網(wǎng)絡(luò)世界里的態(tài)勢感知，聽上去有些玄幻。有人覺得這是一種俯視世界的上帝視角；有人覺得這是一種禪定參悟的境界。

而在真正的網(wǎng)絡(luò)安全從業(yè)者眼里，態(tài)勢感知遠不是這么浪漫。甚至它可以被概括為：誰特么在搞我，他究竟怎么搞了我。不過正是因為這種務(wù)實的態(tài)度，讓中國的態(tài)勢感知技術(shù)正在一步一個腳印地進步。

那么，究竟態(tài)勢感知系統(tǒng)怎樣發(fā)揮作用？雷鋒網(wǎng)宅客頻道專訪了360企業(yè)安全副總裁張翀斌。常年指揮一線作戰(zhàn)的他，經(jīng)歷過很多血雨腥風的故事。

【360企業(yè)安全副總裁張翀斌】

不知道你是否玩過那個坑爹的游戲：一個飛機場上空有無數(shù)架飛機等待降落，你的任務(wù)就是在有限的時間內(nèi)，合理調(diào)度眾多飛機的飛行路線，讓他們不至于相撞。

這需要游戲者保持一種對于全局的警醒狀態(tài)，一旦局部出現(xiàn)危險，就要馬上感知并且處理。

這就是態(tài)勢感知。

公認的態(tài)勢感知概念是：在特定時空下，對動態(tài)環(huán)境中各元素或?qū)ο蟮挠X察、理解以及對未來狀態(tài)的預(yù)測?！皯B(tài)勢感知”這個詞最早源于軍事。美國研發(fā)的各類導(dǎo)彈預(yù)警系統(tǒng)，就是這個概念最初的應(yīng)用。被我們抵制的美國薩德導(dǎo)彈系統(tǒng)，配備了高功率的探測雷達，可以對中國北部大部分地區(qū)進行監(jiān)控，這正屬于態(tài)勢感知系統(tǒng)。

張翀斌說，感知是采取下一步行動的基礎(chǔ)。從防御者的角度看，要想防得住，首先要感受到。

這種認識在各國都在競爭的網(wǎng)絡(luò)空間表現(xiàn)得更為明顯。那么在賽博世界里，我們中國的感知能力又如何呢？

先來說說伊朗的故事，歷史上一個著名的態(tài)勢感知戰(zhàn)例就是“震網(wǎng)病毒”。

2010年，美國利用一個U盤中的病毒，層層突破伊朗核設(shè)施相關(guān)的專家電腦、辦公網(wǎng)絡(luò)、管理網(wǎng)絡(luò)，最后直達核設(shè)施離心機控制設(shè)備。美國黑客利用巧妙的技術(shù)層層突破，這個過程持續(xù)了一年以上。伊朗方面對美國黑客的態(tài)勢感知就是：沒有任何感知。

一張時任伊朗總統(tǒng)內(nèi)賈德參觀核設(shè)施的照片上，清晰地顯示出了當時在“震網(wǎng)病毒”的作用下，兩個離心機發(fā)生未知故障，而這張照片里的所有人，當時都被蒙在鼓里。

【時任伊朗總統(tǒng)內(nèi)賈德視察核電站，紅圈內(nèi)的紅點表示有兩臺離心機已經(jīng)無故損壞，后證實為震網(wǎng)病毒所為】

。

。

。

別急著笑話內(nèi)賈德。在中國，我們的情況并沒有好太多。

我們剛剛知道自己裸奔

對我們來說，在斯諾登揭露美國入侵手法之前，我們對美國攻擊入侵的手法知之甚少。個人觀點，我們和美國在網(wǎng)絡(luò)空間安全方面有十到十五年的技術(shù)差距。

張翀斌說。

他為雷鋒網(wǎng)宅客頻道列舉了一個實際發(fā)生的案例。

去年在為某個部委服務(wù)的時候，我們發(fā)現(xiàn)了一個線索。

這個線索只是日常巡檢分析的時候出現(xiàn)的小小告警——提示我們有一個漏洞被利用。我們根據(jù)這個線索進行查詢，發(fā)現(xiàn)通過這一個漏洞，有人做了一件“大案”。

黑客通過這個通道，下載了一個壓縮文件。經(jīng)過部委同事檢查，這是一個非常敏感的文件。其中包括了應(yīng)用系統(tǒng)的源代碼，還有下屬單位三年的財務(wù)數(shù)據(jù)。

我們繼續(xù)追查，找到了之前四年的日志數(shù)據(jù)，發(fā)現(xiàn)在這段時間內(nèi)，這個文件已經(jīng)被下載了四次。

經(jīng)過相關(guān)部門授權(quán)，張翀斌和團隊對嫌疑人進行了追查，詳細描述了黑客的“畫像”，交給相關(guān)部門處理。

像這樣的案例，張翀斌經(jīng)歷了無數(shù)個。

這些黑客組織有的來自境內(nèi)，有的來自境外，所盜取的信息都非常核心。實際上，基于我們整體的網(wǎng)絡(luò)安全水平，我知道一定還存在我們沒有發(fā)現(xiàn)的入侵。

作為一個資深的網(wǎng)絡(luò)安全專家，他并沒有粉飾，而是描述了自己眼中的事實。正是因為落后，才讓張翀斌有了奮起直追的斗志。

真實世界里，究竟誰在搞我們？

張翀斌說，360的態(tài)勢感知產(chǎn)品，主要服務(wù)于黨政軍和大型企事業(yè)單位，所以他看到的是一片血雨腥風的攻防場面。

業(yè)內(nèi)按照攻擊能力把威脅分為四級。

第一級是國家安全層面的入侵。

這類黑客的能力最強。美國、日本、歐盟都在重金投入發(fā)展自己的網(wǎng)絡(luò)安全能力，連我們的友好鄰邦朝鮮的網(wǎng)軍，實力都不容小覷。

在之前被維基解密曝光的 CIA（美國中央情報局）黑客工具，可謂無堅不摧。這些工具可以用25種方法入侵 Android，用14種方法入侵 iOS，還可以把三星電視變成竊聽器，攻擊智能汽車，什么路由器、智能硬件都不在話下。而最近著名的黑客組織 Shadow broker 更是爆出來 NSA（美國國家安全局）可以用多種方法入侵幾乎所有版本的 Windows。

【NSA 掌握著幾乎所有 Windows 版本的致命漏洞，隨時可以無感知地攻擊網(wǎng)絡(luò)上的任意電腦】

對于中國來說，斯諾登曝光的棱鏡計劃顯示，美國曾經(jīng)在中國的骨干網(wǎng)路由器節(jié)點截獲流量進行分析。2016年，360曾經(jīng)發(fā)布了一份報告，曝光了36個針對中國的黑客組織，它們攻擊的主要目標，是我們的政府、基礎(chǔ)設(shè)施、教育科研機構(gòu)和大型企業(yè)。

第二級是恐怖組織。

這類黑客的水平次之，但是有很強的組織性。

一旦成功，會造成巨大的損失。傳統(tǒng)的恐怖襲擊可能是在地鐵中放置毒氣彈，但未來的恐怖襲擊很可能通過網(wǎng)絡(luò)攻擊讓地鐵撞車。在恐怖分子眼里，一根網(wǎng)線就能做到的事情，比攜帶炸彈看上去牛多了。

第三級是有組織的犯罪。

例如通過黑入銀行系統(tǒng)，獲得用戶的存款賬戶信息和轉(zhuǎn)賬記錄，然后進行有針對性的詐騙和進一步黑客攻擊。例如得知某人為大企業(yè)負責人，黑客就可能會利用掌握的銀行賬戶信息對他的企業(yè)進行進一步的滲透。

第四級是獨立的黑客和個人。

這些黑客往往目的不十分明確，技術(shù)能力也參差不齊。

張翀斌說，最近幾年第一級第二級這類高級別的黑客攻擊在大幅增加，“黑產(chǎn)+公司”的有組織進攻也在增加，而以前流行的個人英雄主義的黑客活動反倒減少了。

中國安全研究員的使命，就是盡力發(fā)現(xiàn)各種姿勢的入侵，也就是“態(tài)勢感知”。你可能會好奇，安全研究員是如何感知到系統(tǒng)被入侵呢？

和黑客的戰(zhàn)爭，態(tài)勢怎么被感知？

由于經(jīng)常領(lǐng)導(dǎo)一線的黑客攻防戰(zhàn)爭，張翀斌非常熟悉態(tài)勢感知的全流程。

他告訴雷鋒網(wǎng)，一般情況下，為一個機構(gòu)做態(tài)勢感知服務(wù)，需要五個崗位。分別是：

• 安全監(jiān)控（這位童鞋需要每天在現(xiàn)場，實時監(jiān)控系統(tǒng)有沒有報警）

• 漏洞驗證（對發(fā)現(xiàn)的漏洞利用線索進行追查，確定背后是否有黑客的蛛絲馬跡）

• 數(shù)據(jù)分析（需要在大量的流量和日志數(shù)據(jù)中發(fā)現(xiàn)攻擊線索并進行分析，如果碰到病毒樣本，現(xiàn)場一般沒有條件分析，需要扔給云端環(huán)境來做，最后才能綜合做出判斷）

• 信息通報（把威脅態(tài)勢匯總成為制式文件，向相關(guān)部門通報）

• 事件處置(對于系統(tǒng)漏洞進行打補丁，升級 WAF防火墻，根據(jù)情況對黑客進行追蹤等等)

這其中，最核心技術(shù)的就是數(shù)據(jù)分析。簡單來說就是找到是誰，怎么搞了我。

【態(tài)勢感知的崗位分工】

為了搞清楚這個問題，需要幾個重要的東西：人和數(shù)據(jù)和平臺。

例如在文章開始舉的例子，通過系統(tǒng)過去四年的日志，才推測出了敏感文件被下載的次數(shù)和去向。這就是歷史數(shù)據(jù)的重要性。

而僅僅有這些數(shù)據(jù)，還是不夠的。要從浩如煙海的數(shù)據(jù)里，快速檢索出可能有問題的操作，需要一個態(tài)勢感知專用的計算平臺，通過安全研究員設(shè)置的規(guī)則和條件，智能篩選出可疑的數(shù)據(jù)供研究員查看。

而所有的一切，背后都是安全研究員的智慧。在整個態(tài)勢感知的過程中，安全研究員的經(jīng)驗和判斷起到了重要的作用。

一旦確定了某個黑客組織，在相關(guān)部門的授權(quán)下，張翀斌的團隊會對黑客進行溯源和“畫像”，包括攻擊者常用的工具，平時喜歡登陸那些論壇，他的攻擊技能有什么，喜歡攻擊什么目標。這種情況下就可以把黑客的信息作為威脅情報，如果同類企業(yè)再次探測到同一批人的訪問請求，就可以直接根據(jù)情報把這個特征的訪問拒之門外。

正如伊朗核設(shè)施被美國攻擊一樣，黑客進攻往往是從外圍的薄弱系統(tǒng)進入，一步步滲透到核心系統(tǒng)。在黑客步步為營的過程中，越早感知到黑客的存在，就越能把損失降到最小。張翀斌舉了幾個真實的態(tài)勢感知案例：

某能源企業(yè)，被變種蠕蟲入侵，進而所有電腦終端的用戶名和密碼都被黑客獲得，最終連無人值守站的密碼都被黑客獲得。如果黑客的目的是破壞生產(chǎn)的話，他幾乎已經(jīng)成功了。幸虧發(fā)現(xiàn)及時，才在破壞的最后一環(huán)力挽狂瀾。

某國有銀行，使用了態(tài)勢感知服務(wù)。安全研究員很快就發(fā)現(xiàn)某分行存在一個口令爆破攻擊行為。可怕的是，從這個線索追查發(fā)現(xiàn)，全國十幾家分行都存在這個問題。黑客利用漏洞，正在快速感染更多的銀行系統(tǒng)。安全研究員緊急制定了修復(fù)策略，才使得損失沒有進一步擴大。

在這個銀行的例子中，如果提前部署態(tài)勢感知系統(tǒng)，在黑客剛剛感染一個分行的時候就可以被感知，其產(chǎn)生的影響會比現(xiàn)在更小。

【態(tài)勢感知內(nèi)部界面示意】

很不幸，這是一場永無止境的戰(zhàn)爭

我們的做法是，根據(jù)人的經(jīng)驗，每次發(fā)現(xiàn)新的攻擊方試，就可以固化到平臺里，在以后的檢測中平臺就能夠降低對人的依賴。

但攻擊者也在升級，如果他們知道我們已經(jīng)掌握了攻擊手段，他們就會換一個。

張翀斌列舉了幾個態(tài)勢感知的坑。

1、未知攻擊

在很多高端的攻擊中，對方使用了未知的攻擊手段，那么作為防守方，檢測出來的可能性會大大降低。面對這種情況他們會采用行為分析的方法來檢測。他為雷鋒網(wǎng)宅客頻道舉了一個例子：

正常互聯(lián)網(wǎng)世界里的一個IP，會訪問很多不特定的IP，但如果一個IP只持續(xù)訪問兩個IP，那么這種行為就是很可疑的。

從服務(wù)器角度來看，普通的訪問數(shù)據(jù)是有規(guī)律的，如果突然某個電腦的DNS突然變化異常，也是一個有問題的細節(jié)。

一般系統(tǒng)的研發(fā)人員都是死宅，如果系統(tǒng)檢測到了它的 ID 連續(xù)幾天都在異地登錄，那么這也是明顯的問題。

當然這只是一些簡單的例子。我們會利用機器學習和人工智能的方法對諸多行為之間的關(guān)聯(lián)進行計算，利用這些結(jié)果往往可以探查到黑客的蛛絲馬跡。針對這些蛛絲馬跡進行研究，就會大大提高“破案”的成功率。

他說。

2、大隱隱于世

雖然針對每一次攻擊，態(tài)勢感知系統(tǒng)都要做響應(yīng)。但是如果安全研究員不能認識到這次進攻背后的真實意圖，就往往會低估對手。

一些通用系統(tǒng)有時會爆出全球性的漏洞，就在各家企業(yè)修復(fù)自身漏洞的時間差里，全世界的黑客都會利用這個漏洞對系統(tǒng)進行掃描和入侵。但是大多黑客都是腳本小子，他們可能僅僅利用這個漏洞收集一些信息，或者進行簡單的攻擊。但是在他們中間，有一些真正的高手，混在大量的攻擊中，用很 low 的方法進攻，一旦初步得手就會迅速轉(zhuǎn)移和隱蔽自身，讓安全研究員低估了處理的難度。

張翀斌說。

這就像一個絕世高手隱藏在市井之中，避人耳目，伺機而動。

面對這種情況，張翀斌保持了謹慎的態(tài)度。他覺得和頂尖黑客的對抗，一定是人與人的對抗，在這種情況下，依靠的一定是安全研究員的經(jīng)驗。同樣是處理同樣的進攻，經(jīng)驗豐富的安全人員就會更大幾率揪出藏身的高手。

3、數(shù)據(jù)的斷舍離

數(shù)據(jù)，是安全人員判斷系統(tǒng)是否被進攻的唯一憑證。

張翀斌主張對流量數(shù)據(jù)進行“全數(shù)據(jù)存儲”。只有數(shù)據(jù)充分的情況下，才能更準確地還原攻擊的細節(jié)。但是他所謂的全數(shù)據(jù)存儲并不是全包存儲，而是把流量數(shù)據(jù)進行歸納之后，把各個維度的關(guān)鍵信息全部存下來。對于其他內(nèi)容，例如一些附件，會有選擇性地留存。這種方式的最大優(yōu)點是能夠?qū)Ａ繑?shù)據(jù)支持快速檢索，從而進行威脅統(tǒng)計分析，從中發(fā)現(xiàn)攻擊行為的蛛絲馬跡。

這些全流量數(shù)據(jù)，加上系統(tǒng)的日志，還有外部導(dǎo)入的威脅情報，就成為了黑客入侵的鐵證。

后記

對于門將來說，球門被攻破或多或少是他的宿命。

這正像我們的安全研究員，他們負責感知這個國家重要關(guān)隘的態(tài)勢動向，雖然御敵無數(shù)，卻也一定會犯錯。

對于這種宿命，張翀斌說他并不感覺失落：

這些年來，我們從裸奔到現(xiàn)在已經(jīng)有粗布麻衣。每一次我們發(fā)現(xiàn)了頂尖黑客的新的進攻手段，都是非常興奮的。我們用技術(shù)不斷完善自己的系統(tǒng)，把以前忽略的證據(jù)和數(shù)據(jù)一點點串聯(lián)起來，讓更多的真相一個個浮出水面。

作為中國的安全人員，我們感覺很興奮。

憑心而論，一個國家的安全水平正如它的國防能力，這種能力是無法乞求別人的憐憫而獲得。終有一天我們會從態(tài)勢感知，到擁有網(wǎng)絡(luò)空間的反制能力，到對威脅的預(yù)判和防御。

張翀斌和他的團隊所做的一切，都是為了迎接這一天的到來。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。