互聯(lián)網(wǎng)IDC圈1月7日?qǐng)?bào)道，1月5-7日，第十屆中國IDC產(chǎn)業(yè)年度大典（IDCC2015）在北京國家會(huì)議中心隆重召開。本次大會(huì)由中國信息通信研究院、云計(jì)算發(fā)展與政策論壇、數(shù)據(jù)中心聯(lián)盟指導(dǎo)，中國IDC產(chǎn)業(yè)年度大典組委會(huì)主辦，互聯(lián)網(wǎng)IDC圈承辦，并受到諸多媒體的大力支持。

成都創(chuàng)新互聯(lián)公司于2013年成立，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項(xiàng)目網(wǎng)站制作、網(wǎng)站建設(shè)網(wǎng)站策劃，項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命，1280元平遙做網(wǎng)站,已為上家服務(wù),為平遙各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:13518219792

中國IDC產(chǎn)業(yè)年度大典作為國內(nèi)云計(jì)算和數(shù)據(jù)中心領(lǐng)域規(guī)模大、最具影響力的標(biāo)志性盛會(huì)，之前已成功舉辦過九屆，在本屆大會(huì)無論是規(guī)格還是規(guī)模都"更上一層樓"，引來現(xiàn)場(chǎng)人員爆滿，影響力全面覆蓋數(shù)據(jù)中心、互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等多個(gè)領(lǐng)域。

百度云安全資深安全專家郝軼出席IDCC2015大會(huì)并在大數(shù)據(jù)應(yīng)用與安全技術(shù)論壇發(fā)表主題為《全息安全：互聯(lián)網(wǎng)空間中的導(dǎo)彈防御系統(tǒng)》的精彩演講。

百度云安全資深安全專家郝軼

以下為郝軼演講實(shí)錄：

我今天的議題分幾個(gè)部分，是我們?cè)谛畔踩矫嬗嘘P(guān)大數(shù)據(jù)的思考以及百度的時(shí)間和我個(gè)人的態(tài)度。

五年前經(jīng)常說的一個(gè)事，我們信息安全風(fēng)險(xiǎn)管理有三個(gè)要素，這邊是我們的資產(chǎn)，外面是威脅，資產(chǎn)有脆弱性，所以我們需要控制措施，需要這些豌豆、堅(jiān)果做防護(hù)。信息安全在以往的思路上大家講縱深防御，如果一道防線防不住的話，后面還有別的防線。那個(gè)時(shí)候我主要做內(nèi)網(wǎng)安全，又過了五年，我覺得這個(gè)事有別的思路，我們站在攻擊者的角度和防護(hù)者的角度是不同的，我們希望我們能夠形成縱深防御，假設(shè)攻擊者的路線比較曲折，要一步一步來，假設(shè)我們是攻擊者，為什么要按照防御者規(guī)定好的路線和方向來攻擊呢？二是傳統(tǒng)的內(nèi)網(wǎng)里面的結(jié)構(gòu)里一定的復(fù)雜度，互聯(lián)網(wǎng)上中小網(wǎng)站結(jié)構(gòu)比較簡單，買一個(gè)云主機(jī)就結(jié)束了，沒有這么大的空間讓你部署這些防護(hù)系統(tǒng)，很難形成縱深防御，就這個(gè)想法我做了一些展開。

比如在伊拉克戰(zhàn)爭(zhēng)的時(shí)候，站在防護(hù)者的視角，就是薩達(dá)姆這一端，他們想說我們有很多軍隊(duì)，如果一旦發(fā)生戰(zhàn)斗我們要把敵人引到我們的巷子里面去，引到復(fù)雜的胡同、樓宇里進(jìn)行巷戰(zhàn)，做縱深防御是他們當(dāng)時(shí)的想法。站在旁觀者的角度，這個(gè)靠譜，縱深防御有很多人，我們?cè)陉懙厣献龇雷o(hù)，一個(gè)薩達(dá)姆需要一二十個(gè)國家非常難。有另外一個(gè)問題，如果站在攻擊者的角度，美國叫斬首行動(dòng)，由于陸地上攻擊、推進(jìn)的話需要耗費(fèi)大量的人力財(cái)力，而且有死亡的危險(xiǎn)，他更希望派飛機(jī)和無人機(jī)直接斬首掉對(duì)方的領(lǐng)袖，比如本拉登，這是攻擊者的想法。實(shí)際上攻擊者沒有必要按照防護(hù)者的思路去走他的攻擊路線和攻擊路徑。我后來找到了一個(gè)圖，戰(zhàn)爭(zhēng)五環(huán)，這也是國外關(guān)于防護(hù)的理論，戰(zhàn)爭(zhēng)中有幾層，最核心的是領(lǐng)導(dǎo)、關(guān)聯(lián)系統(tǒng)要素、基礎(chǔ)設(shè)施、民眾和軍隊(duì)，從攻擊者的角度來講，他并不想直接和防御者的軍隊(duì)進(jìn)行直接接觸，他希望直接滅了對(duì)方的領(lǐng)導(dǎo)，就是斬首行動(dòng)。

防護(hù)一個(gè)系統(tǒng)之前做很多建設(shè)，我們?cè)噲D把我們的防御機(jī)制，把我們要保護(hù)的對(duì)象比如我們的網(wǎng)站做得更安全，我們要不停地上防護(hù)的設(shè)備，增加安全的控制措施，這就像是我們?cè)O(shè)一座堡壘，我們有資產(chǎn)。昨天還是前天據(jù)說我們的鄰居朝鮮造出來一個(gè)武器氫彈，看報(bào)道它發(fā)射得不準(zhǔn)，這導(dǎo)致一個(gè)問題，很難把中小的網(wǎng)站每一個(gè)都防護(hù)得足夠承受攻擊，如果有人發(fā)射導(dǎo)彈，一種防護(hù)方法是把堡壘修得足夠結(jié)實(shí)，能扛得住導(dǎo)彈，還有一種是中小網(wǎng)站的成本不適合做這么高強(qiáng)度的控制措施，一般的國家怎么防護(hù)，監(jiān)控這種攻擊從預(yù)謀到開始、到途中、到快打到你這兒，爭(zhēng)取在空間中把你攔掉，這就是我今天要講的我們?cè)诨ヂ?lián)網(wǎng)空間中對(duì)中小網(wǎng)站的防護(hù)思路。我們一方面給予網(wǎng)站一個(gè)基本的防護(hù)，同時(shí)我們?cè)谡麄€(gè)空間中形成周密的監(jiān)測(cè)和系統(tǒng)，爭(zhēng)取在攻擊尚未打到你這兒時(shí)把它打掉。

我們做的過程中還有一些困擾。內(nèi)網(wǎng)APP威脅，很多針對(duì)互聯(lián)網(wǎng)中小網(wǎng)站的攻擊是程咬金的方法，屬于三斧子買賣或者一錘子買賣，打一下就好，像威客這種，一個(gè)中小的網(wǎng)站不需要你長期持續(xù)性的攻擊把它拿下，有這么多白帽子，對(duì)中小網(wǎng)站來講拍你一下就閃了，半小時(shí)就把你數(shù)據(jù)導(dǎo)走了，這種方法我們?cè)趺醋龅?。一個(gè)立方體，我們能不能看得更全面，站在甲方的業(yè)務(wù)的角度，你是做什么的，你能付出多少成本，你有多大財(cái)務(wù)上的影響，你安全人員的考慮，站在攻擊者的角度考慮怎么考慮你，安全行業(yè)對(duì)這件事情怎么考慮，你是處于什么行業(yè)，同行業(yè)對(duì)安全這件事情的看法。多個(gè)角度在視角上對(duì)目標(biāo)進(jìn)行分析。同時(shí)我們考慮到距離和范圍，原來關(guān)注更多的是你的外部，你的外部應(yīng)用防火墻，現(xiàn)在同時(shí)考慮到你的鏈路，比如百度自身的CDN監(jiān)測(cè)里面有沒有惡意的數(shù)據(jù)，監(jiān)控攻擊源，從不同的角度看這個(gè)事。比如我站得越來越遠(yuǎn)，我看的范圍會(huì)越來越大，從資產(chǎn)、行為、時(shí)間、身份多個(gè)維度進(jìn)行分析，這就是我們?nèi)踩龅氖隆?/p>

還有一個(gè)比較腦洞的事情，原來我們說信息安全這么多年來沒有高科技，我的同事說我給你出一個(gè)高科技的東西，叫穿越分析，如果我遇到了攻擊，能穿越到被攻擊之前把攻擊者滅掉那么我們就實(shí)現(xiàn)了防御，但實(shí)際上這件事不靠譜。我們唯一能做到的是，人們?cè)谟钪嬷姓腋厍蛳嗨频男切?，去觀察這個(gè)星星怎么產(chǎn)生怎么消亡的給地球作為參考，關(guān)于這一點(diǎn)我說這個(gè)方式有可能實(shí)現(xiàn)，假設(shè)存在平行空間。我們認(rèn)為一個(gè)網(wǎng)站有DNA，這么多網(wǎng)站之間有什么區(qū)別，先說共同點(diǎn)，可能用到共同的底層中間系統(tǒng)，相同的中間件、相同的業(yè)務(wù)，不同點(diǎn)是里面的文字不同、模板不同、logo不一樣。

如果關(guān)注數(shù)百萬的網(wǎng)站的話，就可能在數(shù)百萬的網(wǎng)站中發(fā)現(xiàn)100個(gè)和你極其相似的網(wǎng)站，我認(rèn)為是你的影子或者是你的兄弟，你們DNA很接近，你們只是內(nèi)容文字不一樣，技術(shù)上是不一樣的，但內(nèi)容上有區(qū)別，沒關(guān)系。如果你的100個(gè)兄弟中有一個(gè)被入侵了，我們分析那個(gè)入侵的時(shí)候就能找到漏洞，能把漏洞補(bǔ)上，這個(gè)時(shí)候我們就可以利用從他那兒得到的教訓(xùn)先把漏洞補(bǔ)上，別人再入侵我們就入侵不了了。這是我們的一些想法。

考慮到其他的困擾，長期以來我們都到處布節(jié)點(diǎn)、探頭，去抓數(shù)據(jù)，做數(shù)據(jù)分析，這是基礎(chǔ)環(huán)節(jié)。我們通過實(shí)踐還是要把這件事情做好。我們?nèi)绾巫龅哪?？我們期待日志豐富、工具聯(lián)動(dòng)、高效維護(hù)、持續(xù)可用，但實(shí)際遇到的問題是日志匱乏，不是日志本身匱乏，大家不愿意把日志獻(xiàn)出來。工具要聯(lián)動(dòng)，這個(gè)事沒多難，國內(nèi)的設(shè)備不是一家做的，每家數(shù)據(jù)的字典不一樣，對(duì)同一個(gè)日志的格式不一樣，對(duì)同一個(gè)漏洞的描述也不一樣，一件事可以分三條描述也可以分五條、一條描述，多廠協(xié)調(diào)很難。不是不能協(xié)調(diào)，過去五年里我就干過這個(gè)事，可以協(xié)調(diào)但很慢，兩邊的研發(fā)人員對(duì)數(shù)據(jù)字典，協(xié)調(diào)好了某一方面臨著系統(tǒng)升級(jí)，這事又白做了，又得從頭干，周期非常難，成本很高。硬件故障。設(shè)備里有很多硬件要插在里面。

我把我的東西做得足夠好，愿意下大本去做，還有一種方法是多平臺(tái)，從監(jiān)測(cè)端各種監(jiān)測(cè)工具，掃描、防護(hù)、加速都是我們自己的，我們集中維護(hù)，全是自己的人都放一起，這是現(xiàn)在百度云安全的做法。我們并不是克服了傳統(tǒng)的困難，而是繞過了這些困難，沒有這些協(xié)調(diào)的問題。日志也不需要你上傳，直接在鏈路上就把數(shù)據(jù)抓過來，對(duì)中小用戶用比較有親和力的方法把數(shù)據(jù)拿過來。在分析的過程中，我們也遇到了一些困擾?，F(xiàn)在機(jī)器學(xué)習(xí)非?；?，尤其以百度為首的百度大腦，開會(huì)如果不說這件事實(shí)在對(duì)不起自己，這是一個(gè)方向。攻擊情報(bào)，后來我們發(fā)現(xiàn)機(jī)器學(xué)習(xí)再先進(jìn)，總有漏報(bào)誤報(bào)的問題，我們只用機(jī)器學(xué)習(xí)和大數(shù)據(jù)的方法發(fā)現(xiàn)異常中的線索，機(jī)器比人快，但是不夠準(zhǔn)，我們用人工分析的方法讓你準(zhǔn)，標(biāo)定你的這些問題，得出結(jié)論，再把結(jié)論反退給規(guī)則，這樣形成閉環(huán)，我們后來認(rèn)為方法有很多種，沒有誰強(qiáng)不強(qiáng)的問題，大家一起用，它其實(shí)是個(gè)閉環(huán)。

我們以分析的角度來看，這里面有一些例子大家可以看一下。我們能夠分析查詢數(shù)據(jù)庫查詢中的這些字段，正常的字段和有攻擊的字段，通過機(jī)器學(xué)習(xí)的方法把它分類，這是我們的方法，這樣我們能識(shí)別出原來這些查詢可能有出入。還有一個(gè)更簡單的是我們讀頁面的關(guān)系，正常的網(wǎng)站頁面和頁面有超鏈接，某個(gè)頁面不連別的別的也不連它可能是問題。我們通過模型對(duì)URL里的參數(shù)分布、請(qǐng)求頻率和請(qǐng)求寬度、404比例進(jìn)行分析，分析人和機(jī)器，一個(gè)正常人的訪問，他打開網(wǎng)頁一定有一半圖片一半文字，如果是掃描器的話，大部分都是文字內(nèi)容，他不會(huì)對(duì)圖片那部分進(jìn)行讀取。一個(gè)掃描器訪問你的網(wǎng)站的時(shí)候會(huì)出現(xiàn)頁面不存在的問題，正常人在頁面上點(diǎn)比例沒那么大，我們就是基于這些去找出異常。我們做了這些事，基于我們有很多的數(shù)據(jù)源和這些算法得出能夠在空間中誰準(zhǔn)備干這個(gè)事，因?yàn)樗呀?jīng)動(dòng)了別人家，誰正在對(duì)你干壞事，我們?nèi)プ钄?，總有漏掉的東西，我們溯源出來，找到尚不能防御的攻擊。我們過去找到一個(gè)攻擊過程，我們總有漏掉的時(shí)候，但我們可以通過分析得出你怎么進(jìn)我們的系統(tǒng)，什么時(shí)候來鏈接我。

百度做這件事情的時(shí)候做了大量基礎(chǔ)性的工作，各個(gè)方面都有這些儲(chǔ)備，全國有大量的IDC和CDN分布，我們能夠在IDC和CDN的節(jié)點(diǎn)流量來獲得這些數(shù)據(jù)，這是數(shù)據(jù)源的來源。我們自身也提供加速和外部防護(hù)的服務(wù)，現(xiàn)在服務(wù)數(shù)差不多100萬，有非常大的請(qǐng)求，對(duì)DDOS壓制能力達(dá)1T。我們也能在事后對(duì)這個(gè)事實(shí)進(jìn)行審計(jì)，出一些審計(jì)報(bào)表，也能對(duì)后門進(jìn)行識(shí)別。我今天講的內(nèi)容是實(shí)踐，既講到了對(duì)風(fēng)險(xiǎn)的防護(hù)，也講到了我們?cè)跔I銷和對(duì)數(shù)據(jù)的分析，我們能夠?qū)τ脩暨M(jìn)行畫像。大家都知道百度是弱用戶的系統(tǒng)，大家上百度的時(shí)候不需要登陸，我們可以通過對(duì)訪問的分析分析出你是誰，你有什么樣的愛好，這也是現(xiàn)在我們安全部門做的一件事。我們分析攻擊者的基礎(chǔ)上對(duì)正常訪客也做了一些分類。

最后說一下我自己的態(tài)度。高大上的方案不一定適合你。大家一定聽說過N多專家講，我認(rèn)為工具主要分為四類，有很多自己購買商業(yè)工具，效率很高但比較貴，還有自行研發(fā)工具、使用開源工具、云服務(wù)化工具，很多大公司講我們用開源的和自行研發(fā)的，這個(gè)是很好，但它需要大量的人員去投入，需要花很多錢。對(duì)中小用戶來講購買商業(yè)工具很貴，使用開源工具需要有很強(qiáng)的運(yùn)維人員，自行研發(fā)需要你有很強(qiáng)的研發(fā)人員，而你要花錢雇研發(fā)和運(yùn)維人員。無論是購買商業(yè)工具、使用開源工具、自行研發(fā)工具都要投入很大成本，我們提了很多高大上的方案，你回去根本用不了。百度有1000個(gè)信息安全人員，我們內(nèi)部做得很好，但是你沒有那么多人，這就是問題。我們?cè)趺崔k呢？我們把自己研發(fā)的工具實(shí)現(xiàn)云服務(wù)化的工具，百度內(nèi)部自己用，自己用效率會(huì)比較高，然后給用戶用，然后給愿意少量付費(fèi)的用戶。但是用戶有問題，百度對(duì)自己的運(yùn)維和研發(fā)對(duì)大客戶直接提供服務(wù)，這就是百度在安全方面能力的建立與分享，我們?cè)敢獍盐覀兊难邪l(fā)和運(yùn)維以及成形的云服務(wù)化工具給大客戶分享能力。

先進(jìn)的技術(shù)不一定適合所有場(chǎng)景，我在反思我們自己，我講了很多大數(shù)據(jù)的事，一加一等于二這個(gè)結(jié)論我一拍腦袋就出來了，可以用大數(shù)據(jù)算，也可以用塔羅牌算，如果用塔羅牌算和大數(shù)據(jù)算一樣準(zhǔn)確，為什么還要用大數(shù)據(jù)？如果有邏輯分析就能分析出來的富礦，為什么非要用大數(shù)據(jù)？大數(shù)據(jù)是好東西，但希望我們建立在已經(jīng)挖掘了很豐富的信息富礦的時(shí)候再考慮大數(shù)據(jù)或者同時(shí)考慮，無論你用什么技術(shù)，無論先進(jìn)還是不先進(jìn)，最重要的是找到富礦，而不是用了什么技術(shù)名詞，名詞確實(shí)挺多的。高難度的技術(shù)不一定帶來高價(jià)值，技術(shù)人員的鄙視鏈，操作系統(tǒng)漏洞挖掘和安全配置。到運(yùn)維或者乙方售后工程師這一層，我們做的事情是安全配置，在鄙視鏈的最高端是做操作系統(tǒng)級(jí)的漏洞挖掘，但我有一個(gè)疑問不同操作系統(tǒng)下操作系統(tǒng)的漏洞挖掘一定比安全配置人員有價(jià)值嗎？技術(shù)難度一定等于高價(jià)值嗎？

我們是一個(gè)創(chuàng)業(yè)型的互聯(lián)網(wǎng)公司，我們有幾臺(tái)服務(wù)器，雇一個(gè)搞漏洞挖掘的人，他給你找出Windows的漏洞，你找到這個(gè)漏洞，國際上很關(guān)注你，你等著微軟發(fā)現(xiàn)你把漏洞補(bǔ)上。你如果找一個(gè)安全配置人員，能夠跟著不停地找漏洞并把漏洞補(bǔ)上，他很便宜，而且關(guān)注的面也大。對(duì)很多甲方來講，處于鄙視鏈低端的人，工程師們給我們帶來了更高的價(jià)值，遠(yuǎn)遠(yuǎn)高于那些能找漏洞的，他找出一個(gè)漏洞你的系統(tǒng)里可能還有一百個(gè)。高技術(shù)不一定帶來高價(jià)值，希望大家選擇給你帶來更高價(jià)值的人。

最后要說工程師最重要的是解決問題，技術(shù)只是手段，謝謝大家！

網(wǎng)頁題目：郝軼：全息安全互聯(lián)網(wǎng)空間中的導(dǎo)彈防御系統(tǒng)
文章分享：http://www.rwnh.cn/article4/socdie.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信公眾號(hào)、網(wǎng)站營銷、網(wǎng)站內(nèi)鏈、面包屑導(dǎo)航、網(wǎng)站設(shè)計(jì)、移動(dòng)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)