日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

溫故.2006——這是一個充滿預言、讖語和詛咒的年代，這是一個人人皆神、諸佛俱死的年代，我自己也曾因某個只言片語的應驗，找到先知先覺的感覺，但推敲起來才發(fā)覺自己的狂悖。因此，今天我想認真回顧一篇2006年所做的技術報告，進行一場反思。

專注于為中小企業(yè)提供成都網(wǎng)站制作、成都網(wǎng)站建設服務,電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)青岡免費做網(wǎng)站提供優(yōu)質的服務。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動了上千企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設實現(xiàn)規(guī)模擴充和轉變。

2006年對于整個反病毒的發(fā)展來說是一個特殊的年份。病毒從最早的狹義的感染式惡意代碼的定義，已經(jīng)開始成為涵蓋了蠕蟲、木馬的統(tǒng)稱，而蠕蟲被作為研究和產(chǎn)業(yè)熱點的關注度也已經(jīng)開始下降，木馬也開始呈現(xiàn)爆炸式的增長趨勢。2006年全年產(chǎn)生的惡意代碼總量比1986年到2005年這20年間所產(chǎn)生的惡意代碼總數(shù)還要多。

2006年9月25日，筆者在武漢大學做了題為《后冷戰(zhàn)時代的病毒捕獲體制》的報告，其技術關鍵詞為“木馬、蜜罐、旁路捕獲、未知檢測…. ”，報告的觀點為“當前木馬與AV之間的對抗已經(jīng)從辨識對抗、查殺對抗進入到體系對抗階段”， 筆者稱之為“‘后冷戰(zhàn)’時代”。今天的報告正是從對此的反思開始，因此稱其為“溫故2006”。

六年前我們認為：木馬數(shù)量呈幾何級數(shù)增長的趨勢，而溢出技術、驅動技術、流文件技術及信息偽裝技術等眾多黑客技術都開始被應用到木馬程序編寫中。木馬的發(fā)展對反病毒的挑戰(zhàn)表現(xiàn)于：數(shù)量失控、黑客技術、偽裝技術和專有性應用等。

該報告得出“木馬動搖了反病毒體系的根基”的結論：傳統(tǒng)AV技術的根本鏈路是編制>>流行>>捕獲>>處理，而捕獲才是AV的根基。AV的機理是以樣本滿足一定的流行范圍或公開發(fā)布為基礎，立足于后發(fā)式的一對一處理。在此情況下，全面捕獲已經(jīng)趨近不可能，分析處理強度已趨近不收斂，必須有全新的思路作補充。

此前，我們還提交了一份題為《“中國信息安全將崩盤”于木馬的結論》的安天內部分析報告。時隔六年，我們的結論是否得到驗證呢?

迷失.2012——2012，一個讓思想者茫然，行動者迷失的年份。

2000~2012數(shù)據(jù)回溯

我們分別選取了2000年10月24日、2006年11月10日、2012年11月27日三個時間節(jié)點的惡意代碼分類數(shù)量統(tǒng)計，用以對比分析惡意代碼的發(fā)展趨勢。為了保證數(shù)據(jù)的可信度，我們并未采用己方數(shù)據(jù)，而是采用了消重后的某國際知名廠商的病毒庫中的病毒名稱列表。

 

 

圖 1 ：選取2000、2006、2012三個時間點的惡意代碼累計總量增長示意圖

 

 

圖 2：2000、2006、2012三個時間點的惡意代碼分類比例構成

以上數(shù)據(jù)顯示，從2006年到2012年間出現(xiàn)的惡意代碼中，比例最大的顯然是Trojan。其數(shù)量從2006年的8.4萬余種增長到2012年的726萬余種，而其他類型的惡意代碼盡管均有不同程度的增長，但卻完全被木馬的增長掩蓋掉了。那么我們的“木馬崩盤”的預言是正確的么?

失效的預言

確實存在木馬數(shù)量爆炸式的增長并未得到遏制的事實。但我們不能不面對兩個問題：

第一，信息安全整體崩盤了嗎?沒有。網(wǎng)銀、網(wǎng)游等產(chǎn)業(yè)依然在快速成長，用戶的安全體驗實際上在提升。

第二，反病毒的根基動搖了嗎?同樣沒有。我們看到的是整個信息社會和信息安全產(chǎn)業(yè)在攻擊威脅的增長中所呈現(xiàn)出的一種異常旺盛的發(fā)展和適應能力，不但沒有崩盤，反而是壯大發(fā)展了。

信息安全的狀況并非是隨著惡意代碼數(shù)量的激增而急劇惡化的，而是呈現(xiàn)出一種微妙的平衡態(tài)，這是值得反思的。因此我們是做出了誤判，但我們更大的誤判還不在這一點，而是我們過度的思索了數(shù)量膨脹帶來的挑戰(zhàn)，卻沒有展開更辯證的思考，導致沒有把握住今天的威脅——沒有對類似APT(高級可持續(xù)威脅等趨勢)給予足夠的預判和警惕。Flame、Duqu、Gauss和Stuxnet，它們既不是木馬，不是蠕蟲，也不是僵尸網(wǎng)絡，而是APT。我們最大的失誤不是沒有遏制昨天的威脅，而是沒有有效應對今天的威脅。

2006.我們預言了APT么?

在2006年，我們是否對APT這種現(xiàn)象有所感知呢?答案是“有”。在“后冷戰(zhàn)”報告中，我們提出了一個詞匯“專有化”，并提出“經(jīng)濟利益化和政治利益化促進木馬向定向性、專有化發(fā)展;從傳統(tǒng)的散步行為向定向行為轉化，不需要大面積傳播也能達到一定目的”的觀點。縱觀這些文字，我們如果自吹當年就預測了APT是“自戀+自欺欺人“的，因為APT不是一種木馬，不是一類單一的惡意代碼，它是一整套的攻擊方法和資源體系，而當時我們并沒有跳出一個傳統(tǒng)反病毒工程師的角度來看待這一問題。

2006-2012.失落的度量衡

在2006年那場報告中，我們通過2001、2005年兩次反病毒橫向檢出率對比，展示了木馬時代反病毒檢出率顯著下降的趨勢，并以此數(shù)據(jù)作為惡意代碼進入“后冷戰(zhàn)”時代的支撐。但面對類似APT等新興威脅，傳統(tǒng)查殺率統(tǒng)計已經(jīng)失去了意義，安全廠商能力表現(xiàn)的度量衡又是什么呢?

我們曾經(jīng)對比2000～2006年若干個流行蠕蟲的初始流行時間和廠商感知時間，我們發(fā)現(xiàn)雖然其中部分蠕蟲出現(xiàn)使安全廠商措手不及，但大部分至少是在24小時內被捕獲，有的時間稍長但也是以天來計算。而APT時代，我們對相關惡意代碼的感知時間則以年為單位來計算，其中Flame是在初始活動近5年后才被發(fā)現(xiàn)的，這是由于投放的定向性、條件觸發(fā)、自毀等方法導致的攻守不平衡。而另一原因也是境內外能力與信息的不對稱，無法得到國外工控等廠商的技術支持。如國內機構在Stuxnet的每一個關鍵分析節(jié)點形成成果的時間都比境外晚一個月到45天左右，其中很多分析點我們都不能獨立完成，這里既有投入和水平的因素，也有與境外分析團隊信息不對稱的原因。

彎路. 2006～2012——誤判不是無代價的，誤判必然導致錯誤的導向和行動。分析我們沒有有效應對木馬時代的原因，或許可以為我們有效應對APT時代提供參考。

我們從目前的角度回顧當時對木馬的理解：作為傳統(tǒng)的AVER，不僅沒有預判APT的產(chǎn)生，對于木馬的認識也存在諸多錯誤，誤判必將導致錯誤的導向和行動。接下來列舉我們在木馬時代做出的錯誤的技術決策，或許能給我們今后有效應對APT時代提供有價值的參考。

蜜罐還是終端

惡意代碼的最佳捕獲方式是什么?在2006年報告中，我們介紹了捕風計劃，即基于低成本ARM架構做成仿真蜜罐(Honeypot)或蜜池(Honeypool)。但事實證明，最佳的捕獲點就是用戶終端本身，終端覆蓋能力越強，捕獲能力越強。但傳統(tǒng)反病毒更看重更具有可控性的主動捕獲方式，因此我們選擇了“向左轉”，部署了大量這樣的蜜罐節(jié)點，但效果并不理想。

更敏感的啟發(fā)式還是云

在2006年報告中，我們還提出如何應對木馬爆炸式增長的思路，即不斷提高啟發(fā)式的敏感性，提交加權值非常低的文件，以采集更多樣本。我們自己也清楚，基于可執(zhí)行對象無條件上報的思路可能是更有效的，但在當時的情況下，我們依然對帶寬和計算成本有比較大的焦慮，同時對這種無條件提交的方法，有很強烈的隱私質疑。所以，最終還是采取了提升未知檢測能力和敏感性的方法。

還原還是爬蟲

在2006年報告中，我們同時提到基于旁路的惡意代碼檢測架構，即把一個包檢測的體系結構變成一個基于流還原的體系結構，在流還原的體系結構上串接一個異步引擎，來過濾掉多余的文件，實現(xiàn)上報。實際上，從2005年起，已有大量團隊陸續(xù)投入到基于網(wǎng)頁和二進制文件爬蟲的研究中，而我們當時盡管在兩方面都做了工作，但在還原捕獲和檢測方面無疑投入更多。

以上所述的每一個時刻，我們都選擇了“向左轉”，但實際上正確的道路卻在右邊。事實上，木馬這種爆炸式增長趨勢得到了有效的對抗，而正是基于海量終端的無條件上報所構筑出的文件鑒定體系使這種對抗成為可能。這種海量終端云鑒定的能力，取代了傳統(tǒng)的分析流水線，成為當前反病毒技術新的核心支撐。傳統(tǒng)的基于高質量的特征碼，包括高質量啟發(fā)式檢測規(guī)則的引擎，如果沒有這種技術的輔助支撐，無一不會顯得落伍。

同時，可以說從傳統(tǒng)的磁盤時代，從8086 Debug為起點的成長過程中，AV業(yè)界的資源一直相對匱乏，并存在諸多局限性。我們也看到傳統(tǒng)反病毒工程界的一些原則，確實迫使我們會選擇一些高成本、低效果的方案，如基于蜜罐的捕獲體系和基于旁路的捕獲體系，都是我們想要搭建不對用戶和網(wǎng)站產(chǎn)生干擾的環(huán)境的體現(xiàn)。當我們認識到“貧瘠的資源局限想象力;狹義的道德感局限策略;傳統(tǒng)的慣性局限方法”的時候，我們如何建立新的分析方法來有效應對當前的威脅，并避免下一個誤判呢?

思索.2012～201x——信息安全沒有崩盤的原因，是因為應用跑得更快;應用跑的令人心驚的原因，是應用忘記了帶上安全伴跑。向前走并沒有錯，我們只是沒有繞過路上的石頭!但我們不能因為會絆到石頭拒絕向前!

2000～2012的演化原因

統(tǒng)計時間WormVirusTrojanHackToolSpywareRiskWare

2000/10/2451221,0063,066260370

2006/11/108,10927,76084,8114,9684,89988

2012/11/27354,04929,9407,262,094217,502214,57025,800

表 1 ：2000、2006和2012的三個統(tǒng)計節(jié)點的惡意代碼分類統(tǒng)計數(shù)據(jù)

如果對前文圖表所使用的2000、2006和2012的三個統(tǒng)計節(jié)點的數(shù)據(jù)進一步跟蹤的話，我們可以做出更多的分析和解讀。

蠕蟲的數(shù)量增長其實也很快。從2000年的500多種，到2006年的8000多種，再到2012年11月的35萬余種。這個數(shù)字增長雖然顯著，但卻被木馬數(shù)量的劇增所掩蓋。蠕蟲的膨脹的勢頭弱于木馬，明顯與包括Windows系統(tǒng)的安全性提升，漏洞利用的定向性而導致的溢出工具和載荷分離等因素有關。

而對HackTool(黑客工具)和Spyware(廣告件和色情件)來說，其在2006年和2012年的規(guī)模竟然都十分接近，從某種意義上來說，它們既有惡意代碼的基因，但也是正常應用的近親，它們的發(fā)展速度也正反映了應用成長的速度。由此我們不禁在想，由于木馬構造的批量化、以及投放端變換(Poly by Server Side)的趨勢，從HASH統(tǒng)計上看，黑白名單的規(guī)?？赡艹尸F(xiàn)出一種接近趨勢，這會很大程度上重新喚起人們對白名單方法的興趣。

 

 

圖 3：惡意代碼的演進

而有趣的是，病毒的數(shù)量至今沒有突破3萬種。特別是2006年之后，與其他惡意代碼類型相比，增量非常少。很多研究者和愛好者將此都簡單的概括為：因為病毒感染需要編寫者的水平更高，而蠕蟲、木馬是一個獨立文件，因此編寫起來更容易。正是因此我們曾經(jīng)認為病毒到木馬是一種技術退化，但如果我們跳出唯技術觀來看，就會得出一種相反的結論：感染的方法是把一部分代碼注入到其他程序里，其功能空間受到了宿主情況的限制，這種方法局限了攻擊者的發(fā)揮空間和想象力，因此被淘汰。操作系統(tǒng)的高度復雜已經(jīng)為獨立惡意代碼提供了很好的掩蓋，不再需要用片段代碼注入到宿主進行攻擊為掩護。因此我們認為：病毒到蠕蟲、木馬的過程，不是一個技術退化的過程，而是代碼片段能力演進為獨立文件功能的能力，這是一種威脅進化。而后又從單一的文件載荷，變成包括多文件、驅動和其他內核技術、Rootkit等隱藏技術在內的復雜的節(jié)點環(huán)境場景;同時，其網(wǎng)絡行為也從單點的竊密回傳和一對一的C/S控制等，演化為多層控制、甚至無中心P2P 化的Botnet體制。由此看來，APT所需要的所有技術手段和單點思想在蠕蟲、木馬時代均已具備，各種攻擊方法也均已成熟。在從最早的幾百個字節(jié)的感染式病毒，發(fā)展到今天的APT攻擊的整個過程中，安全事件的復雜度在不斷提升。傳統(tǒng)信息安全引入復雜巨系統(tǒng)概念，主要是從防御方信息體系的復雜性和規(guī)模而言，但當時并未充分估計到單個安全事件本身可以形成高度復雜的體系，當復雜巨系統(tǒng)遭遇高復雜度安全事件，我們的困難也就自然產(chǎn)生。

既然木馬時代到APT時代表現(xiàn)出很自然的水到渠成，那么我們?yōu)楹螞]有預言APT的發(fā)生?我們忽略和關鍵因素是什么?

在木馬時代的地下經(jīng)濟驅動中，各個國家均是地下經(jīng)濟體系和惡意代碼的受害者。其基礎規(guī)則也基于這一共同點搭建。而APT出現(xiàn)的最本質原因是國家和政經(jīng)集團作為“大玩家”直接介入到網(wǎng)絡攻防的游戲體系當中，而攻擊的對象也變成了他國政府和其他對立的政經(jīng)體系。未能預見到威脅與被威脅者主體的突然變化以及這種變化的驅動影響，才是我們沒有正確預判APT的出現(xiàn)的原因。

尋找新威脅要素

我曾對傳統(tǒng)惡意代碼威脅要素進行了概括：第一，入口，惡意代碼如何獲得權限;第二，介質，惡意代碼如何到達節(jié)點;第三，格式，惡意代碼如何存儲。那么新APT威脅要素是什么呢?APT不是一個簡單的惡意代碼，而是一個體系，對于這個體系，我們需要思考什么呢?APT之后還會有新的安全威脅形式，那么有沒有一個更宏觀的視野去分析?

關注新的關鍵詞

第一， 生態(tài)。

大至整個社會安全保障體系，小到主機環(huán)境，都是在遏制惡意代碼的舊形態(tài)發(fā)展的。隨著主流操作系統(tǒng)安全性的提升，地址隨機化，UAC機制等整套的執(zhí)行保護體系使這種遠程溢出和U盤感染變得越來越困難，主動傳播也變得越來越困難， URL欺詐等逐步成為主流，所以我們要關注整個產(chǎn)業(yè)鏈的生態(tài)和基礎發(fā)展。

第二， 動機和動力。

在感染式病毒和早期蠕蟲活躍的時期，很多人是為了出名而編寫病毒和蠕蟲，而木馬編寫多數(shù)是利益因素，因此前者往往是個體，后者則形成利益集團。所以在DOS時代，最龐大的感染式惡意代碼家族也只有549種，而木馬時代，數(shù)量最多的木馬家族“灰鴿子”變種數(shù)超過了27萬種。木馬之所以如此之多，是因為它們在地下經(jīng)濟體系的驅動下，找到了自身的盈利模式，形成了規(guī)模能力。

第三， 資源和成本。

我們要充分考慮到編寫惡意代碼的成本和攻防雙方的成本及需要的資源體系。正是國家和政治集團這種強烈的“獲利”動機，巨大的影響了生態(tài)的能力和無限制的資源可以承擔這種巨大的成本，才催生了APT這種集大成者的攻擊形式。

有意思的對比

2001年，我們對紅色代碼發(fā)布了僅有一頁的BBS預警;2003年，我們對口令猜測類蠕蟲做了一個13頁的關聯(lián)分析報告;而今年，我們對Flame的分析報告卻長達92頁，卻感覺只分析了冰山一角。有趣的是，我們卻從來沒有針對任何一個木馬發(fā)布長篇的系統(tǒng)的報告，這說明對于不同形態(tài)安全事件確實存在不同的應對需求。

AVER工作方法的變遷

在早期感染式病毒為主導的時代，我們面對的是對文件完整性的焦慮，因此，我們要進行人工分析，編寫清除病毒的參數(shù)、腳本或模塊，把文件恢復到感染前的狀態(tài);而對于蠕蟲，我們面對的是及時性焦慮，類似Slammer在不到十分鐘的時間就感染了全球百萬臺SQL Server服務器的等情況，讓產(chǎn)業(yè)界更關注發(fā)現(xiàn)并遏制蠕蟲的及時性;而對于木馬，我們主要擔心其數(shù)量級數(shù)的膨脹，是一種數(shù)量級和處理能力焦慮，我們需要增強海量計算資源的自動分析和終端上的主動防御能力與之抗衡;而對于APT，我們卻是難以預見和防御的，我們對APT的恐懼是對其后果的焦慮，那么我們應如何有效應對APT?我們所能做的是如何更快速的感知和深度分析APT，以及對APT的回溯評估。

不同的時代，由于威脅對象和方法的不同，引發(fā)了需求和焦慮感的不同，進而導致我們工作方法也隨之產(chǎn)生相應地變化。

尾聲比爾.蓋茨說：“五年，這就是我們向前能看到最遠的時間?！?/p>

當想到產(chǎn)業(yè)巨子都有如此的時間危機，我更不敢判斷我能向前看多遠。只知道一定比蓋茨近得多。我們難以看遠未來，卻能更多的反思過去，所以我今天的每一句話，都比六年前謹慎的多，因為我希望六年后，能有勇氣回顧今天的話。

注：本文刊發(fā)于2013年《中國信息安全》1月刊，是筆者在第一屆全國網(wǎng)絡與信息安全防護峰會(XDEF，武漢大學,2012)上的演講整理稿，刊發(fā)時有刪節(jié)。

當前標題：木馬雪崩到APT的關聯(lián)與必然
網(wǎng)站路徑：http://www.5511xx.com/article/dpjoihg.html