我們對(duì)黑客的最初認(rèn)識(shí)，可能都來(lái)自于“病毒”。

通俗來(lái)說(shuō)，無(wú)論什么黑客入侵什么系統(tǒng)，大多都需要在系統(tǒng)內(nèi)部植入代碼。這些代碼或者可以“自我繁殖”，或者可以“通敵叛國(guó)”。如果你愿意，可以統(tǒng)稱他們?yōu)橛?jì)算機(jī)病毒。

我們想要對(duì)付“病毒”，就難免要請(qǐng)教最好的老師：自然界。

人體是怎樣對(duì)抗病毒的呢？沒(méi)錯(cuò)，免疫系統(tǒng)。既然這種免疫系統(tǒng)對(duì)人體有效，那它的原理是否可以用在賽博世界的防護(hù)中呢？

不要覺(jué)得這個(gè)想法腦洞大開，因?yàn)橐呀?jīng)有大神在這樣做了。

這位大叔名叫張福，他是中國(guó)最早的一批黑客，在黑客圈被奉為大神。在對(duì)雷鋒網(wǎng)宅客頻道講述這套技術(shù)之前，他先講述了一個(gè)有趣的故事。

【張?！?/strong>

洛克希德馬丁的血案

洛克希德馬丁可以算是全世界最著名的軍火商了。這貨牛到什么程度呢？它95%的訂單都來(lái)自美國(guó)國(guó)防部和各國(guó)軍方。你所熟悉的 F-16、F-22 和 F-35 戰(zhàn)機(jī)都是它的杰作。

然而，就在2011年5月的一天，洛克希德馬丁突然發(fā)布聲明，宣布：“發(fā)現(xiàn)了一起嚴(yán)重的網(wǎng)絡(luò)攻擊事件”。

雖然公司輕描淡寫地對(duì)外宣布“一切都在偶的掌控之中”，但是實(shí)際上事發(fā)時(shí)洛克希德馬丁全公司所用的“電子令牌”已經(jīng)被黑客拿下。

神馬是電子令牌呢？簡(jiǎn)單地說(shuō)他類似我們熟悉的“U盾”。平常我們只會(huì)在銀行轉(zhuǎn)賬的時(shí)候才會(huì)用到這種東西，但是由于洛克希德馬丁公司每天都在制造飛機(jī)大炮，所以員工接觸的很多信息都超極機(jī)密，需要一個(gè)電子令牌來(lái)證明“我是我”。

這個(gè)電子令牌是由世界頂尖安全公司 RSA 生產(chǎn)的“RSA SecureID 加密狗”。它的工作原理是這樣的：

令牌完全不聯(lián)網(wǎng)，根據(jù)存儲(chǔ)在加密芯片上的一個(gè)“種子”實(shí)時(shí)計(jì)算出一個(gè)口令。同樣在RSA總部的機(jī)房?jī)?nèi)，也存在一個(gè)同樣的種子，根據(jù)這個(gè)種子也可以計(jì)算出一個(gè)口令。兩個(gè)口令經(jīng)過(guò)比對(duì)，如果一致的話就通過(guò)驗(yàn)證。

你也許明白了，事情的關(guān)鍵在于這顆“種子”，只要偷到了這顆種子，黑客就可以用同樣的算法計(jì)算出正確的口令。

【洛克希德馬丁的 F-35 戰(zhàn)機(jī)和 RSA SecureID 加密狗】

洛克希德馬丁經(jīng)過(guò)調(diào)查發(fā)現(xiàn)，自己被黑的原因很奇葩，沒(méi)有員工遺失電子令牌，但是黑客卻每次都能輸入正確的令牌密碼。

最終，所有人都把懷疑的目光投向 RSA 公司。果不其然，最終 RSA 公司承認(rèn)，那個(gè)被他們嚴(yán)防死守，層層守衛(wèi)的珍貴的“種子”已經(jīng)失竊。。。

沒(méi)有不可被攻破的系統(tǒng)

一個(gè)是最視安全為生命的軍火公司，一個(gè)是教父級(jí)的安全公司，在黑客面前都只有啪啪打臉的份。

RSA 痛定思痛，潛心對(duì)網(wǎng)絡(luò)安全技術(shù)進(jìn)行研究，終于在第二年的報(bào)告中得出驚人的結(jié)論：黑客是防不住的。

多么痛的領(lǐng)悟。

不過(guò)，張福反倒看出了其中的真諦，他覺(jué)得 RSA 說(shuō)得很有道理。這話怎么講呢？他對(duì)雷鋒網(wǎng)宅客頻道說(shuō)：

在很多人的理解中，安全防護(hù)都是“邊界防御”，就像城墻一樣。

人們把防護(hù)設(shè)備接在網(wǎng)絡(luò)上，分析進(jìn)出的數(shù)據(jù)，如果發(fā)現(xiàn)惡意數(shù)據(jù)就進(jìn)行攔截，如果沒(méi)有發(fā)現(xiàn)就放過(guò)。

這些設(shè)備工作依靠的是規(guī)則，也就是人們通過(guò)研究黑客的攻擊方法，再把這些方法總結(jié)成規(guī)則寫進(jìn)設(shè)備。

但是這種玩法的效果越來(lái)越差，有三個(gè)原因：

1、邊界越來(lái)越模糊

假設(shè)我有一家公司，我可能同時(shí)用了阿里云的服務(wù)器、亞馬遜的服務(wù)器，還有私有云服務(wù)器。我的業(yè)務(wù)跑在三個(gè)混合的東西上，這三者的邊界都很難定義。

2、數(shù)據(jù)傳輸加密化

斯諾登曝光了棱鏡計(jì)劃，全球大的科技企業(yè)都知道了美國(guó)政府想要偷窺自己的隱私數(shù)據(jù)，于是紛紛把自己的數(shù)據(jù)傳輸進(jìn)行加密。這就造成，黑客的攻擊流量也會(huì)被加密，很難被防火墻識(shí)別出來(lái)。

3、攻擊技術(shù)飛速進(jìn)化

破解黑客的攻擊需要規(guī)則，但是只有我們知道黑客是如何進(jìn)攻的，才能總結(jié)出規(guī)則。但是在商業(yè)利益的驅(qū)使下，黑客們的攻擊手段比明星的臉變得都快。你還沒(méi)來(lái)得及寫出防護(hù)規(guī)則，黑客的攻擊手段又升級(jí)了。

綜上所述，黑客是防不住的。

【圖：電影《長(zhǎng)城》中，饕餮用盡奇技淫巧，總能成功越過(guò)城墻】

事實(shí)也證明，在最近幾年，全球大公司例如 SONY、孟加拉銀行，甚至連黑客公司“Hacking Team”都被黑了。這些組織被黑得那叫一個(gè)徹底，連核心數(shù)據(jù)庫(kù)都被曝光于天下。

那么，面對(duì)猖狂的黑客，就沒(méi)什么辦法了嗎？

接下來(lái)就輪到“免疫系統(tǒng)”登場(chǎng)了。

計(jì)算機(jī)的免疫系統(tǒng)

先來(lái)說(shuō)說(shuō)人體免疫系統(tǒng)的一個(gè)特點(diǎn)。

當(dāng)一種病毒接觸人體的時(shí)候，它可以很輕易就進(jìn)入體內(nèi)。但是在體內(nèi)“作案”的過(guò)程中，會(huì)引發(fā)轉(zhuǎn)氨酶、膽紅素等一些類肌體“微指標(biāo)”的變化，并且同時(shí)激活白細(xì)胞的防衛(wèi)功能。

對(duì)于醫(yī)生來(lái)說(shuō)，判斷一個(gè)人得了什么病癥，恰恰是通過(guò)這些血液指標(biāo)。

【病毒入侵免疫系統(tǒng)，總會(huì)造成體內(nèi)指標(biāo)的微小變化】

對(duì)于計(jì)算機(jī)系統(tǒng)而言，雖然目前并不存在“白細(xì)胞”這種自動(dòng)防衛(wèi)單元。但是，如果一個(gè)系統(tǒng)被黑客入侵，一定會(huì)在某些指標(biāo)上表現(xiàn)出異常。

即使利用最厲害的 0Day 漏洞攻擊服務(wù)器，系統(tǒng)的某些“微指標(biāo)”一定也會(huì)發(fā)生變化。

即使黑客色誘前臺(tái)小妹最終拿到了管理員密碼，通過(guò)“合法路徑”進(jìn)入系統(tǒng)，它的某些行為也一定會(huì)引起系統(tǒng)“微指標(biāo)”的變化。

作為久經(jīng)沙場(chǎng)的黑客大牛，張福對(duì)自己的推斷深信不疑。

于是他創(chuàng)立了一家公司，名為青藤云安全，專門做一件事：為企業(yè)服務(wù)器研發(fā)免疫系統(tǒng)。

從2014年開始，張福就成為了黑客圈的“狂人”，他想要研究一套系統(tǒng)，可以自動(dòng)部署在企業(yè)的服務(wù)器里，這套系統(tǒng)可以收集服務(wù)器上細(xì)微的指標(biāo)，作為正常的值。一旦出現(xiàn)黑客入侵，這些數(shù)值就會(huì)抖動(dòng)，觸發(fā)報(bào)警，然后再通過(guò)分析系統(tǒng)找到攻擊者的攻擊路徑。

他把這種系統(tǒng)稱為“自適應(yīng)安全系統(tǒng)”。

這些“微指標(biāo)”就像你小時(shí)候媽媽在電視機(jī)罩上放的頭發(fā)絲，如果她下班回家發(fā)現(xiàn)這根頭發(fā)不見了，那么十有八九是你偷偷看了電視。

對(duì)于青藤系統(tǒng)來(lái)說(shuō)，最大的挑戰(zhàn)就是如何定義一些獨(dú)特而又有效的指標(biāo)。

這些指標(biāo)要滿足：

不會(huì)因?yàn)檎５墓芾韱T行為而大幅波動(dòng)

會(huì)因?yàn)楹诳偷男袨槎黠@改變

張福說(shuō)，從2014年到現(xiàn)在的三年時(shí)間，他們的所有努力都在不斷改進(jìn)這樣的“微指標(biāo)”。如今微指標(biāo)的數(shù)量已經(jīng)到了幾萬(wàn)個(gè)之多。

被 Gartner 看中的“免疫系統(tǒng)”

無(wú)獨(dú)有偶，就在張福和團(tuán)隊(duì)埋頭苦干研究“自適應(yīng)安全系統(tǒng)”的時(shí)候，美國(guó)的初創(chuàng)公司 Tanium 同樣在“自適應(yīng)安全”方面進(jìn)行了探索。只不過(guò)他們的防護(hù)對(duì)象是辦公電腦。

如今，這家公司已經(jīng)成為了估值超過(guò)了35億美元的獨(dú)角獸。作為同行，張福很想和 Tanium 的童鞋們交流一下，但是很遺憾，美國(guó)政府把這項(xiàng)技術(shù)認(rèn)定為尖端科技，禁止 Tanium 對(duì)華出售服務(wù)和交流技術(shù)。

三月份，美國(guó)著名的 IT 咨詢公司 Gartner 發(fā)布了全球安全市場(chǎng)指南。讓他沒(méi)想到的是，青藤云安全居然榜上有名。

【Gartner 報(bào)告中，對(duì)青藤的描述】

Gartner 是最具權(quán)威的 IT 咨詢公司，全球企業(yè)都認(rèn)可它的的權(quán)威性，并且依據(jù)它的指導(dǎo)來(lái)選擇 IT 服務(wù)。中國(guó)有一些安全企業(yè)入選過(guò) Gartner 評(píng)選成熟技術(shù)領(lǐng)域的“魔力四象限”，但是入選針對(duì)新興技術(shù)領(lǐng)域的“全球安全指南”，我們是有史以來(lái)來(lái)唯一的中國(guó)公司。這說(shuō)明了世界對(duì)中國(guó)安全技術(shù)的肯定，當(dāng)然也會(huì)直接導(dǎo)致更多企業(yè)選擇我們的安全系統(tǒng)。

張福相信，以人體免疫系統(tǒng)為藍(lán)本的“自適應(yīng)安全”一定是未來(lái)安全的方向。Gartner 報(bào)告的肯定，讓張福堅(jiān)定了這個(gè)想法。

現(xiàn)在我們的微指標(biāo)是一套專家系統(tǒng)。就像醫(yī)院的大夫，通過(guò)經(jīng)驗(yàn)來(lái)判斷應(yīng)該檢查哪些身體指標(biāo)。

未來(lái)我們的微指標(biāo)要走向人工智能決策。通過(guò)對(duì)企業(yè)服務(wù)器的大數(shù)據(jù)分析，自動(dòng)得出黑客活動(dòng)相關(guān)的指標(biāo)。這些指標(biāo)可能人類不太好理解，但是卻是更加精準(zhǔn)的。

就像阿法狗和李世石的圍棋賽一樣，在其中一局，阿法狗下了一步神棋。人類幾千年的圍棋大師通過(guò)經(jīng)驗(yàn)總結(jié)出了無(wú)數(shù)“定式”，是在特定的情況下最好的走法。但是阿法狗的這步棋讓所有人匪夷所思，但是最終的結(jié)果證明了，這步棋正是整場(chǎng)對(duì)弈的關(guān)鍵一步。

像免疫系統(tǒng)一樣守衛(wèi)系統(tǒng)安全，聽上去有些異想天開。但正是萊特兄弟夢(mèng)想像鳥一樣飛行，我們才擁有了飛機(jī)；科尼利斯渴望像魚一樣游走，我們才看到了潛艇。黑客張福，用他的理想守衛(wèi)著每個(gè)人的互聯(lián)網(wǎng)。

本文作者史中，雷鋒網(wǎng)主筆，關(guān)注互聯(lián)網(wǎng)黑科技，夢(mèng)想用科技解釋萬(wàn)物。

更多黑客內(nèi)容請(qǐng)關(guān)注雷鋒網(wǎng)宅客頻道（微信搜索：宅客頻道）

相關(guān)文章：

A輪就拿到六千萬(wàn)，安全公司“青藤”靠的是什么？

黑客張福：互聯(lián)網(wǎng)是黑暗的森林

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。