1、 2013 年中国计算机大会专题论坛信息安全 时间:10 月 20 日 13:30-17:30地点:会展中心二层 10 号厅赵粮:各位下午好,我们今天信息安全的论坛就要开始了,中午大家时间可能比较紧张,希望大家不要困。事实上呢,计算机大会的信息安全论坛今年已经是第三年了,10 年在杭州,11 年在深圳,我都参加了,感觉很好,听众反馈都很不错。所以今年我被拉来做这个安全信息论坛的主席,压力很大,怎么样把论坛做得更好呢。从去年到今年,非常关注的,非常热的话题有两个,一个是关于 APT 的话题,从 2010年就已经铺天盖地的展开了;第二个,是从去年到今年,对于大数据用于安全、用于解决APT,热度迅速
2、上升,也是非常非常热门的话题,所以,今年的信息安全论坛就选择了主题“APT 碰到大数据” 。在这个主题下面,我们组织了六个报告,这六个报告中的标题都在会议手册上面,我就不一个一个地讲了,接下来让我们一起在看看这六个报告是不是能给大家带来启发和共鸣。现在我们就进入主要的报告环节,希望大家把手机调到静音,报告后面会安排提问专家环节,视频可以在 CCF 的主页上下载,大家可以专心听讲,不用着急拍照。第一个讲演者是杜跃进博士,是行业里最著名的领军人物之一,现在是国家信息网络安全研究所的所长,也是国家计算机紧急处理中心的副总工程师。杜博士的演讲题目是应对 APT,需要 BPT:关于新一代网络严重威胁应对
3、的若干思考 ,大家欢迎。杜跃进:谢谢赵博士,下面我用 35 分钟的时间和大家分享一些不太成熟的东西,完全是前瞻性的,欢迎大家批评指正:这句话不是空话,是内心的真话。先说一点题外的话,题目中的“BPT” ,好像有点玩文字游戏的感觉。 “BPT”是什么?是 Big Picture Thinking,即我们要用更大的视角考虑 APT 问题。我也和赵博士一样,从 10 年开始参加计算机大会,在这个大会上我们从别人那里开拓了很多视野。但是最近,尤其是这几次跟别人谈论,感到现在存在非常大的问题,就是了解安全的人实在太少了,都是我们圈子里自己的人在互相说。我们应该还跟其他的人讲安全,否则网络安全的问题其实是
4、解决不了的。言归正传,今天我要讲的是关于新一代网络安全威胁应对的若干思考。今天我们已经不再需要争论,APT 到底是不是炒作了。今天的网络安全已经和过去不一样了,我曾经把它分为四个阶段,而如今所处的阶段,跟过去的几个阶段相比有非常非常大的不同。原来的应对思路面临很大挑战。现在已经在发生一种国际上叫做网络冲突也好,网络战争也好,技术上叫做 ATP 也好,进入到一个全新的阶段。有很多人问,APT 跟过去有什么区别?这个已经由很多分析了,在这里我不多讲。但是实际上拿“APT”描述新阶段是行不通的。因为什么是高级?高级是个形容词,就如同什么算宽带,什么算大容量?这些都是形容词,没有明确的门槛。什么算高级
5、?这个高级可能多少年之后就不高级了。因此,高级只是相对过去来说的一个新阶段。拿真实的案例来说,Stuxnet、Duqu、Flame ,高级在哪里?没有人知道它的漏洞?非常好的碎片化?加密传送?用了比较少见的编程方法?能够突破 MD5 的机制?不管怎么样,这个新的阶段,这几个东西,已经浮出水面的问题,会成为很多人学习的榜样。美国的一个无人机被伊朗搞下来,一定会被模仿,一定会学习。在现实世界里这是不容易的。但是在虚拟世界中,这些东西被叫做网络导弹或武器,是已经在各种人手里的了,所以一定会有人模仿,一定会有人得到启发,来做青出于蓝的事情。那么,他们将会怎么做?我们可能会面临很多个 Flame、Duq
6、u,但不一定是美国人搞的。但是是不是每一种攻击方法,任何人都可以做得到呢?其实谁能做些什么,也是一个问题,因此“谁”是关键问题,经常会被人忽略。aPT 和 APT 不同,正如张三和李四不同。所谓的高级就是小偷与大师不同一样,也有小的高级和真正的大的高级不同,就像张三和李四不同,不见得这里面的工具、方法,任何一个国家都可以学的来的,包括受到启发之后有很多感受,不是说谁都有条件,谁都有能力,谁都有资源,其实这些都是和我们将来会面对的高级威胁有关系,我一直比较关注的是,背后如果是政府驱动的,不仅是比较高级的间谍组织,商业情报的间谍组织或者是非常高水平的黑客团体,他们可能有哪些优势?如果是带 G 的
7、A技术优势:数学、加解密,高级攻击技术,稀缺资源各式各样的攻击技术,以及稀缺的资源。比如说,我们有黑客团体,搞新闻控制系统,找不到。但是目标在外面很少有资料,如果是政府做这个事情的话,有一些特殊优势,但他并不一定有绝对的优势。基础设施产品优势:芯片、操作系统、核心设备中国的很多芯片、操作系统、核心设备都依赖进口,但是现在是威胁摆在眼前,如果是政府在考虑做 APT,政府在认真地考虑国家之间的网络冲突,可能就会想到利用这些东西。基础设施和大型系统运营优势:基于信任关系运行的分布式系统,如域名、路由等战略数据资源大型系统依赖有些国家,它可能拥有资源,可以掌控运行整个系统,针对其他国家的攻击怎么防范。
8、路由系统也是一样,基于信任体系,在政府介入到国家之间的对抗的时候,信任体系之间的,与原来想象的信任体系就不存在了。还有一个非常大的问题就是战略数据资源,我理解美国的大数据,很多都是从这个角度来看的,本来不是从安全的角度看。因为,美国的很多公司是全球性的公司,它掌握的都是全球性的数据。日本曾经有一个学者在 10 年写了一篇美国的信息霸权,在说美国在全球数据领域里的战略优势,这种战略优势可以用在国家之间的冲突问题上。我们有很多大型系统在运行和维护上依赖于其他国家,政府要发起 ATP 的话,一般可能会利用的优势资源,一般的 A 和 a 的 ATP 里面,小型非政府组织,或者是恐怖组织想学不一定能学得
9、到的,但是政府,现在如果是被受到启发,那么优势都有可能想办法去利用。问题是,说到政府的事情,跟我们有关系吗?其实跟我们有密切的关系,因为政府发起的攻击对象,不是传统的军事领域里的军事网络和跟民用有关系的网络。我们每一个人,都会成为受害者。所以,在新一代的威胁下面或国家对抗,不再仅仅是军队和军队的事情,而是老百姓和老百姓的事情,是我们这些人也都有关系的事情。显然,应对 APT,需要更大的视野。(PPT 图片展示)这张照片,谁能猜出是什么?手掌?这个不是手掌,是它(图片)的一块皮肤,当年这张胶片是想说,想做国家级的或大规模网络的应急响应,如果你只能看到局部数据,根本就不能看到在发生什么事情。其实
10、ATP 也是这样的。ATP 的基本特点,不管是国家级,还是不是国家的,大家都基本上认可。如果绕了很多途径过来,如果只看到一部分数据,如果就看到一块,只能看到几个手指头,必须看到足够大,才能看到整个情况。实际上,ATP 看的更加明显,你看到的木马攻击并不仅仅是这一件事情,你把很多不同地方的木马放在一起,把其他的事件连在一起,可以看见这是一套完整的计划,你要看的足够大,大了以后什么也看不懂,可是看大之后,用户被信息淹没,每天就会有上千万的报警,这是当初的情况。现在的话,很大之后,数据无法处理的问题,显然这就扣到我们今天的题目,这是大数据的一种,数据的规模、类型、关系,他们之间异常复杂的关系,路由器
11、和路由器有关系,哪一个网站的运行和哪一个用户想象不到的软件之间的关系,哪一些系统和 3A(音)系统有关系等等,这些关系都是异常复杂的,这就是第一部分。APT 其实带来很多新的挑战,要想把它做好,可能要站得更高,怎么站得更高呢?有几个不成熟的思考。核心目标风险控制/管理:通过减少自身弱点和加强自身防护,提升对手的攻击难度和攻击成本,达到一个可接受的风险水平事件响应:及时发现、及时和有效的事件处置及时发现事件,能够及时并且有办法按照预想处置。面对 ATP 很多问题要解决。问题一:我们有问题怎么发现攻击,怎么更早地发现潜伏的或下一个“FLAME”?显然可以设想现在还有一些没有发现的,2012 年就部
12、署了,2012 年在干什么,可以早一点发现吗?打一个比喻,在“疾病”和“病菌” (症状和病因) ,先发现哪个?就像人体之间的关系很复杂,面对各种各样的疾病,我们回忆一下,在现实生活中是先发现人有病,还是先发现致病的细菌,幽门螺旋杆菌是 80 年代发现的,几十年后两个人获得了诺贝尔医学奖。但是,与其相关的胃炎是什么时候发现的?可能早就发现这种病,发现病毒是一回事,发现症状是另一回事,你可能觉得头晕、体温异常或者流鼻涕、打喷嚏等等,这些可能在你发现病菌之前就发现了,这是症状。所以在我们现在怎么发现FLAME,我们已经发现的病菌,发现了攻击程序,然后我们就会做一些事情,对于未来可能一个方向就是异常发
13、现,我不一定发现直接病菌是什么,病因是什么,我先发现症状是什么。异常发现将是重要基础我先发现症状是什么,但是这里面出现很大问题,人本身没有搞清楚,正常的体温是多少,血液里的正常比例是什么等等。但是对于网络来说,什么是异常?原来比较简单的流量里突然冒出一个尖峰、突然计算机死机、突然变慢了,这些都是异常。但是这些显然不够,仍有很多有新的异常没有被发现,怎么检测异常?我说的不是一个小的信息系统,而是放在一个整体来看,怎么触发调查的“trigger”是什么?你能觉得你怎么不对劲,在我们的信息系统,怎么让人觉得需要做一个体检呢,怎么做到这一点,无论如何只有想办法先从异常着手,将来几年以后,看到代码,再说
14、实施了。在国家之间,网络冲突在内部经常是完全没有办法反映的,现在国家冲突之前,手掐到脖子之前,一点反应也没有了,当开始动作的时候只需要最后的一步,你还能做什么,什么也来不及了。所以和人体一样,互联网加用户也构成一个开放的复杂系统。每个网络单元自身已经有很多不同的属性,整体网络的复杂性更高。从哪些维度来探测异常、每个维度之间的关联关系、每个维度的“正常”是什么,等等,都需要研究和积累。问题二:怎么分析威胁可能你已经发现了异常,但是你怎么把(英文)纠出来,不但把(英文)纠出来,你还要纠出来(英文)之后很快知道它的目标不是(英文) ,它的目标是我们最后的(英文)系统,这些都是现成的已经有的案例。所以
15、,找到和提取攻击代码之后,假设从第一步,做到这其实也不是那么容易的,发现异常之后,你可能发现他是一个非常庞大的攻击体系,这个攻击体系的关键信息可能并不在你的掌控之内。所以其实,到这一步,也不容易,能够拿到攻击代码,简化一下,如何分析攻击的意图。找到和提取攻击代码之后,如何分析攻击意图、攻击路径、攻击机理、攻击行为关联关系、代码体系及其配合关系等?一件事情和另一件事情的配合主动,肯定会有很多人在研究这个事情,国家之间的行为,代码体系以及其他之间的关系静态和运行的关系,运行层面的关系,谁保护谁,谁掩藏谁,怎么分析出来的。在现实里面,我们也是可以看到一些很难的问题,可能看上去,一个人身体的嘌呤可能高
16、,意味着什么呢?可能因为身体里面的对嘌呤的代谢能力出问题,是什么引起代谢出问题,可能是牙齿引起的身体问题,其他一些器官的问题,会引起这些的问题,如果是按照整体论,整体能看到的话,理想情况下比较好,现实情况下用得更多的是还原论,嘌呤高的少吃嘌呤,有炎症就消炎,牙疼治牙,但是整体论并不是那么容易,更理想的是建立他们之间的关系之后才能分析出来。对于这些应该怎么做?或许,要通过几个相互交融的深度分析,才能够挖出来。比如说,你感觉到异常的时候,通过事件、通过代码、通过宏观数据的深度分析,有可能最后把脉络理清楚。 (PPT 图片演示)这个是去年的照片,现在是在说到具体问题,代码分析包括隐藏的能力、对抗的机
17、制、编制的属性,最后,你分析出的来“谁”是很重要的。事件的深度分析,看到异常进入调查,涉及到代码的提取,控制体系的追踪,到别的地方取证,在其他地方的临时检测等,深度数据分析,指的各种各样的宏观数据分析等等。问题三:怎么评估风险如何感知复杂的、相互依赖的网络与系统自身的脆弱性,从而加以改善?举个例子,我们在做大量的网络单元的风险评估,每个系统都是安全,放在一起就不安全了,网络单位之间的有很复杂的关系,没有人能说出来整体的风险是什么。如何评估一个具体的威胁,对整体网络与系统带来的风险以及应对建议。做了很多年漏洞的处理工作,至少有 10 个环节的处理工作,但是有谁是从整体来做的?所以,不是不想做,是
18、整体非常难。很多事情,我们都求新,不断出现新概念,旧的东西没做透就做新的。APT 是不是在做新概念无所谓。我们来拿具体例子说,2009 年暴风影音事件还会不会出现?事件过去之后,我们说的挺热闹,就过去了,直接的影响是国家开始重视域名系统的安全,把域名系统列入到二级单元以上,要求风险评估和风险评测,仅仅这个就够了吗?大家可以去看一看暴风影音,仔细分析会发现这些根本就不够,这里边影响的环节非常多,类似暴风影音这样大规模软件里的(英文) ,可能会影响到我们的问题,对于非常重要的网络之间的服务系统之间的流量估计不足,会影响这个问题,对(英文)处理手段不足,会导致这个问题。这些都是关联在一起的,风险依然
19、在这里,下一次出现,可能还会因为小黑客之间的恶意竞争导致,也可能因为敌对的组织国家,有目的的引起,可是我们认为这个事件过去了,就去忙新的概念了。因此,大数据受到什么启发:这其实比较像社会计算,社会计算里试图把社交关系,分析刻画出来,在这个基础上面,用于安全分析。我们的网络+用户本身就构成复杂的系统。在美国有一个图,最上面是物理社会之间的关系和人之间的连接关系,一共五层。再举个例子,其实我们在中间这一层,在网络信息系统,网络社会和用户之间也构成一个复杂关系,分析清楚的前提下,才有可能做整体的复杂网络的风险评估,这些是社会计算的问题。问题四:怎么响应控制,怎么做才能控制风险,应对威胁、赢得对抗。和
20、现实社会中的病毒有点像,发现特效药之后进化,进化之后,他会发生一种新的对抗。我们现在的安全,我们背后有对手,只有一种情况没有对手,就是打哪指哪,不是专门冲着我们来的。专门冲着我们来的对抗的都是对手。对于我们刚才的前提,我们现在面临的复杂系统,本质上变成复杂的系统控制问题。是不是早睡早起身体好?是不是抽烟喝酒就短寿?都不是单一因素,都是很复杂的因素,但是这个因素是什么,没人能搞得清楚。复杂系统控制的最后的结论是, “综合集成研讨厅”,到底应该怎么实现,并没有特别成熟的,大家共同认可的做法,但是方向还是好的。基于(英文)的安全,再看(英文)总裁提到的,面对 APT 的方法,最后一看就是钱老的综合集
21、成研讨厅了。难点是什么?全球视野:看似解决局部的,自己的问题,其实需要瞄准的不仅仅是局部和自己的状况,而必须是全球的,多方面的数据和信息情报,以及面向全球的更多领域的战略战术和策略,前段时间讲 APT 需要 BPT,只是一张照片。一看美国那些公司一做全是世界的,现在看是有道理的。我们要想解决中国的安全问题,需要关注全球的问题,我们需要的是全球的数据。全面感知:基于多渠道、多维度宏观数据信息分析下的高位感知,我们国家整个安全是什么样的,我们可以看到,在卫星上我们国家的森林面积变化情况,我看不见具体的原因是什么,一直没有解决高低位的问题,高位要多渠道、多维度,不管是技术数据,还包括其领域的数据情报
22、,同时要结合多维度的低位信息的支持, (英文)总裁的结构里面,就可以看得见,底层增加的网络摄像头,不再仅仅拿着我们安全设计采集到的数据,拿到比这更多的数据,才有可能发现异常,并且要能够实现某种程度的双向配合来完成迭代式的感知。之后得到更多的信息,又下去,去采取更多的,分析更多的,这样一个循环过程,才会发现异常。深度知识:必须建立对复杂巨系统自身以及各种攻击威胁相关的深度知识,才可以做出准确分析评估和科学决策。综合集成研讨厅,相当于人的大脑,对一个事情完全没有见识,见到老虎觉得是小猫,觉得很好玩,这肯定是错误的,知识的种类非常多,要求也非常高。快速及时:够快才行,在大数据、复杂场景与各种各样的可
23、能的攻击威胁下,还要够快才可以解决,这可绝不仅仅是技术问题。我们国家应对 APT 全面的能力确实是问题。问题五:全面的能力缺失如何弥补当然就变成一个问题,如果技术能力不够的话,很遗憾,这些基础是在每一个环节,每一个环节我们都发现有不适应今天的 APT 的问题。今天不再展开讲了。怎么解决这个问题,跟过去相比,单打独斗无法应对,需要形成深度知识,怎么形成?这些知识,分布在各位的大脑里,分布在企业里,分布在高校里,怎么才能形成支撑,形成知识并不是目的。集成集中在脑子里,脑子是集中思维,同时要辐射下去,最后解决安全问题,不是依靠集中的,是依靠我们各位和各个用户的。资源怎么建设,支撑的资源,数据的,测试
24、验证,怎么来建设,资源建设好以后,一定是整合。有很多的高校有自己的资源,怎么整合形成一个更大的航母,有了航母,飞机不行,飞机行了,航母舰队还没形成,我们怎样整合,整合以后怎么共享。另外,队伍的建设(人员的建设) ,每次去(英文)又有几个高手到美国去了,支援美国去了。与此同时,刚才说的不足,归结到人的本身不足,培养体系有问题,有些非常需要的人,没有人去培养,因为看不到能挣钱的机会。部门的建设部门的配合与分工。需要灵活的联合研究机制开放的实验验证资源长远的人才培训计划合理的合作供应方案更加灵活地包括企业高校,来解决我们需要一块联合突破的问题,我正在建国家级的网络实验平台,非常大的国际项目。但我不希
25、望只是放在那里,怎么用起来,属于稀缺资源,让我们同行都可以用起来。我们非常稀缺代码的分析深度人员,非常紧缺专业的安全测试人员,这些在高校里不会很重视, (英文)拿到中国, (英文)还要几年分析完,中国需要多少时间,我们的分析报告依赖国外。企业是非常重要的一支力量,怎么样在联合的情况下,不损害企业的利益前提下,让大家愿意联合。(PPT 演示)这是我们的项目的架构,未来某种形势的(英文) ,在最底下会有各种各样的信息情报来源,中间的是,非常庞大的最深度的知识,国家基础数据综合情报与知识等等,旁边支撑运用知识的,做研究实验、测试验证的一套系统,它不仅仅是集中式的,它应该是能够和我们各种各样的实验验证
26、平台,能够互联互通的,互相配合的非常大的体系。右边是一支最精英的团队,网络安全高手,我们必须承认现实,我们要凝聚这样的力量,作为核心团队,利用我刚才说的模式,把核心团队的知识形成真正的高级的知识,通过某种方式辐射出去,最后造福于大家,大概是这样的模式,我的介绍就这么多,谢谢大家。赵粮:我们现在提一个问题,大家有什么问题?提问者:您的报告站在国家的高度,怎么从国家的层面应对问题,跟我们工作有关,作为我们企业来讲,我们很多用户是企业用户,不会是您所说的大用户,现在的产品满足不了要求,企业用户没有那么丰富的国家资源,作为企业的用户怎么做才能够对现在的APT 起到一个很好的检测和预防作用?杜跃进:这就
27、是我要呼吁的,找不到联合的方法我们就没有出路,企业所面临的APT,企业也可能会面临的真的大的 APT,国家对某个公司感兴趣,是国家行为,其实面对的是大的 APT,它们的区别,大的 ATP 是真正的国家在背后有组织的行为,小的 ATP 是高级一点的黑客行为。所以,第一企业并不一定不会面临大的 APT,但是企业在你确定我们只掌握一部分的资源,只拥有一部分的能力是没有办法对抗真正的国家级的,因此未来就是想办法,其实是一种倡议,我这里的资源也不完备,怎么才能让他用起来,企业之间形成联合的机制,当然企业关心的是利润,找到一种机制,不能导致企业黄了。我的态度就是,大的下去,一条条小河汇成大的河流,汇成大海
28、。怎么做现在还需要探索,包括实验平台,我是需要办成一个和很多地方共享的连接平台,攻防技术,一些非常专业的分析人员的培训和测试技术的研究等等,联合企业和高校用一种比较灵活的方式一起做,可能想有一点理想化,现在看到,如果做不到的话,就只有被动挨打,因为与其他国家优势相比,我们实在是太被动了。赵粮:限于时间,不能讨论了,我们代表论坛感谢杜博士的精彩报告。在前不久成都召开的 RSA 大会上,陈钟教授就 DNS 安全准备的报告得到了非常热烈的响应,当时的报告,是由李清山(音)老师代讲的,今天我特别邀请到陈教授原汁原味的讲域名安全与数据挖掘。陈教授是网络安全的前辈,是北京大学教授、博士生导师,北京大学计算
29、机系主任。陈钟:赵博士非常会安排,前面杜跃进讲了一个很宏观的, (英文)我本人也是非常赞同。尤其, (英文)的一个事情,讲到域名安全与数据挖掘,可能是在解剖一个小的麻雀。我在北大念书的时候,最早的念到(英文)源代码,看到域名解析,这个程序并不大,没有想很多事情,随着互联网的规模不断生长,这个小小的程序变成了基础设施,不仅是基础设施,变成了随时随地可能被恶意利用或者被攻击的手段。我从三个方面来分享:一域名系统的安全,二恶意利用域名的安全分析三恶意利用域名的检测研究从域名来看,互联网基础设施,实际上干了个非常简单的事,从一个名字到翻译,IP地址的翻译,基于这个东西的上面,有大量的互联网的应用,本身
30、来看,域名解析本身是一个服务,知道这块的时候,并不是放在核心里面,作一个非常重要的代码,是一个应用,操作系统之外的应用。但是我们说它重要的是,又看到域名系统和互联网应用的平直方式,支持互联网应用的丰富,以及在这个上面的标识,甚至顶级域名标志一个国家的战略资源的角度来看。暴风影音,域名受到攻击而产生蝴蝶效应的很重要的反应。实际上看到顶级域名在国际上的分类,通用顶级域名,国家和地区顶级域名,基础设施顶级域名,国家级的 291 个,实验性的 11 个。对于顶级域名系统及软件统计,详细了解可以看报告。在实施域名解析的软件里,列了一些有 95%左右,在操作系统的分布上有 70%在(英文)家族上面,也有一
31、些其他的等等。大家也知道域名的解析分为权威域名和递归,这两个层次,权威域名的服务器,看到在中国的二级以下的分布不同的地方(PPT 演示)分布的情况:(英文) (英文) (英文)报告上都有一些详细的内容,我不详细多说。递归域名服务系统分析, (PPT 演示)服务器解析软件分布的情况,递归服务器协议支持程度分布。递归服务器断口随机性统计,中国大概有 4%的递归域名服务器断口随机性交叉,占全球平均的 0.98%,也是容易引起攻击的一个安全的隐患。回顾一下,看到近几年域名安全事件,09 年 5 月 19 日,暴风影音的事件,6 个省大面积的断网,20 个省网络运行缓慢,之后还有一些域名注册商遭受攻击,
32、导致 20 万以上的域名无法解析。国际上也有一些,域名注册机构受到攻击, (英文)雅虎、可口可乐大的公司的网站被定向到恶意的网站上。日常维护当中,出现的这些错误,导致的域名服务本身出现故障,导致整个互联网的瘫痪。在瑞典的例子, (英文)也受到攻击,从这里面可以拿到一点例子,跟大家分享一下。这里面看到百度 10 年 1 月,百度在美国的域名服务器在授权记录遭到篡改,百度这一天发生了激烈的域名争夺战。我们看到域名这样一个简单的互联网的基础服务,但是带来了很多的风险,这中间包括了管理不善的漏洞,NAS 软件泄漏, DDOS 攻击,客户端系统和网络漏洞,带来域名访问者的风险,所以,基于域名的攻击威胁进
33、行分类,对攻击手段进行分类,对漏洞的情况作了基本的分类,这里面涉及到隐私泄漏数据破坏,拒绝服务。 (英文)协议缺陷。包括性能和存储区域破坏这样的一些的漏洞利用的方式。攻击手段包括的,像中间人,资源耗尽,缓存,解析,分析的域名劫持和攻击的缺陷,客户端攻陷这样的问题。早期的时候,看到 DNS 比较典型的缓存投毒,达到典型的域名劫持的这样的一种攻击,针对的是本身的安全缺陷, (英文)PPT 演示,用户对域名的解析的请求和权威服务器进行通讯。中间的话,看到授权的相应的产生的结果,传导前面的。对这个当中进行缓冲区,毒化攻击,就可能在交互的过程中,把人为的域名的解析结果进行篡改,IP 地址被篡改之后,访问
34、的域名的实际所对应的服务器就变化了,还有一个地址欺骗和 NAS 放大结合起来。我们现在的安全在学校一些的课程里面,把这些东西让学生去练习,DNS 发 60 个字节左右的请求,回复最多可达 512 个字节,流量可以通过特定的查询可以放大,如果放大以后,把反馈回来的信息导向政府的网站,或者我要攻击的网站,可以(英文)了,巧妙地把攻击流量间接地攻击,细节不多说了。519(英文)供应商,域名服务器做的解析很正常,托管在电信运营商的主机房里。他所做的域名的结构,看到暴风影音跟域名到下面的这样的结构。519 事件在 18 日的时候,遭受了拒绝服务攻击,主站无法访问,但这一天并没有影响到广大用户,因为缓存服
35、务器把一定的域名解析信息排在有效期之内。这个时候,大家还没有感到,但是由于它的服务器,遭受到了(英文)攻击,这个流量超过了 10G,影响了电信运营商的其他业务,因此,电信运营商,采取了最粗暴的方式,把网线拔了。到了 5 月 19 日,缓存到期了,所谓的这里边请求更新,缓存过期,这个时候,所有的解析就要超时重试,DNS 插叙(音)不仅是他本身的问题,影响到大面积的问题。回过头来说,暴风影音,小的软件检查的域名,每深入时看到,当你的用户是 1 亿个,10 亿个,这个时候,可想而知,力量很大,这一点被认为暴风影音设计上漏洞的造成的一个这样的问题,问题的发酵时间在后面,在 50%以上的查询是针对暴风的
36、域名设计的。百度域名事件 2012 年 1 月 12 日,顶级域名是境外,看到当时,李彦宏(音)中间,跟大家有一个微博的交互,我们回顾当时的报道,中间有一个拉锯战的问题,实际上是什么样的问题,百度服务器好好的,但是访问不了,不能访问,这个时候,我们看到,域名实际上是解析被劫持了,后面有好多,百度被修改成雅虎,当中的百度的解析曾经指向了伊朗,指向了很多这样的地址,直到后来才有一些怀疑,当时到底是谁干的,是什么目的,我个人认为没有一个非常精确的定位。当域名是被定向到雅虎的时候,从当时的域名的查询里面可以看到,所以我们看到DNS 系统本身有脆弱性,但是对于它查询本身是个小请求,对它进一步的处理,可能
37、要作字符的查找,可能你的负载会很大。我们看到一开笔记本可以发 20 万个请求,但是,服务器的响应会慢,你的成本会很高。DNS 查询式的攻击数据图表展示。给出的都不是正常的查询,任意的这样的一个域名串,我们可以看到包括,ITF 并不是不想解决这个问题。利用密码手段做的事情。互联发展如此之快,在域名服务上,哪怕是小小的动作,甚至中间的几十个指令的处理,都可能会导致整个性能的延迟,特别是对负载特别大的域名的解析。实际上,到现在,DNSSEC 的部署并没有完成,人们担心这个时候,加剧 DDeS 系统的危害性。域名系统严重防护思路,并不是没有在做,而是做的还没有一个更好的解决方案。意识、制度、技术手段等
38、可能还有很多其他的问题,所以业界关心的重点就是说,域名系统造成的无法工作,甚至更改,一方面问题是针对域名本身,另一方面利用域名来做一些攻击,做一些其他的恶意行为,可能合法的利用域名的解析,但是实现非法的目的。比方说,用来控制江苏网络,江苏网络可能是重要的武器,这个时候,用到域名通讯的问题,有关这方面的情况。利用域名系统从事的各种恶意行为包括网络钓鱼更多建筑,ICBC 变成了 ECBC,看起来很像,明明不是这个网站真实的域名,但是里面很多东西,长得很像,你就输入帐号密码,把密码劫获, (英文) 。僵尸网络控制, (英文) (英文) 。域名合理利用的手段上,用于僵尸(音)网络控制。域名转嫁供给。受
39、攻击方恶意把流量转嫁给无辜者。恶意代码的传播。 动态的域名这样的服务的功能。关于钓鱼网站,怎么架设,怎么欺骗方式,目前看到网络钓鱼范围涉及到银行交易,包括伪造大型网络,窃取邮箱、QQ,伪造一些品牌企业进行诈骗活动,这里面有很多的研究,包括国际上也有文章发表,中国的教育网站统计的话, (英文)报告里边涉及到这一块,看到 3 月到 12 月网民的钓鱼网站的域名多达 3841 个,在境内和境外都有相应的分布。域名转嫁攻击。这件事情,可能有的同仁,了解到 10 年 4 月份的时候,看到一个,广州市公安局长警侦网网站被攻击,被攻陷瘫痪,查出来转嫁攻击的是浙江泰山的一个男子,他被抓了。他是一个自学成才的网
40、络高手,在网上做出租域名和网络空间的小生意,还不错,生意越做越大,一个月能赚一两万,黑客就盯上他了,不断向他服务器发起攻击,导致他的服务器瘫痪,无奈之下,他把修改域名的解析的记录指向了广州市公安局的警侦网,使其无法访问,问他为什么这样做,他还解释说,我这样做是为了让你们重视,你们肯定会去追查,查到幕后黑手到底是谁。僵尸网络,我们看到了每年的报告里都有相应的统计,通过各种手段在大量计算机当中植入特定的程序,使控制能够集中,直接向大量计算机发出指令攻击网络。其类型已经有若干了, (英文) (英文) (英文) (英文)自定协议,结构化(英文) ,无结构(英文) ,随着僵尸网络剖析和域名监测,这个当中
41、的域名和相关的关联,利用僵尸网络作了很多,最简单的如垃圾邮件,可以获得经济收益,发动拒绝服务的攻击,甚至滥用资源,窃取隐私和秘密这样的一些情况。我们看到,中国僵尸网络的现状。 (PPT 演示)11 年时候,发现境外 4.7 万个 IP 地址作为木马威胁,境内受控的数字,10 年由 500 万增加到 890 万主机的情况,位于国内主机控制数据的榜首。分析监测方法。做这种发现,这的确是一个很困难的问题,在域名上主动检测和被动检测向结合,与集中式检测并举,分布式检测与集中式检测并举,进行数据挖掘和机器(音)学习。检测合法的利用域名的恶意活动。域名的恶意利用,流量夹杂在正常的域名流量中。根据不同恶意行
42、为的特点,确定其域名本身的特征和访问,进行检测请求的特征。将 DNS 数据记录下来,根据上述特征,在记录数据中率选出恶意行为,利用所利用的域名。我们看到 DNS 数据的记录,对恶意行为的特征的提取,对数据的过滤,我们才能够完成对恶意的行为的判断。利用域名隐藏自己的僵尸网络僵尸网络对域名系统的利用,主要是动态域名技术, (英文)和(英文)来标识控制服务器,以隐蔽和迁移控制服务器。利用(英文)域名生成办法,可以生成大量的域名供(英文)使用,域名本身具有随机性,即按照某种规则在所生成的域名集合中,挑选部分域名进行注册和使用,从而延长(英文)生存时间。BOTNET 生命周期,在僵尸网络的研究里面,实际
43、上,包括在 2010 年邀请(英文)的系主任,他们的团队曾经把俄罗斯的僵尸网络控制权夺取了,夺取了大概一周左右,取得了大量的信息和数据,在国内进行分享。因此,对一定的(英文)的结构,有一些跟踪和分析的研究,由于时间关系不展开讲了,反应到域名的话,一个正常的域名通常使用的在时间轴上,是有一个正常的分布,控制僵尸网络的某些域名是在特殊情况下使用,在时间上呈现纵向的结构,找到这样一些规律后,可以对类似(英文)做域名生成的僵尸网络的控制和分析,能够找到这种特征,从自上向下的形态(PPT 图片展示) 。这些在国内有一些检验的效果和认证,比如说,运营商,我们看到这个检验环节,一天处理 5 千万条的域名解析
44、记录,多数为不良网站、黄色网站黄色网站、私服等。当中疑似僵尸网络结果数量 20条左右,经验证,确定 50% ,误报 10%,不确定的有 20%-30%。公开发表了一些结果,对实验数据的情况。利用域名进行钓鱼攻击的检测原理常用方法,URL 的混淆 在 URL 中加重定向,使用社会网络攻击,绘画劫持,DNS 投毒等方式。在运营商网络中的验证对疑似的域名,获取其网站首页内容,与所监测域名对应网站进行内容相似形对比,提高准确性,这就是所谓钓鱼网站的内容。大数据采集、存储与处理的挑战全球来看域名服务器的总量 16306432权威服务其和递归服务器,大概活跃的服务器数量 1375219 国内域名服务器总量
45、 978713 活跃域名服务器数量 67235 建立实验大平台,我们能够把它存下来更长时间的数据,在这个当中进行分析和挖掘,我们相信会掌握更多的一些结果,会发现一些未知的和域名控制相关的攻击手段。小节:僵尸网络是目前互联网上最大的威胁之一,通过研究和实践,提了一种基于domain FlUx 域名的僵尸网络主动发现与鉴别技术。钓鱼网站能够直接给受害者带来巨大的损失,通过研究和实践,提出了集中通过被动域名检测来发现和鉴别钓鱼网站的方法。我们从今年的北大计算机系二年级开始,上一门很有深度的课程,理解计算机系统,这门课很不容易,院长带了 4 名教授,上了暑假的集中的课程,针对的是三年级的学生,这个学期
46、开始,有 6 个讲师讲大课, 14 个教授带小班,我的小班有 12 个同学,星期四晚上不能缺了这个课,这个课最主要的方面,在讲(英文)内存结构的时候,开始讲安全,讲(英文) ,讲里面的和安全高度相关的一些编程技巧问题,这里面有 7 个(英文) ,我个人认为非常适合保送和考入到北大的学生,每一个动手的项目,很具有挑战性,刚做完的是炸弹项目,找不到炸点就会爆炸,现在的服务器就在(英文)控制,CMU 两边在 PK,在比较,我们能不能用别的方式让网站,想让炸弹不跑。炸弹就停在那不动,到时还要爆,给学生非常大的挑战。我相信,如果刚才杜博士所说的,最基础的、最优秀的学生,我们相信三年、五年、十年以后,所说
47、的人才不足的问题一定能解决,也一定要解决。谢谢大家!赵粮:陈博士给我们讲了很多令人激动的信息,陈老师给大家回答几个问题,大家有没有问题要问陈老师的?如果没有提问的话,论坛结束的时候,大家再讨论!我代表大会感谢陈钟老师的精彩报告。接下来,我们就有请第三位讲者,他一直坐在后面,大家没有注意到他, 大家从手册上面能够看到,他的网名是江海客,真名肖新光,他是国内知名安全团队安天实验室的创始人和首席技术架构师。江海客可能是业界最受欢迎、最有黑客范的讲者了,每次报告都会给大家带来很多收获和启发,每次都是用他硕大的笔记本电脑做报告,这个电脑是我见到的最大的便携式电脑,下面时间交给江海客!APT 对传统反病毒
48、技术的威胁和我们的应对尝试安天实验室 江海客(肖新光) 1. 引言APT(Advanced Persistent Threat,高级持续性威胁)是我们目前非常感兴趣的方面,我们也曾多次在公开场合谈论 APT,而与上一次在 NINIS(国家网络信息安全技术研究所)的安全威胁论坛中总结我们 APT 样本分析的一些不足相比,我们已取得了更多实际的工作进展。今天我想站在传统的反病毒从业者的角度(而不只是站在一个分析者的角度)再进行一次自我的分析和反思。无论是谈 APT 还是谈任何安全威胁,以至于谈到任何安全问题或安全事件,都脱离不开几个基本的要素。像一切其他事物一样,安全事件的要素必然也包括:时间、地
49、点、 “人物”等等,这就引出了我们今天要讨论的话题:试想在 APT 时代的时间、地点和人物观,与在传统的病毒时代的时间、地点和人物观之间有什么不同。 对比之“时间”首先让我们从时间的角度回顾一下更为传统的恶意代码。在感染式病毒、DOS 病毒基于磁盘传播的时代,最早的恶意代码是由于人与人之间或设备与设备之间简单的介质交换产生的,这是一个极度的慢速扩散的结果。而“时间”这个概念真正被提升到反病毒工作者的意识日程上,则是在蠕虫时代到来之后。杜跃进博士曾把恶意代码断代划分为蠕虫时代、木马时代和窃密时代,我的理解这是一个从“以传播手段为主导”向“以对象目标为主导”的演进。尽管上世纪 90 年代末,类似 Melissa、Happy99 等蠕虫已经出现,但所谓蠕虫时代多数人基本认为是从 2000 年开始的。病毒名称 释放时间 发现时间 CodeRedII 2001 年 8 月 3 日 2001 年 8 月 3 日 冲击波(Blaster) 2003 年 8 月 11 日 2003 年 8 月 12 日震荡波(Sasser) 2004 年 4 月 30 日 2004 年 5 月 1 日 Zotob 2005 年 8 月 13 日 2005 年 8 月 16 日 Nyxem 2006 年 1 月 20 2006 年 2 月 3 日 表 1 蠕虫时代此处我们列举了从 2001 年到
