我們對黑客的最初認識，可能都來自于“病毒”。

通俗來說，無論什么黑客入侵什么系統(tǒng)，大多都需要在系統(tǒng)內(nèi)部植入代碼。這些代碼或者可以“自我繁殖”，或者可以“通敵叛國”。如果你愿意，可以統(tǒng)稱他們?yōu)橛嬎銠C病毒。

我們想要對付“病毒”，就難免要請教最好的老師：自然界。

人體是怎樣對抗病毒的呢？沒錯，免疫系統(tǒng)。既然這種免疫系統(tǒng)對人體有效，那它的原理是否可以用在賽博世界的防護中呢？

不要覺得這個想法腦洞大開，因為已經(jīng)有大神在這樣做了。

這位大叔名叫張福，他是中國最早的一批黑客，在黑客圈被奉為大神。在對雷鋒網(wǎng)宅客頻道講述這套技術(shù)之前，他先講述了一個有趣的故事。

【張?！?/strong>

洛克希德馬丁的血案

洛克希德馬丁可以算是全世界最著名的軍火商了。這貨牛到什么程度呢？它95%的訂單都來自美國國防部和各國軍方。你所熟悉的 F-16、F-22 和 F-35 戰(zhàn)機都是它的杰作。

然而，就在2011年5月的一天，洛克希德馬丁突然發(fā)布聲明，宣布：“發(fā)現(xiàn)了一起嚴重的網(wǎng)絡(luò)攻擊事件”。

雖然公司輕描淡寫地對外宣布“一切都在偶的掌控之中”，但是實際上事發(fā)時洛克希德馬丁全公司所用的“電子令牌”已經(jīng)被黑客拿下。

神馬是電子令牌呢？簡單地說他類似我們熟悉的“U盾”。平常我們只會在銀行轉(zhuǎn)賬的時候才會用到這種東西，但是由于洛克希德馬丁公司每天都在制造飛機大炮，所以員工接觸的很多信息都超極機密，需要一個電子令牌來證明“我是我”。

這個電子令牌是由世界頂尖安全公司 RSA 生產(chǎn)的“RSA SecureID 加密狗”。它的工作原理是這樣的：

令牌完全不聯(lián)網(wǎng)，根據(jù)存儲在加密芯片上的一個“種子”實時計算出一個口令。同樣在RSA總部的機房內(nèi)，也存在一個同樣的種子，根據(jù)這個種子也可以計算出一個口令。兩個口令經(jīng)過比對，如果一致的話就通過驗證。

你也許明白了，事情的關(guān)鍵在于這顆“種子”，只要偷到了這顆種子，黑客就可以用同樣的算法計算出正確的口令。

【洛克希德馬丁的 F-35 戰(zhàn)機和 RSA SecureID 加密狗】

洛克希德馬丁經(jīng)過調(diào)查發(fā)現(xiàn)，自己被黑的原因很奇葩，沒有員工遺失電子令牌，但是黑客卻每次都能輸入正確的令牌密碼。

最終，所有人都把懷疑的目光投向 RSA 公司。果不其然，最終 RSA 公司承認，那個被他們嚴防死守，層層守衛(wèi)的珍貴的“種子”已經(jīng)失竊。。。

沒有不可被攻破的系統(tǒng)

一個是最視安全為生命的軍火公司，一個是教父級的安全公司，在黑客面前都只有啪啪打臉的份。

RSA 痛定思痛，潛心對網(wǎng)絡(luò)安全技術(shù)進行研究，終于在第二年的報告中得出驚人的結(jié)論：黑客是防不住的。

多么痛的領(lǐng)悟。

不過，張福反倒看出了其中的真諦，他覺得 RSA 說得很有道理。這話怎么講呢？他對雷鋒網(wǎng)宅客頻道說：

在很多人的理解中，安全防護都是“邊界防御”，就像城墻一樣。

人們把防護設(shè)備接在網(wǎng)絡(luò)上，分析進出的數(shù)據(jù)，如果發(fā)現(xiàn)惡意數(shù)據(jù)就進行攔截，如果沒有發(fā)現(xiàn)就放過。

這些設(shè)備工作依靠的是規(guī)則，也就是人們通過研究黑客的攻擊方法，再把這些方法總結(jié)成規(guī)則寫進設(shè)備。

但是這種玩法的效果越來越差，有三個原因：

1、邊界越來越模糊

假設(shè)我有一家公司，我可能同時用了阿里云的服務(wù)器、亞馬遜的服務(wù)器，還有私有云服務(wù)器。我的業(yè)務(wù)跑在三個混合的東西上，這三者的邊界都很難定義。

2、數(shù)據(jù)傳輸加密化

斯諾登曝光了棱鏡計劃，全球大的科技企業(yè)都知道了美國政府想要偷窺自己的隱私數(shù)據(jù)，于是紛紛把自己的數(shù)據(jù)傳輸進行加密。這就造成，黑客的攻擊流量也會被加密，很難被防火墻識別出來。

3、攻擊技術(shù)飛速進化

破解黑客的攻擊需要規(guī)則，但是只有我們知道黑客是如何進攻的，才能總結(jié)出規(guī)則。但是在商業(yè)利益的驅(qū)使下，黑客們的攻擊手段比明星的臉變得都快。你還沒來得及寫出防護規(guī)則，黑客的攻擊手段又升級了。

綜上所述，黑客是防不住的。

【圖：電影《長城》中，饕餮用盡奇技淫巧，總能成功越過城墻】

事實也證明，在最近幾年，全球大公司例如 SONY、孟加拉銀行，甚至連黑客公司“Hacking Team”都被黑了。這些組織被黑得那叫一個徹底，連核心數(shù)據(jù)庫都被曝光于天下。

那么，面對猖狂的黑客，就沒什么辦法了嗎？

接下來就輪到“免疫系統(tǒng)”登場了。

計算機的免疫系統(tǒng)

先來說說人體免疫系統(tǒng)的一個特點。

當一種病毒接觸人體的時候，它可以很輕易就進入體內(nèi)。但是在體內(nèi)“作案”的過程中，會引發(fā)轉(zhuǎn)氨酶、膽紅素等一些類肌體“微指標”的變化，并且同時激活白細胞的防衛(wèi)功能。

對于醫(yī)生來說，判斷一個人得了什么病癥，恰恰是通過這些血液指標。

【病毒入侵免疫系統(tǒng)，總會造成體內(nèi)指標的微小變化】

對于計算機系統(tǒng)而言，雖然目前并不存在“白細胞”這種自動防衛(wèi)單元。但是，如果一個系統(tǒng)被黑客入侵，一定會在某些指標上表現(xiàn)出異常。

即使利用最厲害的 0Day 漏洞攻擊服務(wù)器，系統(tǒng)的某些“微指標”一定也會發(fā)生變化。

即使黑客色誘前臺小妹最終拿到了管理員密碼，通過“合法路徑”進入系統(tǒng)，它的某些行為也一定會引起系統(tǒng)“微指標”的變化。

作為久經(jīng)沙場的黑客大牛，張福對自己的推斷深信不疑。

于是他創(chuàng)立了一家公司，名為青藤云安全，專門做一件事：為企業(yè)服務(wù)器研發(fā)免疫系統(tǒng)。

從2014年開始，張福就成為了黑客圈的“狂人”，他想要研究一套系統(tǒng)，可以自動部署在企業(yè)的服務(wù)器里，這套系統(tǒng)可以收集服務(wù)器上細微的指標，作為正常的值。一旦出現(xiàn)黑客入侵，這些數(shù)值就會抖動，觸發(fā)報警，然后再通過分析系統(tǒng)找到攻擊者的攻擊路徑。

他把這種系統(tǒng)稱為“自適應(yīng)安全系統(tǒng)”。

這些“微指標”就像你小時候媽媽在電視機罩上放的頭發(fā)絲，如果她下班回家發(fā)現(xiàn)這根頭發(fā)不見了，那么十有八九是你偷偷看了電視。

對于青藤系統(tǒng)來說，最大的挑戰(zhàn)就是如何定義一些獨特而又有效的指標。

這些指標要滿足：

不會因為正常的管理員行為而大幅波動

會因為黑客的行為而明顯改變

張福說，從2014年到現(xiàn)在的三年時間，他們的所有努力都在不斷改進這樣的“微指標”。如今微指標的數(shù)量已經(jīng)到了幾萬個之多。

被 Gartner 看中的“免疫系統(tǒng)”

無獨有偶，就在張福和團隊埋頭苦干研究“自適應(yīng)安全系統(tǒng)”的時候，美國的初創(chuàng)公司 Tanium 同樣在“自適應(yīng)安全”方面進行了探索。只不過他們的防護對象是辦公電腦。

如今，這家公司已經(jīng)成為了估值超過了35億美元的獨角獸。作為同行，張福很想和 Tanium 的童鞋們交流一下，但是很遺憾，美國政府把這項技術(shù)認定為尖端科技，禁止 Tanium 對華出售服務(wù)和交流技術(shù)。

三月份，美國著名的 IT 咨詢公司 Gartner 發(fā)布了全球安全市場指南。讓他沒想到的是，青藤云安全居然榜上有名。

【Gartner 報告中，對青藤的描述】

Gartner 是最具權(quán)威的 IT 咨詢公司，全球企業(yè)都認可它的的權(quán)威性，并且依據(jù)它的指導來選擇 IT 服務(wù)。中國有一些安全企業(yè)入選過 Gartner 評選成熟技術(shù)領(lǐng)域的“魔力四象限”，但是入選針對新興技術(shù)領(lǐng)域的“全球安全指南”，我們是有史以來來唯一的中國公司。這說明了世界對中國安全技術(shù)的肯定，當然也會直接導致更多企業(yè)選擇我們的安全系統(tǒng)。

張福相信，以人體免疫系統(tǒng)為藍本的“自適應(yīng)安全”一定是未來安全的方向。Gartner 報告的肯定，讓張福堅定了這個想法。

現(xiàn)在我們的微指標是一套專家系統(tǒng)。就像醫(yī)院的大夫，通過經(jīng)驗來判斷應(yīng)該檢查哪些身體指標。

未來我們的微指標要走向人工智能決策。通過對企業(yè)服務(wù)器的大數(shù)據(jù)分析，自動得出黑客活動相關(guān)的指標。這些指標可能人類不太好理解，但是卻是更加精準的。

就像阿法狗和李世石的圍棋賽一樣，在其中一局，阿法狗下了一步神棋。人類幾千年的圍棋大師通過經(jīng)驗總結(jié)出了無數(shù)“定式”，是在特定的情況下最好的走法。但是阿法狗的這步棋讓所有人匪夷所思，但是最終的結(jié)果證明了，這步棋正是整場對弈的關(guān)鍵一步。

像免疫系統(tǒng)一樣守衛(wèi)系統(tǒng)安全，聽上去有些異想天開。但正是萊特兄弟夢想像鳥一樣飛行，我們才擁有了飛機；科尼利斯渴望像魚一樣游走，我們才看到了潛艇。黑客張福，用他的理想守衛(wèi)著每個人的互聯(lián)網(wǎng)。

本文作者史中，雷鋒網(wǎng)主筆，關(guān)注互聯(lián)網(wǎng)黑科技，夢想用科技解釋萬物。

更多黑客內(nèi)容請關(guān)注雷鋒網(wǎng)宅客頻道（微信搜索：宅客頻道）

相關(guān)文章：

A輪就拿到六千萬，安全公司“青藤”靠的是什么？

黑客張福：互聯(lián)網(wǎng)是黑暗的森林

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。