青藤云安全张福：我们可以用“免疫系统”对抗黑客入侵吗？

我们对黑客的最初认识，可能都来自于“病毒”。

通俗来说，无论什么黑客入侵什么系统，大多都需要在系统内部植入代码。这些代码或者可以“自我繁殖”，或者可以“通敌叛国”。如果你愿意，可以统称他们为计算机病毒。

我们想要对付“病毒”，就难免要请教最好的老师：自然界。

人体是怎样对抗病毒的呢？没错，免疫系统。既然这种免疫系统对人体有效，那它的原理是否可以用在赛博世界的防护中呢？

不要觉得这个想法脑洞大开，因为已经有大神在这样做了。

这位大叔名叫张福，他是中国最早的一批黑客，在黑客圈被奉为大神。在对我们讲述这套技术之前，他先讲述了一个有趣的故事。

【张福】

洛克希德马丁可以算是全世界最著名的军火商了。这货牛到什么程度呢？它95%的订单都来自美国国防部和各国军方。你所熟悉的 F-16、F-22 和 F-35 战机都是它的杰作。

然而，就在2011年5月的一天，洛克希德马丁突然发布声明，宣布：“发现了一起严重的网络攻击事件”。

虽然公司轻描淡写地对外宣布“一切都在偶的掌控之中”，但是实际上事发时洛克希德马丁全公司所用的“电子令牌”已经被黑客拿下。

神马是电子令牌呢？简单地说他类似我们熟悉的“U盾”。平常我们只会在银行转账的时候才会用到这种东西，但是由于洛克希德马丁公司每天都在制造飞机大炮，所以员工接触的很多信息都超极机密，需要一个电子令牌来证明“我是我”。

这个电子令牌是由世界顶尖安全公司 RSA 生产的“RSA SecureID 加密狗”。它的工作原理是这样的：

令牌完全不联网，根据存储在加密芯片上的一个“种子”实时计算出一个口令。同样在RSA总部的机房内，也存在一个同样的种子，根据这个种子也可以计算出一个口令。两个口令经过比对，如果一致的话就通过验证。

你也许明白了，事情的关键在于这颗“种子”，只要偷到了这颗种子，黑客就可以用同样的算法计算出正确的口令。

【洛克希德马丁的 F-35 战机和RSA SecureID 加密狗】

洛克希德马丁经过调查发现，自己被黑的原因很奇葩，没有员工遗失电子令牌，但是黑客却每次都能输入正确的令牌密码。

最终，所有人都把怀疑的目光投向 RSA 公司。果不其然，最终 RSA 公司承认，那个被他们严防死守，层层守卫的珍贵的“种子”已经失窃。。。

一个是最视安全为生命的军火公司，一个是教父级的安全公司，在黑客面前都只有啪啪打脸的份。

RSA 痛定思痛，潜心对网络安全技术进行研究，终于在第二年的报告中得出惊人的结论：黑客是防不住的。

多么痛的领悟。

不过，张福反倒看出了其中的真谛，他觉得 RSA 说得很有道理。这话怎么讲呢？他对我们说：

在很多人的理解中，安全防护都是“边界防御”，就像城墙一样。

人们把防护设备接在网络上，分析进出的数据，如果发现恶意数据就进行拦截，如果没有发现就放过。

这些设备工作依靠的是规则，也就是人们通过研究黑客的攻击方法，再把这些方法总结成规则写进设备。

但是这种玩法的效果越来越差，有三个原因：

1、边界越来越模糊

假设我有一家公司，我可能同时用了阿里云的服务器、亚马逊的服务器，还有私有云服务器。我的业务跑在三个混合的东西上，这三者的边界都很难定义。

2、数据传输加密化

斯诺登曝光了棱镜计划，全球大的科技企业都知道了美国政府想要偷窥自己的隐私数据，于是纷纷把自己的数据传输进行加密。这就造成，黑客的攻击流量也会被加密，很难被防火墙识别出来。

3、攻击技术飞速进化

破解黑客的攻击需要规则，但是只有我们知道黑客是如何进攻的，才能总结出规则。但是在商业利益的驱使下，黑客们的攻击手段比明星的脸变得都快。你还没来得及写出防护规则，黑客的攻击手段又升级了。

综上所述，黑客是防不住的。

【图：电影《长城》中，饕餮用尽奇技淫巧，总能成功越过城墙】

事实也证明，在最近几年，全球大公司例如 SONY、孟加拉银行，甚至连黑客公司“Hacking Team”都被黑了。这些组织被黑得那叫一个彻底，连核心数据库都被曝光于天下。

那么，面对猖狂的黑客，就没什么办法了吗？

接下来就轮到“免疫系统”登场了。

先来说说人体免疫系统的一个特点。

当一种病毒接触人体的时候，它可以很轻易就进入体内。但是在体内“作案”的过程中，会引发转氨酶、胆红素等一些类肌体“微指标”的变化，并且同时激活白细胞的防卫功能。

对于医生来说，判断一个人得了什么病症，恰恰是通过这些血液指标。

【病毒入侵免疫系统，总会造成体内指标的微小变化】

对于计算机系统而言，虽然目前并不存在“白细胞”这种自动防卫单元。但是，如果一个系统被黑客入侵，一定会在某些指标上表现出异常。

即使利用最厉害的 0Day 漏洞攻击服务器，系统的某些“微指标”一定也会发生变化。

即使黑客色诱前台小妹最终拿到了管理员密码，通过“合法路径”进入系统，它的某些行为也一定会引起系统“微指标”的变化。

作为久经沙场的黑客大牛，张福对自己的推断深信不疑。

于是他创立了一家公司，名为青藤云安全，专门做一件事：为企业服务器研发免疫系统。

从2014年开始，张福就成为了黑客圈的“狂人”，他想要研究一套系统，可以自动部署在企业的服务器里，这套系统可以收集服务器上细微的指标，作为正常的值。一旦出现黑客入侵，这些数值就会抖动，触发报警，然后再通过分析系统找到攻击者的攻击路径。

他把这种系统称为“自适应安全系统”。

这些“微指标”就像你小时候妈妈在电视机罩上放的头发丝，如果她下班回家发现这根头发不见了，那么十有八九是你偷偷看了电视。

对于青藤系统来说，最大的挑战就是如何定义一些独特而又有效的指标。

这些指标要满足：

不会因为正常的管理员行为而大幅波动

会因为黑客的行为而明显改变

张福说，从2014年到现在的三年时间，他们的所有努力都在不断改进这样的“微指标”。如今微指标的数量已经到了几万个之多。

无独有偶，就在张福和团队埋头苦干研究“自适应安全系统”的时候，美国的初创公司 Tanium 同样在“自适应安全”方面进行了探索。只不过他们的防护对象是办公电脑。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!