黑客行為分析與攻擊溯源：訪江南天安獵戶攻防實驗室俞華辰

2015-04-22 11:31:41 安全牛　點擊量：評論 (0)

隨著互聯網的高速發展,出現了繼陸地、海洋、天空和外太空的第五大空間——網絡空間，并形成了攻擊體系與防御體系的對抗，不同實體甚至是國與國之間的對抗。面對日趨錯綜復雜的網絡空間，北京江南天安科技有限公司

隨著互聯網的高速發展,出現了繼陸地、海洋、天空和外太空的第五大空間——網絡空間，并形成了攻擊體系與防御體系的對抗，不同實體甚至是國與國之間的對抗。面對日趨錯綜復雜的網絡空間，北京江南天安科技有限公司成立了獵戶攻防實驗，專注于攻擊溯源與黑客行為分析的研究，這在國內尚屬首家。為了了解其核心理念、功能和機制，安全牛邀請到了該實驗室負責人——俞華辰，并以采訪的形式解讀了這種新型的安全技術研究。

俞華辰，ID：傷心的魚。現任江南天安技術總監，攻防實驗室負責人。2006-2007年任《黑客X檔案》雜志編輯。參與2008年北京奧運會，2010年上海世博會的網絡安全保障工作。策劃并組織全國大學生網絡安全實戰競賽（國內第一個對于面向大學生開放的網絡實戰比賽）

安全牛：您好,請您簡單介紹一下江南天安獵戶攻防實驗室（以下稱獵戶實驗室）。

俞華辰：獵戶實驗室是于2015年1月在北京正式成立的，它隸屬于北京江南天安科技有限公司,是業內同類安全研究機構中唯一一個專注于黑客行為分析與攻擊溯源的研究機構。研究最新網絡威脅和攻防技術，普及信息安全知識，致力安全人才培養，是我們成立的宗旨。

安全牛：獵戶實驗室目前在做什么?

俞華辰：目前主要是攻擊溯源與黑客行為分析,獵戶已搜集數百萬疑似黑客控制的VPN服務器，核心數據庫已內置十余萬疑似黑客IP，并檢測到數百萬可能被黑客控制的域名。我們對所發現的大型僵尸網絡進行反追蹤滲透，這些數據支撐了獵戶特有的攻擊溯源體系，能幫助用戶從被動防御變為主動發現。

安全牛：為什么要研究攻擊溯源體系?

俞華辰：業內其他的安全研究機構的研究方向，大多都是基礎安全技術的研究、漏洞挖掘和分析、網絡病毒監控等，大家都比較關注漏洞的挖掘與安全監控，忽略掉了其攻擊者的背景、目的以及來源。但只有在知道攻擊者攻擊過程以及攻擊來源之后，我們才能有效的進行防范。

面對現如今逐漸體系化的網絡攻擊形式，黑客攻擊已經演變為集黑客技術、情報、社會工程各種手段為一體的復雜、專業且高端精密的攻擊方式，僅僅靠單一的網絡安全產品已經很難防御?，F在企業的需求不僅僅是能檢測和防御網絡攻擊，還需要，了解并能知道攻擊者的目的背景以及攻擊者是誰，因此需要進行對黑客行為的分析與攻擊溯源取證。

安全牛：那是不是應該有個類似規則庫的機制以支撐對攻擊行為的分析?

俞華辰：可以這樣說。江南天安有著多年安全方面的技術積累與合作伙伴的支持,通過聯動自身云端收集的黑客攻擊行為和其他互聯網安全廠商資源可以關聯出攻擊者曾在互聯網上的其他攻擊行為。具體比如通過智能算法聯動云端引擎可以根據攻擊者的IP，指紋以及攻擊手法關聯出攻擊者的信息。

若要對攻擊者進行溯源追蹤，必須以大量的數據作為支撐。我們已構建了大數據溯源中心，它是我們提供攻擊溯源能力的基礎,大數據中心能夠智能感知攻擊行為,在非人工干預的情況下,記錄攻擊者的“指紋”,而這個“指紋”非傳統意義上的病毒特征，而是包括攻擊行為、手法等攻擊者很難完全偽裝，可以精準的識別攻擊者的身份。而這些指紋庫的建立和算法匹配則是該系統的核心。

安全牛：你們都擁有哪些大數據?這些數據都有什么用途?又是如何獲取的呢?

俞華辰：實驗室擁有龐大的數據中心（指著PPT）,其中包括:

1. 全球IPV4信息知識庫，包括該IP對應的國家地區、對應的操作系統詳情、瀏覽器信息、電話、域名等等。并對全球IP地址實時監控，通過開放的端口、協議以及其歷史記錄，作為數據模型進行預處理。

2. 全球虛擬空間商的IP地址庫，如果訪問者屬于該范圍內，則初步可以判定為跳板IP。

3. 全球域名庫，包括兩億多個域名的詳細信息，并且實時監控域名動向，包括域名對應的IP地址和端口變化情況，打造即時的基于域名與IP的新型判斷技術，通過該方式可以初步判斷是否為C&C服務器、黑客跳板服務器。

4. 黑客互聯網信息庫，全球部署了幾千臺蜜罐系統，實時收集互聯網上全球黑客動向。

5．獨有的黑客IP庫，對黑客經常登錄的網站進行監控、對全球的惡意IP實時獲取。

6. 黑客工具指紋庫，收集了所有公開的（部分私有的）黑客工具指紋，當攻擊者對網站進行攻擊時，可以根據使用的黑客工具對黑客的地區、組織做初步判斷。

7. 黑客攻擊手法庫，收集了大量黑客攻擊手法，以此來定位對應的黑客或組織。

8. 其他互聯網安全廠商資源，該系統會充分利用互聯網各種資源，比如聯動50余款殺毒軟件，共同檢測服務器木馬程序。

9. 永久記錄黑客攻擊的所有日志，為攻擊取證溯源提供詳細依據。

這些數據來源是經過數年積累，和全球部署了大量服務器收集而得到的。

安全牛：聽起來十分刺激，一幅掌控全球互聯網的畫面浮現在眼前（笑）。話說目前獵戶實驗室的具體研發成果什么樣子的呢?

俞華辰：實驗室的主要研發成果是“智能安全聯動平臺”。這個平臺采用智能態勢感知技術,以大數據為基礎,聯動為主線,實現與已有其他安全廠商資源智能聯動,是集威脅檢測、黑客行為分析、攻擊溯源取證于一身的新一代智能安全聯動類產品。

廣告時間

· 智能安全聯動平臺在核心交換機層旁路接入，對所有的http協議數據包進行全包捕獲，不會影響任何作業。

· 首創行為查殺。目前市面上的Web防護產品基本是以WAF為主，而WAF只會對請求包進行規則處理。很多自寫WAF的大型公司，都沒有采用行為查殺的方式。

· 精準檢測。對返回包的數據進行分析，利用行為查殺的方式，不管webhshell如何加密，不管藏的有多深，只要返回包不為密文必定能捕獲。

· 智能態勢感知。擁有自學習功能，能自動更新威脅分析，自動感知到攻擊行為,包括來訪的IP操作系統、域名、端口、是否有VPN服務、數據包、訪問時間段等。

· 深度預處理，智能捕捉0day攻擊。對高達2億個域名進行預處理分析，打造及時的基于域名與IP的新型黑客特征殺毒庫。采用以事件推動的分析方法,深度預處理攻擊行為,簡化攻擊細節,智能判斷攻擊是否成功,告別傳統的大量無效攻擊日記分析。可視化還原出攻擊者清晰的攻擊過程,分析APT攻擊，根據攻擊者的攻擊路線,分析出存在的安全問題,實現智能捕捉0day攻擊。

安全牛：面對龐大深邃的網絡空間和錯綜復雜的網絡安全事件,不僅人人都需要具備網絡安全意識,更需要培養一大批的網絡空間安全專業人員，來使用、維護和管理安全系統。

俞華辰：是的。安全人才問題也是目前全世界面臨的資源短缺問題。因此我們實驗室建立了攻防實訓平臺,直接面向客戶提供攻防類的培訓業務。目前獵戶已經積累數百個漏洞、預置五十余個應用場景、支撐數十類知識體系。模擬攻防實戰靶場和培訓演練，通過上百個模擬場景，幫助大家掌握攻防實戰技能，協同參加攻防實戰競賽。歡迎大家跟我們一起維護網絡空間！

近期案例

某省政府機房

本月14日到15日,獵戶攻防實驗室檢測了某省政府機房內31個網站,一天時間內自動感知到14個網站遭受34個黑客共計95次攻擊。

獵戶的云端引擎會記錄下攻擊者的歷史記錄,也就是所謂的黑客“指紋”入庫。在黑客攻擊的同時云端信息會自動對攻擊者的行為進行分析匹配，包括攻擊者使用的IP地址、服務器位置、開放哪些端口、是否存在“黑客IP”數據庫內，通過還原攻擊者的整個攻擊過程，紀錄攻擊者的指紋信息入庫，幫助攻擊溯源進行取證。

此次檢測到的某省政府機房內14個網站受到的34個黑客攻擊,獵戶的云端威脅聯動平臺在智能感知之后,記錄下了攻擊者嘗試目錄掃描和SQL注入攻擊等操作記錄。

美國某組織對中國政府網站進行攻擊的溯源過程