俞華辰，ID：傷心的魚。現(xiàn)任江南天安技術(shù)總監(jiān)，攻防實驗室負責(zé)人。2006-2007年任《黑客X檔案》雜志編輯。參與2008年北京奧運會，2010年上海世博會的網(wǎng)絡(luò)安全保障工作。策劃并組織全國大學(xué)生網(wǎng)絡(luò)安全實戰(zhàn)競賽（國內(nèi)第一個對于面向大學(xué)生開放的網(wǎng)絡(luò)實戰(zhàn)比賽）

安全牛：您好,請您簡單介紹一下江南天安獵戶攻防實驗室（以下稱獵戶實驗室）。

俞華辰：獵戶實驗室是于2015年1月在北京正式成立的，它隸屬于北京江南天安科技有限公司,是業(yè)內(nèi)同類安全研究機構(gòu)中唯一一個專注于黑客行為分析與攻擊溯源的研究機構(gòu)。研究最新網(wǎng)絡(luò)威脅和攻防技術(shù)，普及信息安全知識，致力安全人才培養(yǎng)，是我們成立的宗旨。

安全牛：獵戶實驗室目前在做什么?

俞華辰：目前主要是攻擊溯源與黑客行為分析,獵戶已搜集數(shù)百萬疑似黑客控制的VPN服務(wù)器，核心數(shù)據(jù)庫已內(nèi)置十余萬疑似黑客IP，并檢測到數(shù)百萬可能被黑客控制的域名。我們對所發(fā)現(xiàn)的大型僵尸網(wǎng)絡(luò)進行反追蹤滲透，這些數(shù)據(jù)支撐了獵戶特有的攻擊溯源體系，能幫助用戶從被動防御變?yōu)橹鲃影l(fā)現(xiàn)。

安全牛：為什么要研究攻擊溯源體系?

俞華辰：業(yè)內(nèi)其他的安全研究機構(gòu)的研究方向，大多都是基礎(chǔ)安全技術(shù)的研究、漏洞挖掘和分析、網(wǎng)絡(luò)病毒監(jiān)控等，大家都比較關(guān)注漏洞的挖掘與安全監(jiān)控，忽略掉了其攻擊者的背景、目的以及來源。但只有在知道攻擊者攻擊過程以及攻擊來源之后，我們才能有效的進行防范。

面對現(xiàn)如今逐漸體系化的網(wǎng)絡(luò)攻擊形式，黑客攻擊已經(jīng)演變?yōu)榧诳图夹g(shù)、情報、社會工程各種手段為一體的復(fù)雜、專業(yè)且高端精密的攻擊方式，僅僅靠單一的網(wǎng)絡(luò)安全產(chǎn)品已經(jīng)很難防御。現(xiàn)在企業(yè)的需求不僅僅是能檢測和防御網(wǎng)絡(luò)攻擊，還需要，了解并能知道攻擊者的目的背景以及攻擊者是誰，因此需要進行對黑客行為的分析與攻擊溯源取證。

安全牛：那是不是應(yīng)該有個類似規(guī)則庫的機制以支撐對攻擊行為的分析?

俞華辰：可以這樣說。江南天安有著多年安全方面的技術(shù)積累與合作伙伴的支持,通過聯(lián)動自身云端收集的黑客攻擊行為和其他互聯(lián)網(wǎng)安全廠商資源可以關(guān)聯(lián)出攻擊者曾在互聯(lián)網(wǎng)上的其他攻擊行為。具體比如通過智能算法聯(lián)動云端引擎可以根據(jù)攻擊者的IP，指紋以及攻擊手法關(guān)聯(lián)出攻擊者的信息。

若要對攻擊者進行溯源追蹤，必須以大量的數(shù)據(jù)作為支撐。我們已構(gòu)建了大數(shù)據(jù)溯源中心，它是我們提供攻擊溯源能力的基礎(chǔ),大數(shù)據(jù)中心能夠智能感知攻擊行為,在非人工干預(yù)的情況下,記錄攻擊者的“指紋”,而這個“指紋”非傳統(tǒng)意義上的病毒特征，而是包括攻擊行為、手法等攻擊者很難完全偽裝，可以精準(zhǔn)的識別攻擊者的身份。而這些指紋庫的建立和算法匹配則是該系統(tǒng)的核心。

安全牛：你們都擁有哪些大數(shù)據(jù)?這些數(shù)據(jù)都有什么用途?又是如何獲取的呢?

俞華辰：實驗室擁有龐大的數(shù)據(jù)中心（指著PPT）,其中包括:

1. 全球IPV4信息知識庫，包括該IP對應(yīng)的國家地區(qū)、對應(yīng)的操作系統(tǒng)詳情、瀏覽器信息、電話、域名等等。并對全球IP地址實時監(jiān)控，通過開放的端口、協(xié)議以及其歷史記錄，作為數(shù)據(jù)模型進行預(yù)處理。

 

2. 全球虛擬空間商的IP地址庫，如果訪問者屬于該范圍內(nèi)，則初步可以判定為跳板IP。

 

3. 全球域名庫，包括兩億多個域名的詳細信息，并且實時監(jiān)控域名動向，包括域名對應(yīng)的IP地址和端口變化情況，打造即時的基于域名與IP的新型判斷技術(shù)，通過該方式可以初步判斷是否為C&C服務(wù)器、黑客跳板服務(wù)器。

 

4. 黑客互聯(lián)網(wǎng)信息庫，全球部署了幾千臺蜜罐系統(tǒng)，實時收集互聯(lián)網(wǎng)上全球黑客動向。

 

5．獨有的黑客IP庫，對黑客經(jīng)常登錄的網(wǎng)站進行監(jiān)控、對全球的惡意IP實時獲取。

 

6. 黑客工具指紋庫，收集了所有公開的（部分私有的）黑客工具指紋，當(dāng)攻擊者對網(wǎng)站進行攻擊時，可以根據(jù)使用的黑客工具對黑客的地區(qū)、組織做初步判斷。

 

7. 黑客攻擊手法庫，收集了大量黑客攻擊手法，以此來定位對應(yīng)的黑客或組織。

 

8. 其他互聯(lián)網(wǎng)安全廠商資源，該系統(tǒng)會充分利用互聯(lián)網(wǎng)各種資源，比如聯(lián)動50余款殺毒軟件，共同檢測服務(wù)器木馬程序。

 

9. 永久記錄黑客攻擊的所有日志，為攻擊取證溯源提供詳細依據(jù)。

這些數(shù)據(jù)來源是經(jīng)過數(shù)年積累，和全球部署了大量服務(wù)器收集而得到的。

安全牛：聽起來十分刺激，一幅掌控全球互聯(lián)網(wǎng)的畫面浮現(xiàn)在眼前（笑）。話說目前獵戶實驗室的具體研發(fā)成果什么樣子的呢?

俞華辰：實驗室的主要研發(fā)成果是“智能安全聯(lián)動平臺”。這個平臺采用智能態(tài)勢感知技術(shù),以大數(shù)據(jù)為基礎(chǔ),聯(lián)動為主線,實現(xiàn)與已有其他安全廠商資源智能聯(lián)動,是集威脅檢測、黑客行為分析、攻擊溯源取證于一身的新一代智能安全聯(lián)動類產(chǎn)品。

安全牛：面對龐大深邃的網(wǎng)絡(luò)空間和錯綜復(fù)雜的網(wǎng)絡(luò)安全事件,不僅人人都需要具備網(wǎng)絡(luò)安全意識,更需要培養(yǎng)一大批的網(wǎng)絡(luò)空間安全專業(yè)人員，來使用、維護和管理安全系統(tǒng)。

俞華辰：是的。安全人才問題也是目前全世界面臨的資源短缺問題。因此我們實驗室建立了攻防實訓(xùn)平臺,直接面向客戶提供攻防類的培訓(xùn)業(yè)務(wù)。目前獵戶已經(jīng)積累數(shù)百個漏洞、預(yù)置五十余個應(yīng)用場景、支撐數(shù)十類知識體系。模擬攻防實戰(zhàn)靶場和培訓(xùn)演練，通過上百個模擬場景，幫助大家掌握攻防實戰(zhàn)技能，協(xié)同參加攻防實戰(zhàn)競賽。歡迎大家跟我們一起維護網(wǎng)絡(luò)空間！

（注：點擊圖片后可放大）