压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

譚曉生：謝謝。今天每位嘉賓的演講時間比較短，大家都是業(yè)內(nèi)人士，能省的我比較快的過，未來的戰(zhàn)爭形態(tài)打網(wǎng)絡(luò)戰(zhàn)的可能比較大，投入產(chǎn)出比比較高，結(jié)果也比較可控。對比2011年，國外的數(shù)據(jù)，第一的攻擊對象是政府，第二是激進(jìn)分子，再往下會是重型器械和航空、財經(jīng)、航天等等。2012年Bit9的一份報告里顯示政府依然排在第一位，但是往下排序有一些變化，零售與消費(fèi)業(yè)務(wù)企業(yè)，律師事務(wù)所、醫(yī)療機(jī)構(gòu)和工業(yè)部門，政治因素偏多會越來越多的向商業(yè)因素偏多，企業(yè)或者有敏感信息的這些部門逐漸的會變成攻擊的對象，往企業(yè)方面偏移會是一個趨勢，這是個好事兒，諸多的企業(yè)會有信息保密的需求。

今天防護(hù)的終端也多了，我們今天的網(wǎng)絡(luò)邊界也擴(kuò)展的非常之大，對網(wǎng)絡(luò)安全的挑戰(zhàn)也跟著來了，這些攻擊方式及ATM上取不出錢，電視臺節(jié)目停播都發(fā)生過，今年3月份韓國的事件等等，所有這些都可以是一個網(wǎng)絡(luò)戰(zhàn)打起來由于網(wǎng)絡(luò)攻擊造成的結(jié)果。

互聯(lián)網(wǎng)安全現(xiàn)狀從我們來說Windows下面的漏洞叢出不窮，今年3月份報的漏洞現(xiàn)在還沒補(bǔ)，洞很多，補(bǔ)的也很慢，明年微軟對XP會停止更新，安卓的系統(tǒng)更加糟糕。蔣西炎（音）教授挖了一堆的安卓的漏洞，他們評價感覺安卓系統(tǒng)的安全相當(dāng)于十年前的Windows，意味著未來會挖出更多洞，前面有若干被黑的事兒，嵌入系統(tǒng)逐漸變成被攻擊的對象。投入越多挖的洞越多，現(xiàn)在比較尷尬，要不要投入更多的錢挖出更多的洞。

結(jié)構(gòu)天然的缺陷會造成計算機(jī)的漏洞很難被徹底解決，新的計算機(jī)結(jié)構(gòu)出來并且被驗證為更加可靠之外，這個洞會叢出不窮的。網(wǎng)站的漏洞也特別多，360庫帶計劃今年收了2000多個洞，經(jīng)過驗證已經(jīng)支付了800多洞的錢，實際檢測下來70%的網(wǎng)站是有洞的。

數(shù)據(jù)防泄漏現(xiàn)在企業(yè)非常重視，看解決方案國內(nèi)比較有名的易塞通等幾家，第一難用，在DLP解決方案還是挺欠缺的，這個有待在產(chǎn)品上或者產(chǎn)品的理念上有一些大的革命性的東西，到現(xiàn)在這些東西還都不行。

面對這種挑，過去IDS有效性存疑，這些我測過也買過，測國國內(nèi)不只一家，當(dāng)時我們手里有的是木馬，遠(yuǎn)程木馬扔十個進(jìn)去，一開始檢測出五個，我們告訴他有五個檢測不出來，三天以后說這五個能檢測出來了，再拿十個扔進(jìn)去差不多又能檢測出來一半，后來圈里的人說這已經(jīng)不錯了，我們十個只能檢測出三個，如果IDS是這樣防御效果，尤其APT的場景下，你逮住樣本的概率就會比較少。

APT的特征相對來說，一個是用的方法多種多樣，另外是長期持久的。怎么解決它呢？我本身負(fù)責(zé)360自身的安全防衛(wèi)，我們覺得這件事兒要干好有四個假設(shè)，第一個假設(shè)就是系統(tǒng)有漏洞還沒被發(fā)現(xiàn)的，既然有這個洞，問題就轉(zhuǎn)換到如果要防洞這個洞的利用過程我要能發(fā)現(xiàn)。今天我還不知道的洞，未來別人攻擊的時候，被利用的時候我要能知道有人在利用這個洞，這是第一個假設(shè)。第二個是管理怎么都解決不了安全問題，總是有人不打補(bǔ)丁或者他出差了今天是補(bǔ)丁日，各種各樣的機(jī)器沒有打補(bǔ)丁，補(bǔ)丁沒打完或者別人忙別的把打補(bǔ)丁停了，就有補(bǔ)丁沒有打的，還有系統(tǒng)已經(jīng)被滲透，你不能假設(shè)今天的系統(tǒng)是干凈的，在我們做企業(yè)應(yīng)用的時候，和產(chǎn)品人員吵了很久，他認(rèn)為可以按照今天有個安全期限，你不能認(rèn)為今天的系統(tǒng)就是干凈的。第四是員工不可靠，不能相信員工。員工有可能本身是個間諜，有可能被人收買，有可能網(wǎng)上認(rèn)識一個女孩，這個女孩對他發(fā)起了攻擊，這些都是可能的，不是不相信這個人的人品，而是他本身在企業(yè)安全里你不能相信他是一個安全的。

攻擊的防御思路云+端+邊界，邊界和端這兩個大家討論了很久，在云里360最早的引入了云端防護(hù)的東西，從早期對個人的云查殺，其實就是利用了木馬非常爆發(fā)流行的時候，最高峰我們逮了一千萬只不同的木馬，不拿云處理基本上是不行的。后來我們在云端的處理上做了很多事情，大家可能不知道，比如你一天逮了一千只木馬，怎么分析，怎么檢測，今天說的技術(shù)或者虛擬執(zhí)行，從2009年到今天360內(nèi)部已經(jīng)用了很久，現(xiàn)在一天還要逮30—50萬只，這些分析怎么做的？今天把這東西怎么讓其他企業(yè)用起來。

云端過去相對來說比較差的，將來端的防護(hù)依然不可少，邊界上會加一些比如所謂的假設(shè)設(shè)備，但這個設(shè)備更多的是信息收集和最終產(chǎn)生阻斷的設(shè)備，這里面大量的驗算要在云上完成，不管私有云或者共有云，一定要有足夠的存儲能力和計算能力。將來的防護(hù)這三點(diǎn)不同設(shè)備，不同長嘎的解決方案，軟件、硬件聯(lián)合起來使用，不見得是一家的設(shè)備，有哪一家能出全套的解決方案是不可能的，安全的防衛(wèi)只可能細(xì)分，細(xì)分之后每個鏈條都要做深。

最后我們在大數(shù)據(jù)之前，我們認(rèn)為網(wǎng)絡(luò)攻擊的，人對數(shù)據(jù)不足夠敏感，但是對圖形非常敏感，我們今年和研究機(jī)構(gòu)做了一些合作，在APT的過程中數(shù)據(jù)展現(xiàn)你真正轉(zhuǎn)化成合適的圖形專線的時候人一眼看過去就不對，但是看數(shù)據(jù)流費(fèi)勁多了，這是要下大工夫做的。

在技術(shù)之外做產(chǎn)品的體驗方面，我們覺得這也是要大力的改進(jìn)，過去的企業(yè)級產(chǎn)品尤其是難用的。

大數(shù)據(jù)我們是怎么做的，這是360的一些數(shù)字，每天100G帶寬定包，360內(nèi)網(wǎng)有3.2G的，外網(wǎng)對日常，100來G為用戶提供Web服務(wù)的，其他的下載不管，因為我下載客戶端，客戶端要重新校驗，發(fā)現(xiàn)文件不對就扔掉，不會真正產(chǎn)生太大的惡心果，Web服務(wù)一個是攻擊的對象，滲透之后對外產(chǎn)生的連接更多的會在這里產(chǎn)生，每天我們存儲50TB的數(shù)據(jù)，對于攻擊的響應(yīng)時間10秒，一天結(jié)構(gòu)化的數(shù)據(jù)是四千億條，這是360自己的基礎(chǔ)架構(gòu)針對攻擊的防范上實際的數(shù)據(jù)，數(shù)據(jù)全是真實數(shù)據(jù)。

對于Web的攻擊一些防衛(wèi)的東西，第一我們要區(qū)分連接型攻擊，比如掃描、CC攻擊，爬蟲怎么識別，Web攻擊怎么識別。首先把Web訪問數(shù)字化，首先是IP域名，UII，每15分鐘的訪問合并到一個Session，計算Session里的訪問特征，訪問次數(shù)，訪問深度，訪問寬度，Agent個數(shù)，Get文件訪問比例，靜態(tài)文件訪問比例，非200請求比，分7個度量數(shù)值看。

這是正常的網(wǎng)絡(luò)訪問情況下同一個Session對相同域名的請求數(shù)字，已經(jīng)把頭部上面很高的數(shù)字砍掉了，就是一條直線上來的，砍完以后，大量的訪問就是一兩次，非常集中，15分鐘之內(nèi)對一個IP的訪問是非常集中的。

URIPATH里斜線的訪問。靜態(tài)文件的訪問有一定的比例，因為你通過瀏覽器打開這個，它會下載一個Jpg，下載一個css，這個靜態(tài)文件有一定的量。

非200訪問請求比例不會很高，人們正常訪問一個網(wǎng)站的時候。

網(wǎng)絡(luò)掃描行為，深度不是很深，寬度也不是太寬，靜態(tài)文件基本上不抓，帶有嘗試的探測性質(zhì)，這種概率分布判定它就是掃描。

爬蟲深度深一點(diǎn)兒，寬度也比較寬，抓那東西只要不做圖片搜索它也沒有什么意義，它抓取的靜態(tài)文件比例是很少的，爬蟲是按圖索驥，只有在一些新的嘗試的時候會有失敗的比例，但這里面其實比例不高，這就是爬蟲行為。

攻擊行為是在不同的域名下出現(xiàn)同一URI次數(shù)，因為它是用攻擊的一個URI，相通的域名下不同的URI出現(xiàn)相同value次數(shù)，相同域名下相同URI不同參數(shù)下出現(xiàn)相同值次數(shù)。我們從分布上可以看到這樣的狀況。

用這種算法我們識別出來的攻擊，拿眼睛一看就知道大部分真的是攻擊，這是攻擊的模式，識別出來的東西。針對一個網(wǎng)站，它里面各個頁面，用機(jī)器識別異常的網(wǎng)絡(luò)訪問，用戶對一個網(wǎng)站訪問，其實是會有概率上分布的特點(diǎn)的，它會分布在高概率的大家都經(jīng)常去的地方，如果有的訪問是散還，除了高概率的地方還大量散到其他地方，這個就比較異常。

用機(jī)器識別的網(wǎng)絡(luò)異常行為，左邊是端口，這個訪問涉及到多少個端口，第一個235個端口肯定有問題，還有一千多個端口，一般人的訪問怎么會訪問那么多端口？dip深度多少，寬度多少，最后結(jié)束RN那么多，都是異常，通過這一系列的東西去找異常，這是機(jī)器識別的異常的網(wǎng)絡(luò)行為。

這里面第一是有海量數(shù)據(jù)處理的東西，分布式并行計算，半監(jiān)督學(xué)習(xí)，SVM、決策樹，神經(jīng)網(wǎng)絡(luò)，決策樹在里面貢獻(xiàn)最大，這是以前的萬兆Web中心監(jiān)測系統(tǒng)，其實是從交換機(jī)端口到鏡下，鏡下不夠用了我們就用分裝設(shè)備，裝完包進(jìn)行清洗，再把數(shù)據(jù)存下來做Session的規(guī)劃，有一個阻斷機(jī)制。

能夠做這件事兒的主要是依賴360過去做業(yè)務(wù)的過程中已經(jīng)建立起一個比較好的大數(shù)據(jù)平臺，Map? Reduce的平臺，同時建立歐拉的平臺，一些算法、分類、聚類，各種各樣的決策樹都在里面，實時計算系統(tǒng)，Storm等等這些東西。

存儲規(guī)模超過1.5萬臺，Storm計算超過1.4萬臺，有這些東西看起來像個土豪，可以干基于大數(shù)據(jù)分析的事情，在辦公室存三個月過去網(wǎng)絡(luò)訪問的數(shù)據(jù)，對它反復(fù)的挖，找出中間的攻擊。謝謝。