沒多難，國內的設備不是一家做的，每家數(shù)據(jù)的字典不一樣，對同一個日志的格式不一樣，對同一個漏洞的描述也不一樣，一件事可以分三條描述也可以分五條、一條描述，多廠協(xié)調很難。不是不能協(xié)調，過去五年里我就干過這個事，可以協(xié)調但很慢，兩邊的研發(fā)人員對數(shù)據(jù)字典，協(xié)調好了某一方面臨著系統(tǒng)升級，這事又白做了，又得從頭干，周期非常難，成本很高。硬件故障。設備里有很多硬件要插在里面。

我把我的東西做得足夠好，愿意下大本去做，還有一種方法是多平臺，從監(jiān)測端各種監(jiān)測工具，掃描、防護、加速都是我們自己的，我們集中維護，全是自己的人都放一起，這是現(xiàn)在百度云安全的做法。我們并不是克服了傳統(tǒng)的困難，而是繞過了這些困難，沒有這些協(xié)調的問題。日志也不需要你上傳，直接在鏈路上就把數(shù)據(jù)抓過來，對中小用戶用比較有親和力的方法把數(shù)據(jù)拿過來。在分析的過程中，我們也遇到了一些困擾?，F(xiàn)在機器學習非常火，尤其以百度為首的百度大腦，開會如果不說這件事實在對不起自己，這是一個方向。攻擊情報，后來我們發(fā)現(xiàn)機器學習再先進，總有漏報誤報的問題，我們只用機器學習和大數(shù)據(jù)的方法發(fā)現(xiàn)異常中的線索，機器比人快，但是不夠準，我們用人工分析的方法讓你準，標定你的這些問題，得出結論，再把結論反退給規(guī)則，這樣形成閉環(huán)，我們后來認為方法有很多種，沒有誰強不強的問題，大家一起用，它其實是個閉環(huán)。

我們以分析的角度來看，這里面有一些例子大家可以看一下。我們能夠分析查詢數(shù)據(jù)庫查詢中的這些字段，正常的字段和有攻擊的字段，通過機器學習的方法把它分類，這是我們的方法，這樣我們能識別出原來這些查詢可能有出入。還有一個更簡單的是我們讀頁面的關系，正常的網站頁面和頁面有超鏈接，某個頁面不連別的別的也不連它可能是問題。我們通過模型對URL里的參數(shù)分布、請求頻率和請求寬度、404比例進行分析，分析人和機器，一個正常人的訪問，他打開網頁一定有一半圖片一半文字，如果是掃描器的話，大部分都是文字內容，他不會對圖片那部分進行讀取。一個掃描器訪問你的網站的時候會出現(xiàn)頁面不存在的問題，正常人在頁面上點比例沒那么大，我們就是基于這些去找出異常。我們做了這些事，基于我們有很多的數(shù)據(jù)源和這些算法得出能夠在空間中誰準備干這個事，因為他已經動了別人家，誰正在對你干壞事，我們去阻斷，總有漏掉的東西，我們溯源出來，找到尚不能防御的攻擊。我們過去找到一個攻擊過程，我們總有漏掉的時候，但我們可以通過分析得出你怎么進我們的系統(tǒng)，什么時候來鏈接我。

百度做這件事情的時候做了大量基礎性的工作，各個方面都有這些儲備，全國有大量的IDC和CDN分布，我們能夠在IDC和CDN的節(jié)點流量來獲得這些數(shù)據(jù)，這是數(shù)據(jù)源的來源。我們自身也提供加速和外部防護的服務，現(xiàn)在服務數(shù)差不多100萬，有非常大的請求，對DDOS壓制能力達1T。我們也能在事后對這個事實進行審計，出一些審計報表，也能對后門進行識別。我今天講的內容是實踐，既講到了對風險的防護，也講到了我們在營銷和對數(shù)據(jù)的分析，我們能夠對用戶進行畫像。大家都知道百度是弱用戶的系統(tǒng)，大家上百度的時候不需要登陸，我們可以通過對訪問的分析分析出你是誰，你有什么樣的愛好，這也是現(xiàn)在我們安全部門做的一件事。我們分析攻擊者的基礎上對正常訪客也做了一些分類。

最后說一下我自己的態(tài)度。高大上的方案不一定適合你。大家一定聽說過N多專家講，我認為工具主要分為四類，有很多自己購買商業(yè)工具，效率很高但比較貴，還有自行研發(fā)工具、使用開源工具、云服務化工具，很多大公司講我們用開源的和自行研發(fā)的，這個是很好，但它需要大量的人員去投入，需要花很多錢。對中小用戶來講購買商業(yè)工具很貴，使用開源工具需要有很強的運維人員，自行研發(fā)需要你有很強的研發(fā)人員，而你要花錢雇研發(fā)和運維人員。無論是購買商業(yè)工具、使用開源工具、自行研發(fā)工具都要投入很大成本，我們提了很多高大上的方案，你回去根本用不了。百度有1000個信息安全人員，我們內部做得很好，但是你沒有那么多人，這就是問題。我們怎么辦呢？我們把自己研發(fā)的工具實現(xiàn)云服務化的工具，百度內部自己用，自己用效率會比較高，然后給用戶用，然后給愿意少量付費的用戶。但是用戶有問題，百度對自己的運維和研發(fā)對大客戶直接提供服務，這就是百度在安全方面能力的建立與分享，我們愿意把我們的研發(fā)和運維以及成形的云服務化工具給大客戶分享能力。

先進的技術不一定適合所有場景，我在反思我們自己，我講了很多大數(shù)據(jù)的事，一加一等于二這個結論我一拍腦袋就出來了，可以用大數(shù)據(jù)算，也可以用塔羅牌算，如果用塔羅牌算和大數(shù)據(jù)算一樣準確，為什么還要用大數(shù)據(jù)？如果有邏輯分析就能分析出來的富礦，為什么非要用大數(shù)據(jù)？大數(shù)據(jù)是好東西，但希望我們建立在已經挖掘了很豐富的信息富礦的時候再考慮大數(shù)據(jù)或者同時考慮，無論你用什么技術，無論先進還是不先進，最重要的是找到富礦，而不是用了什么技術名詞，名詞確實挺多的。高難度的技術不一定帶來高價值，技術人員的鄙視鏈，操作系統(tǒng)漏洞挖掘和安全配置。到運維或者乙方售后工程師這一層，我們做的事情是安全配置，在鄙視鏈的最高端是做操作系統(tǒng)級的漏洞挖掘，但我有一個疑問不同操作系統(tǒng)下操作系統(tǒng)的漏洞挖掘一定比安全配置人員有價值嗎？技術難度一定等于高價值嗎？

我們是一個創(chuàng)業(yè)型的互聯(lián)網公司，我們有幾臺服務器，雇一個搞漏洞挖掘的人，他給你找出Windows的漏洞，你找到這個漏洞，國際上很關注你，你等著微軟發(fā)現(xiàn)你把漏洞補上。你如果找一個安全配置人員，能夠跟著不停地找漏洞并把漏洞補上，他很便宜，而且關注的面也大。對很多甲方來講，處于鄙視鏈低端的人，工程師們給我們帶來了更高的價值，遠遠高于那些能找漏洞的，他找出一個漏洞你的系統(tǒng)里可能還有一百個。高技術不一定帶來高價值，希望大家選擇給你帶來更高價值的人。

最后要說工程師最重要的是解決問題，技術只是手段，謝謝大家！

網頁題目：郝軼：全息安全互聯(lián)網空間中的導彈防御系統(tǒng)
文章分享：http://aaarwkj.com/article4/socdie.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供微信公眾號、網站營銷、網站內鏈、面包屑導航、網站設計、移動網站建設

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)