黑客行為分析與攻擊溯源:訪江南天安獵戶攻防實驗室俞華辰
俞華辰,ID:傷心的魚。現任江南天安技術總監,攻防實驗室負責人。2006-2007年任《黑客X檔案》雜志編輯。參與2008年北京奧運會,2010年上海世博會的網絡安全保障工作。策劃并組織全國大學生網絡安全實戰競賽(國內第一個對于面向大學生開放的網絡實戰比賽)
安全牛:您好,請您簡單介紹一下江南天安獵戶攻防實驗室(以下稱獵戶實驗室)。
俞華辰:獵戶實驗室是于2015年1月在北京正式成立的,它隸屬于北京江南天安科技有限公司,是業內同類安全研究機構中唯一一個專注于黑客行為分析與攻擊溯源的研究機構。研究最新網絡威脅和攻防技術,普及信息安全知識,致力安全人才培養,是我們成立的宗旨。
安全牛:獵戶實驗室目前在做什么?
俞華辰:目前主要是攻擊溯源與黑客行為分析,獵戶已搜集數百萬疑似黑客控制的VPN服務器,核心數據庫已內置十余萬疑似黑客IP,并檢測到數百萬可能被黑客控制的域名。我們對所發現的大型僵尸網絡進行反追蹤滲透,這些數據支撐了獵戶特有的攻擊溯源體系,能幫助用戶從被動防御變為主動發現。
安全牛:為什么要研究攻擊溯源體系?
俞華辰:業內其他的安全研究機構的研究方向,大多都是基礎安全技術的研究、漏洞挖掘和分析、網絡病毒監控等,大家都比較關注漏洞的挖掘與安全監控,忽略掉了其攻擊者的背景、目的以及來源。但只有在知道攻擊者攻擊過程以及攻擊來源之后,我們才能有效的進行防范。
面對現如今逐漸體系化的網絡攻擊形式,黑客攻擊已經演變為集黑客技術、情報、社會工程各種手段為一體的復雜、專業且高端精密的攻擊方式,僅僅靠單一的網絡安全產品已經很難防御。現在企業的需求不僅僅是能檢測和防御網絡攻擊,還需要,了解并能知道攻擊者的目的背景以及攻擊者是誰,因此需要進行對黑客行為的分析與攻擊溯源取證。
安全牛:那是不是應該有個類似規則庫的機制以支撐對攻擊行為的分析?
俞華辰:可以這樣說。江南天安有著多年安全方面的技術積累與合作伙伴的支持,通過聯動自身云端收集的黑客攻擊行為和其他互聯網安全廠商資源可以關聯出攻擊者曾在互聯網上的其他攻擊行為。具體比如通過智能算法聯動云端引擎可以根據攻擊者的IP,指紋以及攻擊手法關聯出攻擊者的信息。
若要對攻擊者進行溯源追蹤,必須以大量的數據作為支撐。我們已構建了大數據溯源中心,它是我們提供攻擊溯源能力的基礎,大數據中心能夠智能感知攻擊行為,在非人工干預的情況下,記錄攻擊者的“指紋”,而這個“指紋”非傳統意義上的病毒特征,而是包括攻擊行為、手法等攻擊者很難完全偽裝,可以精準的識別攻擊者的身份。而這些指紋庫的建立和算法匹配則是該系統的核心。
安全牛:你們都擁有哪些大數據?這些數據都有什么用途?又是如何獲取的呢?
俞華辰:實驗室擁有龐大的數據中心(指著PPT),其中包括:
1. 全球IPV4信息知識庫,包括該IP對應的國家地區、對應的操作系統詳情、瀏覽器信息、電話、域名等等。并對全球IP地址實時監控,通過開放的端口、協議以及其歷史記錄,作為數據模型進行預處理。
2. 全球虛擬空間商的IP地址庫,如果訪問者屬于該范圍內,則初步可以判定為跳板IP。
3. 全球域名庫,包括兩億多個域名的詳細信息,并且實時監控域名動向,包括域名對應的IP地址和端口變化情況,打造即時的基于域名與IP的新型判斷技術,通過該方式可以初步判斷是否為C&C服務器、黑客跳板服務器。
4. 黑客互聯網信息庫,全球部署了幾千臺蜜罐系統,實時收集互聯網上全球黑客動向。
5.獨有的黑客IP庫,對黑客經常登錄的網站進行監控、對全球的惡意IP實時獲取。
6. 黑客工具指紋庫,收集了所有公開的(部分私有的)黑客工具指紋,當攻擊者對網站進行攻擊時,可以根據使用的黑客工具對黑客的地區、組織做初步判斷。
7. 黑客攻擊手法庫,收集了大量黑客攻擊手法,以此來定位對應的黑客或組織。
8. 其他互聯網安全廠商資源,該系統會充分利用互聯網各種資源,比如聯動50余款殺毒軟件,共同檢測服務器木馬程序。
9. 永久記錄黑客攻擊的所有日志,為攻擊取證溯源提供詳細依據。
這些數據來源是經過數年積累,和全球部署了大量服務器收集而得到的。
安全牛:聽起來十分刺激,一幅掌控全球互聯網的畫面浮現在眼前(笑)。話說目前獵戶實驗室的具體研發成果什么樣子的呢?
俞華辰:實驗室的主要研發成果是“智能安全聯動平臺”。這個平臺采用智能態勢感知技術,以大數據為基礎,聯動為主線,實現與已有其他安全廠商資源智能聯動,是集威脅檢測、黑客行為分析、攻擊溯源取證于一身的新一代智能安全聯動類產品。
安全牛:面對龐大深邃的網絡空間和錯綜復雜的網絡安全事件,不僅人人都需要具備網絡安全意識,更需要培養一大批的網絡空間安全專業人員,來使用、維護和管理安全系統。
俞華辰:是的。安全人才問題也是目前全世界面臨的資源短缺問題。因此我們實驗室建立了攻防實訓平臺,直接面向客戶提供攻防類的培訓業務。目前獵戶已經積累數百個漏洞、預置五十余個應用場景、支撐數十類知識體系。模擬攻防實戰靶場和培訓演練,通過上百個模擬場景,幫助大家掌握攻防實戰技能,協同參加攻防實戰競賽。歡迎大家跟我們一起維護網絡空間!
(注:點擊圖片后可放大)
責任編輯:葉雨田
-
發電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網絡何以可能
2017-02-24網絡