黑产马仔躲山里柴油机发电搞攻击，幕后老大闹市喝茶——老司机独家揭秘真实网络对抗

机器学习作为一种数学工具，其输出的“智能”并不是真正的“智能”，而是由其设计和运作过程中所使用的攻防模型、机器学习算法以及训练样本所决定的“计算”。这样，如果攻击者通过某种手段可以获取这些信息，并进行针对性模仿、甚至“注入”，就可以达到“免杀”和“误导”的效果。

但是现在，攻击方的技术真的可以达到这么高的境界了？

叶晓虎告诉小编，攻守双方都能利用机器学习的技术，目前攻方利用技巧干扰机器学习的公开案例较少，但不代表以后不会大规模流行。

“机器学习作为自动化工具让安全管理人员解放双手。一个研究员手工分析一个样本，至少需要2-3个小时，一天几十万个样本怎么办？只能靠机器学习。攻击者也能利用机器学习来干坏事，比如，把防守方的机器学习规则和参数摸清楚后，稍微进行调整，就能绕过防守方建起来的墙。”

攻3：从广撒网到“24小时”定向“盯梢”

定向攻击（TA）和高级持续威胁（APT）通常被认为是高级的技术对抗，而广谱的、也就是非定向的攻击被认为是一般的技术对抗。

广谱攻击不区分行业和目标属性，单次收益低，强调海量重复和自动化。定向攻击者针对防护目标进行“免杀”校准，此时防守方所采用的已被攻击者掌握的一般商业化防护措施已经失效。这时，防守成功要求攻方所不掌握的“独特性“。这种“独特性”对于攻方来说意味着成本和“风险”。

“广谱攻击，我攻击你，收益就一点点，最暴力、重复，而定向攻击中，手段技术高不可怕，最可怕的还是持续性一不小心就会中招。尤其一个企业有那么多员工，如果其中一个中招，可能会对整个公司带来可怕的后果。”叶晓虎说。

攻4：物联网的各种低防护目标被盯上

2016年美国东部地区大断网事件是这一观点的最佳佐证。物联网被利用来发起大规模拒绝服务攻击是 2016 年的热点事件，尤其 Mirai 和 DYN 攻击事件中大众传播达到一个新的高度。

一个相对保守的预计是在 2020 年将会有 200 亿以上的物联网设备上网。

大量低防护水平的目标涌入互联网，如同原来院子里玩耍的孩子们突然跑到车水马龙的大街上，必然对灰色产业和攻防态势产生深刻的影响。

如何守

叶晓虎告诉小编()，要应对这四种可怕的攻击趋势，需要从这些方面来考虑：

1.跟踪云物大移时代信息系统的所有环节的漏洞和攻防细节、并实时做出准确的判断，对于数十人规模的专业安全团队都是极度困难的。依托威胁情报系统和“生态伙伴”成为一种必然的选择。

小编了解到，现在，北美地区的情报共享和分析中心比较成熟，在国内，出于各方面的原因，还没有形成很好的合作机制。

叶晓虎分析，从企业角度看，现在有些人会考虑分享对KPI 有没有影响，是否会产生负面影响。从安全公司角度看，他们会考虑是否会损害企业的技术竞争力。

因此，这确实是摆在眼前需要解决的一道题。

“但是，建立生态伙伴却是一个不可逆转的趋势，企业、安全公司和主管机构都会涉身其中，这样才可能把安全形势变得更可控。”

2.威胁方将会利用机器学习等先进技术来优化“攻击”，并不意味着机器学习之于网络安全没有用处，恰恰相反，不掌握机器学习技术的安全防御方将会处于类似冷兵器对热兵器的“劣势”局面。

洞察网络系统中的各种用户和设备行为，寻找源自合法用户、合法供应链组件等的可能攻击和滥用，针对安全事件的溯源和追踪，对全局安全态势的感知和研判等等，需要大量的安全数据分析、可见性、威胁情报等能力的联合运用，都需要机器学习为代表的新一代计算工具的支撑。

叶晓虎对机器学习的期待是，希望能够构建一个系统，具备对攻击手段自演化的功能。

3.在动态纵深防御模型下，局部的“失败”并不可怕，但需要防守方能够及时的检查到“失败”并调整防护手段，保证掌控或重新夺回战场优势。

以前，大家观点是，要把自己的网络守得死死的，把危险、入侵都挡在门外。都挡住了，你连攻击者进化的手段都不会了解。不如，在一台服务器故意放一些表面上很重要的信息，吸引黑客访问数据，就可以锁定这个行为用来定位。利用这种手段跟踪攻击方的行为，放长线、钓大鱼。虽然挡住了，但不知道黑客想要干什么，知道发生了什么事情更重要。

为此，叶晓虎也曾做过实验，为一个客户模拟一个交易系统，做业务型的蜜罐，故意放了一些漏洞，前端发现了可疑，就把流量引到蜜罐上来，追溯攻击者，让守方有所准备。

但是，每个公司的业务系统不一，再造一个模拟系统，在技术上要求很高，成本也高。这就需要企业权衡和选择不同的防守策略和方式。

4.防护无死角，S（社交）M（移动）T（物联网）都需要考虑。

这一点要求守方要预先准备对应方案，适时预判。但比较麻烦的是，大部分安全公司做传统 IT，在物联网领域了解不多，尤其是工控领域，对安全理解不太多，这是一大挑战。

叶晓虎最后总结了最重要的秘籍：

1.整个安全行业，连接和共享才能快速响应。2.整个安全需要持续运营，它不是静态的，某个时间点的安全不能说明什么，需要持续投入。3.从安全角度来说，检测比防护更重要，要知道企业安全态势。4.人工智能和机器智能是防守方技术层面最重要的手段。提高效率，才能做得更好。

【叶晓虎（被同事称为“虎博”、“虎博士”）摆了两款pose，是不是跟你想象中严肃的安全守卫者形象不一样？】

，。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!