平行世界中，一個僵尸網絡正在誕生。

　　黑客如巫師一般，揮一揮黑袍的衣袖，所有的機器同時噴射出巨大的數據，打向某個平臺。瞬間可憐的服務器就被巨大的流量淹沒。在我們的世界里，這被稱為 DDoS 攻擊。

　　然而，巫師手上的“俘虜”——可憐的服務器，并不是無腦的僵尸。他們同樣可以用強大的計算資源，為黑客“挖”比特幣;當然，他們也可以列隊整齊，為某個服務刷單。

　　靠吸血斂財，是黑帽黑客的生活方式。

　　【僵尸網絡】

　　百鳥驚林——黑客的武器

　　控制，是一切黑客進攻的根本方法。

　　無論是控制僵尸網絡，還是竊取企業(yè)信息，首要的一步就是入侵企業(yè)的服務器。而目前，中國絕大多數的網站服務器都在云端。

　　如果黑客想要入侵的服務器恰好位于阿里云(其實這個幾率相當高)，那么他首先要面臨的，就是一位安駐云端的門神——葉敏。

　　葉敏的官方 Title 是阿里云云盾的安全技術負責人。從2010年加入阿里開始，他見證了云計算從踽踽獨行到百萬雄兵;他同樣見證了云計算的城池之外，黑客們從散兵游勇到集結成軍。

　　“企業(yè)的數據和服務都運作在阿里云上， 所以我們有義務給客戶展示周圍正在發(fā)生的事情。”他說。

　　【葉敏】

　　撞庫 IP，安能辨我是雌雄

　　葉敏告訴雷鋒網，根據他掌握的資料，就連他自己的某些低強度的(并不是那么重要的)密碼也被泄露在了互聯(lián)網上。黑產用這些數以億計的數據庫不斷地“撞庫”，從而獲得同一個用戶在不同網站上的信息。

　　為了保護阿里云的客戶，一旦遇到客戶被撞庫的情況，需要對惡意 IP 做出“處罰決策”。例如，最簡單的，封禁這個 IP。

　　粗略地一想，識別撞庫很簡單。那就是某個 IP 高頻率地登陸不同的賬戶。但是我們在研發(fā)監(jiān)測模型的時候發(fā)現(xiàn)，事情遠不是這么簡單。因為 IP 的類型很復雜。

　　有一些 IP 是出口 IP，比如一個學校所有的學生都共用一個IP 出口;

　　有一些是功能性的 CDN;

　　另外還有一些高頻嘗試并不是撞庫，而是暴力破解，或者垃圾注冊。

　　葉敏說。

　　在這種情況下， 如果簡簡單單封禁一個IP，就不一定是明智的選擇。如果這是一個學校 IP，那么整個學校都無法訪問這個業(yè)務;如果這是一個公司 IP，那么整個公司都無法訪問;如果這是一個出口 IP，有可能幾萬人都被“誤殺”。顯然沒有一個網站愿意動不動就有好幾萬人無妨訪問自己的業(yè)務，氣憤地打電話過來投訴。

　　至于葉敏如何解決這個問題，我們后文分解，且看黑客的下一個武器。

　　Webshell，美女還是畫皮

　　在絕大多數以賺錢為目的“信息竊取”攻擊里(當然有少量為了政治和商業(yè)目的針對進攻)，黑產從業(yè)者往往會采用工具化的程序，大批量地在網站里植入后門，然后統(tǒng)一加以控制。

　　Webshell，就是黑客挖進網站的地道出口中， 做常見的一種。

　　看過地道戰(zhàn)的童鞋們還記得，日本兵即使絞盡腦汁，也經常猜不到地道的出口到底在什么奇葩的位置。在網絡攻防中，情況也有類似之處。因為 Webshell 的位置和形態(tài)千奇百怪。在一般人看來，一個文件究竟是后門還是正常的程序，就像夜讀的才郎看到窗口的姑娘，分不清究竟是美女還是畫皮。而且，通過一個 webshell，如何追溯到黑客的行蹤，也是一個高難度的問題。

　　不過，這難不倒像葉敏一樣的福爾摩斯。“對于一個有經驗的安全人員來說，查看一下網站日志的基本情況，就差不多可以知道黑客進攻到哪一步，是否已經得手。”他說。

　　難倒葉敏的是，全中國有30%的商業(yè)網站坐落在阿里云上。而葉敏的團隊只有8個人。

　　如果你只服務一個客戶，那么只要兩三個技術人員，就可以用手工排查的方法全部搞定，當這個數量乘以萬，乘以十萬，就出現(xiàn)了完全不一樣的情況。你需要一個全自動的機器。

　　他說。

　　“機械戰(zhàn)警”的反擊

　　“對于人來說，很多技巧已經爛熟于心。比如開車，我甚至可以邊聊天邊開車。但是你讓程序去開車，難度就不是一個級別了。

　　同樣，對安全人員來說并不難的進攻檢測，如果想讓機器學會，就要付出很多努力。”

　　正如上文所說，面對如此大量的工作，葉敏別無選擇，只能拼盡團隊的智商制造一個“機械戰(zhàn)警”。制造這個機械戰(zhàn)警的究極奧義在于：把人的經驗傳授給機器。

　　機器福爾摩斯

　　這個福爾摩斯名叫云盾。

　　為了改進云盾檢測入侵的效果，葉敏仔細研究了黑客進攻的每一個招式。

　　有一些入侵方式，并不是自動化程序可以防御的。比如弱口令，黑客一旦掌握了網絡口令，我們是沒有辦法阻止一個使用正確密碼登陸的。另外，有一些漏洞在沒有登錄權限的情況下，是無法被自動化工具檢查到的。

　　葉敏和團隊總結了一百多種黑客入侵的奇葩方式，然后把這些方式的對抗方法做成自動化的規(guī)則輸入到阿里云盾中。

　　當然，福爾摩斯不僅是能夠發(fā)現(xiàn)案件，最大的功力在于：可以抓到兇手。

　　我們的工作是訓練機器可以讀取日志文件。針對一個 Webshell，根據日志的時間，查看 Webshell 產生前一秒，是否有某一個 Java 漏洞被利用，而這個漏洞被利用的同時，網絡上產生了什么流量，這個流量是哪里發(fā)出來的。

　　這，就是葉敏訓練“機器戰(zhàn)警”的方法。

　　機器衛(wèi)隊

　　機器福爾摩斯，從某種程度上說是一個失敗。因為福爾摩斯發(fā)現(xiàn)問題的時候，往往黑客已經成功植入后門。在一切都沒發(fā)生之前，你需要一個“機器衛(wèi)隊”。

　　一個正常訪問者和惡意訪問者的動作和頻率都是不一樣的，這就讓自動化判斷成為了可能。

　　當然，世界上已經存在眾多自動化的網絡防火墻。不過葉敏想要用更加智能的方法改進防火墻。

　　以往的防火墻往往使用規(guī)則識別，我希望研發(fā)一個純數學模型來識別web攻擊。例如一段URL，有經驗的安全員看到這些數字和字母就基本能夠判斷它的危險性。所以我希望機器也能做到。

　　我們把這些數字和字母的參數樣本交給機器，讓它自己去學習，這樣它就可以學習出一個模型，用來識別攻擊。

　　目前在阿里云上，基于規(guī)則的防火墻和基于數據的防火墻在同時運行，兩個系統(tǒng)存在一些差異，互相可以檢查出對方的誤報和漏報。

　　改進這套系統(tǒng)，也是葉敏近期的重要工作之一。

　　機器鑒別師

　　現(xiàn)在，需要回答一個懸而未決的問題。那就是如何用自動化程序判斷一個 IP 究竟是不是“撞庫 IP”呢?

　　葉敏告訴雷鋒網(搜索“雷鋒網”公眾號關注)，他和團隊設計了一套系統(tǒng)。讓所有的流量經過一個分析系統(tǒng)，把其中所有的登陸請求抽取出來，放到數學模型里計算。這個數學模型里，有諸多篩選條件：

　　登錄頻率的分布;

　　用戶名、密碼的特征;

　　IP的信譽度。

　　這些條件，恰恰可以篩選出一個 IP 究竟是出口IP、CDN IP還是個人 IP。這就為阻斷撞庫行為提供了非常精準的情報。

　　當然，尊崇技術的葉敏同樣承認，機器判斷會存在誤判的可能。不過他表示，這個系統(tǒng)的準確率應該是非常高的。

　　我們用來判斷準確率的一個重要指標就是用戶的投訴率，雖然在系統(tǒng)開始運行的時候，會有用戶投訴被“誤殺”。不過最近幾個月我們都沒有接到誤殺的投訴了。

　　獨門必殺技——大數據

　　在偌大的云版圖上，黑客武器和葉敏研發(fā)的“機器戰(zhàn)警”上演著曠日持久的戰(zhàn)爭。

　　等等，好像還有一件事沒有解決。你還記得文章開頭的那些僵尸網絡和它們背后的巫師嗎?即使把黑客控制的服務器全部“解救”，仍然難以阻止黑客本人法外逍遙。

　　你別忘了，全網30%的網站都在阿里云上。

　　葉敏不無驕傲。這個數據是阿里云的必殺王牌。

　　由于使用阿里云服務的企業(yè)眾多，所以這些被黑客控制的“肉雞”很大概率也處在阿里云上。通過分析肉雞的流量和行為，加上我們的秘密技術，就可以感知到控制方的來源。

　　葉敏告訴雷鋒網，對于200G流量以上的 DDoS 攻擊，已經有90%可以定位到控制端。這些都是通過自動化的工具完成的。“去年我們總共溯源了30起 DDoS 攻擊，其中80%-90%都找到了背后具體的人。”

　　神秘巫師的面紗被無情地撕下，這是一場技術的勝利。

　　實際上，這是一個典型的大數據應用場景。每天有無數黑客攻防戰(zhàn)爭發(fā)生在阿里云的地盤上，這些數據可以被匯總，成為一個 IP 信譽庫。在大數據庫中，每一個 IP 都會有相應的黑白標簽。

　　在這個“機械戰(zhàn)警”心里，來人究竟是人是鬼是妖是魔，也許早就有了定論。

　　以上這些，都是葉敏和團隊在進行的前沿研究，這些技術正在試錯和完善中。

　　葉敏描繪了一幅場景：

　　當一個訪問者出現(xiàn)，我們能立刻拿出一個IP畫像，包含了他的所有屬性，他歷史上有沒有過惡意行為，他的慣用攻擊手法是什么。通過分析他的訪問行為，再結合當前業(yè)務，我們能判斷出攻擊者的意圖，他是想拉數據還是想控制服務器。并且及時阻止這種情況發(fā)生。

　　不需要太久的時間，我們就能實現(xiàn)，他說。為了網絡世界的陽光普照，像葉敏一樣的安全大牛任重而道遠。