黑客行为分析与攻击溯源：访江南天安猎户攻防实验室俞华辰

2015-04-22 11:31:41 安全牛　点击量：评论 (0)

随着互联网的高速发展,出现了继陆地、海洋、天空和外太空的第五大空间——网络空间，并形成了攻击体系与防御体系的对抗，不同实体甚至是国与国之间的对抗。面对日趋错综复杂的网络空间，北京江南天安科技有限公司

随着互联网的高速发展,出现了继陆地、海洋、天空和外太空的第五大空间——网络空间，并形成了攻击体系与防御体系的对抗，不同实体甚至是国与国之间的对抗。面对日趋错综复杂的网络空间，北京江南天安科技有限公司成立了猎户攻防实验，专注于攻击溯源与黑客行为分析的研究，这在国内尚属首家。为了了解其核心理念、功能和机制，安全牛邀请到了该实验室负责人——俞华辰，并以采访的形式解读了这种新型的安全技术研究。

俞华辰，ID：伤心的鱼。现任江南天安技术总监，攻防实验室负责人。2006-2007年任《黑客X档案》杂志编辑。参与2008年北京奥运会，2010年上海世博会的网络安全保障工作。策划并组织全国大学生网络安全实战竞赛（国内第一个对于面向大学生开放的网络实战比赛）

安全牛：您好,请您简单介绍一下江南天安猎户攻防实验室（以下称猎户实验室）。

俞华辰：猎户实验室是于2015年1月在北京正式成立的，它隶属于北京江南天安科技有限公司,是业内同类安全研究机构中唯一一个专注于黑客行为分析与攻击溯源的研究机构。研究最新网络威胁和攻防技术，普及信息安全知识，致力安全人才培养，是我们成立的宗旨。

安全牛：猎户实验室目前在做什么?

俞华辰：目前主要是攻击溯源与黑客行为分析,猎户已搜集数百万疑似黑客控制的VPN服务器，核心数据库已内置十余万疑似黑客IP，并检测到数百万可能被黑客控制的域名。我们对所发现的大型僵尸网络进行反追踪渗透，这些数据支撑了猎户特有的攻击溯源体系，能帮助用户从被动防御变为主动发现。

安全牛：为什么要研究攻击溯源体系?

俞华辰：业内其他的安全研究机构的研究方向，大多都是基础安全技术的研究、漏洞挖掘和分析、网络病毒监控等，大家都比较关注漏洞的挖掘与安全监控，忽略掉了其攻击者的背景、目的以及来源。但只有在知道攻击者攻击过程以及攻击来源之后，我们才能有效的进行防范。

面对现如今逐渐体系化的网络攻击形式，黑客攻击已经演变为集黑客技术、情报、社会工程各种手段为一体的复杂、专业且高端精密的攻击方式，仅仅靠单一的网络安全产品已经很难防御。现在企业的需求不仅仅是能检测和防御网络攻击，还需要，了解并能知道攻击者的目的背景以及攻击者是谁，因此需要进行对黑客行为的分析与攻击溯源取证。

安全牛：那是不是应该有个类似规则库的机制以支撑对攻击行为的分析?

俞华辰：可以这样说。江南天安有着多年安全方面的技术积累与合作伙伴的支持,通过联动自身云端收集的黑客攻击行为和其他互联网安全厂商资源可以关联出攻击者曾在互联网上的其他攻击行为。具体比如通过智能算法联动云端引擎可以根据攻击者的IP，指纹以及攻击手法关联出攻击者的信息。

若要对攻击者进行溯源追踪，必须以大量的数据作为支撑。我们已构建了大数据溯源中心，它是我们提供攻击溯源能力的基础,大数据中心能够智能感知攻击行为,在非人工干预的情况下,记录攻击者的“指纹”,而这个“指纹”非传统意义上的病毒特征，而是包括攻击行为、手法等攻击者很难完全伪装，可以精准的识别攻击者的身份。而这些指纹库的建立和算法匹配则是该系统的核心。

安全牛：你们都拥有哪些大数据?这些数据都有什么用途?又是如何获取的呢?

俞华辰：实验室拥有庞大的数据中心（指着PPT）,其中包括:

1. 全球IPV4信息知识库，包括该IP对应的国家地区、对应的操作系统详情、浏览器信息、电话、域名等等。并对全球IP地址实时监控，通过开放的端口、协议以及其历史记录，作为数据模型进行预处理。

2. 全球虚拟空间商的IP地址库，如果访问者属于该范围内，则初步可以判定为跳板IP。

3. 全球域名库，包括两亿多个域名的详细信息，并且实时监控域名动向，包括域名对应的IP地址和端口变化情况，打造即时的基于域名与IP的新型判断技术，通过该方式可以初步判断是否为C&C服务器、黑客跳板服务器。

4. 黑客互联网信息库，全球部署了几千台蜜罐系统，实时收集互联网上全球黑客动向。

5．独有的黑客IP库，对黑客经常登录的网站进行监控、对全球的恶意IP实时获取。

6. 黑客工具指纹库，收集了所有公开的（部分私有的）黑客工具指纹，当攻击者对网站进行攻击时，可以根据使用的黑客工具对黑客的地区、组织做初步判断。

7. 黑客攻击手法库，收集了大量黑客攻击手法，以此来定位对应的黑客或组织。

8. 其他互联网安全厂商资源，该系统会充分利用互联网各种资源，比如联动50余款杀毒软件，共同检测服务器木马程序。

9. 永久记录黑客攻击的所有日志，为攻击取证溯源提供详细依据。

这些数据来源是经过数年积累，和全球部署了大量服务器收集而得到的。

安全牛：听起来十分刺激，一幅掌控全球互联网的画面浮现在眼前（笑）。话说目前猎户实验室的具体研发成果什么样子的呢?

俞华辰：实验室的主要研发成果是“智能安全联动平台”。这个平台采用智能态势感知技术,以大数据为基础,联动为主线,实现与已有其他安全厂商资源智能联动,是集威胁检测、黑客行为分析、攻击溯源取证于一身的新一代智能安全联动类产品。

广告时间

· 智能安全联动平台在核心交换机层旁路接入，对所有的http协议数据包进行全包捕获，不会影响任何作业。

· 首创行为查杀。目前市面上的Web防护产品基本是以WAF为主，而WAF只会对请求包进行规则处理。很多自写WAF的大型公司，都没有采用行为查杀的方式。

· 精准检测。对返回包的数据进行分析，利用行为查杀的方式，不管webhshell如何加密，不管藏的有多深，只要返回包不为密文必定能捕获。

· 智能态势感知。拥有自学习功能，能自动更新威胁分析，自动感知到攻击行为,包括来访的IP操作系统、域名、端口、是否有VPN服务、数据包、访问时间段等。

· 深度预处理，智能捕捉0day攻击。对高达2亿个域名进行预处理分析，打造及时的基于域名与IP的新型黑客特征杀毒库。采用以事件推动的分析方法,深度预处理攻击行为,简化攻击细节,智能判断攻击是否成功,告别传统的大量无效攻击日记分析。可视化还原出攻击者清晰的攻击过程,分析APT攻击，根据攻击者的攻击路线,分析出存在的安全问题,实现智能捕捉0day攻击。

安全牛：面对庞大深邃的网络空间和错综复杂的网络安全事件,不仅人人都需要具备网络安全意识,更需要培养一大批的网络空间安全专业人员，来使用、维护和管理安全系统。

俞华辰：是的。安全人才问题也是目前全世界面临的资源短缺问题。因此我们实验室建立了攻防实训平台,直接面向客户提供攻防类的培训业务。目前猎户已经积累数百个漏洞、预置五十余个应用场景、支撑数十类知识体系。模拟攻防实战靶场和培训演练，通过上百个模拟场景，帮助大家掌握攻防实战技能，协同参加攻防实战竞赛。欢迎大家跟我们一起维护网络空间！

近期案例

某省政府机房

本月14日到15日,猎户攻防实验室检测了某省政府机房内31个网站,一天时间内自动感知到14个网站遭受34个黑客共计95次攻击。

猎户的云端引擎会记录下攻击者的历史记录,也就是所谓的黑客“指纹”入库。在黑客攻击的同时云端信息会自动对攻击者的行为进行分析匹配，包括攻击者使用的IP地址、服务器位置、开放哪些端口、是否存在“黑客IP”数据库内，通过还原攻击者的整个攻击过程，纪录攻击者的指纹信息入库，帮助攻击溯源进行取证。

此次检测到的某省政府机房内14个网站受到的34个黑客攻击,猎户的云端威胁联动平台在智能感知之后,记录下了攻击者尝试目录扫描和SQL注入攻击等操作记录。

美国某组织对中国政府网站进行攻击的溯源过程