俞華辰，ID：傷心的魚?，F(xiàn)任江南天安技術(shù)總監(jiān)，攻防實(shí)驗(yàn)室負(fù)責(zé)人。2006-2007年任《黑客X檔案》雜志編輯。參與2008年北京奧運(yùn)會(huì)，2010年上海世博會(huì)的網(wǎng)絡(luò)安全保障工作。策劃并組織全國大學(xué)生網(wǎng)絡(luò)安全實(shí)戰(zhàn)競賽（國內(nèi)第一個(gè)對(duì)于面向大學(xué)生開放的網(wǎng)絡(luò)實(shí)戰(zhàn)比賽）

安全牛：您好,請(qǐng)您簡單介紹一下江南天安獵戶攻防實(shí)驗(yàn)室（以下稱獵戶實(shí)驗(yàn)室）。

俞華辰：獵戶實(shí)驗(yàn)室是于2015年1月在北京正式成立的，它隸屬于北京江南天安科技有限公司,是業(yè)內(nèi)同類安全研究機(jī)構(gòu)中唯一一個(gè)專注于黑客行為分析與攻擊溯源的研究機(jī)構(gòu)。研究最新網(wǎng)絡(luò)威脅和攻防技術(shù)，普及信息安全知識(shí)，致力安全人才培養(yǎng)，是我們成立的宗旨。

安全牛：獵戶實(shí)驗(yàn)室目前在做什么?

俞華辰：目前主要是攻擊溯源與黑客行為分析,獵戶已搜集數(shù)百萬疑似黑客控制的VPN服務(wù)器，核心數(shù)據(jù)庫已內(nèi)置十余萬疑似黑客IP，并檢測到數(shù)百萬可能被黑客控制的域名。我們對(duì)所發(fā)現(xiàn)的大型僵尸網(wǎng)絡(luò)進(jìn)行反追蹤滲透，這些數(shù)據(jù)支撐了獵戶特有的攻擊溯源體系，能幫助用戶從被動(dòng)防御變?yōu)橹鲃?dòng)發(fā)現(xiàn)。

安全牛：為什么要研究攻擊溯源體系?

俞華辰：業(yè)內(nèi)其他的安全研究機(jī)構(gòu)的研究方向，大多都是基礎(chǔ)安全技術(shù)的研究、漏洞挖掘和分析、網(wǎng)絡(luò)病毒監(jiān)控等，大家都比較關(guān)注漏洞的挖掘與安全監(jiān)控，忽略掉了其攻擊者的背景、目的以及來源。但只有在知道攻擊者攻擊過程以及攻擊來源之后，我們才能有效的進(jìn)行防范。

面對(duì)現(xiàn)如今逐漸體系化的網(wǎng)絡(luò)攻擊形式，黑客攻擊已經(jīng)演變?yōu)榧诳图夹g(shù)、情報(bào)、社會(huì)工程各種手段為一體的復(fù)雜、專業(yè)且高端精密的攻擊方式，僅僅靠單一的網(wǎng)絡(luò)安全產(chǎn)品已經(jīng)很難防御?，F(xiàn)在企業(yè)的需求不僅僅是能檢測和防御網(wǎng)絡(luò)攻擊，還需要，了解并能知道攻擊者的目的背景以及攻擊者是誰，因此需要進(jìn)行對(duì)黑客行為的分析與攻擊溯源取證。

安全牛：那是不是應(yīng)該有個(gè)類似規(guī)則庫的機(jī)制以支撐對(duì)攻擊行為的分析?

俞華辰：可以這樣說。江南天安有著多年安全方面的技術(shù)積累與合作伙伴的支持,通過聯(lián)動(dòng)自身云端收集的黑客攻擊行為和其他互聯(lián)網(wǎng)安全廠商資源可以關(guān)聯(lián)出攻擊者曾在互聯(lián)網(wǎng)上的其他攻擊行為。具體比如通過智能算法聯(lián)動(dòng)云端引擎可以根據(jù)攻擊者的IP，指紋以及攻擊手法關(guān)聯(lián)出攻擊者的信息。

若要對(duì)攻擊者進(jìn)行溯源追蹤，必須以大量的數(shù)據(jù)作為支撐。我們已構(gòu)建了大數(shù)據(jù)溯源中心，它是我們提供攻擊溯源能力的基礎(chǔ),大數(shù)據(jù)中心能夠智能感知攻擊行為,在非人工干預(yù)的情況下,記錄攻擊者的“指紋”,而這個(gè)“指紋”非傳統(tǒng)意義上的病毒特征，而是包括攻擊行為、手法等攻擊者很難完全偽裝，可以精準(zhǔn)的識(shí)別攻擊者的身份。而這些指紋庫的建立和算法匹配則是該系統(tǒng)的核心。

安全牛：你們都擁有哪些大數(shù)據(jù)?這些數(shù)據(jù)都有什么用途?又是如何獲取的呢?

俞華辰：實(shí)驗(yàn)室擁有龐大的數(shù)據(jù)中心（指著PPT）,其中包括:

1. 全球IPV4信息知識(shí)庫，包括該IP對(duì)應(yīng)的國家地區(qū)、對(duì)應(yīng)的操作系統(tǒng)詳情、瀏覽器信息、電話、域名等等。并對(duì)全球IP地址實(shí)時(shí)監(jiān)控，通過開放的端口、協(xié)議以及其歷史記錄，作為數(shù)據(jù)模型進(jìn)行預(yù)處理。

 

2. 全球虛擬空間商的IP地址庫，如果訪問者屬于該范圍內(nèi)，則初步可以判定為跳板IP。

 

3. 全球域名庫，包括兩億多個(gè)域名的詳細(xì)信息，并且實(shí)時(shí)監(jiān)控域名動(dòng)向，包括域名對(duì)應(yīng)的IP地址和端口變化情況，打造即時(shí)的基于域名與IP的新型判斷技術(shù)，通過該方式可以初步判斷是否為C&C服務(wù)器、黑客跳板服務(wù)器。

 

4. 黑客互聯(lián)網(wǎng)信息庫，全球部署了幾千臺(tái)蜜罐系統(tǒng)，實(shí)時(shí)收集互聯(lián)網(wǎng)上全球黑客動(dòng)向。

 

5．獨(dú)有的黑客IP庫，對(duì)黑客經(jīng)常登錄的網(wǎng)站進(jìn)行監(jiān)控、對(duì)全球的惡意IP實(shí)時(shí)獲取。

 

6. 黑客工具指紋庫，收集了所有公開的（部分私有的）黑客工具指紋，當(dāng)攻擊者對(duì)網(wǎng)站進(jìn)行攻擊時(shí)，可以根據(jù)使用的黑客工具對(duì)黑客的地區(qū)、組織做初步判斷。

 

7. 黑客攻擊手法庫，收集了大量黑客攻擊手法，以此來定位對(duì)應(yīng)的黑客或組織。

 

8. 其他互聯(lián)網(wǎng)安全廠商資源，該系統(tǒng)會(huì)充分利用互聯(lián)網(wǎng)各種資源，比如聯(lián)動(dòng)50余款殺毒軟件，共同檢測服務(wù)器木馬程序。

 

9. 永久記錄黑客攻擊的所有日志，為攻擊取證溯源提供詳細(xì)依據(jù)。

這些數(shù)據(jù)來源是經(jīng)過數(shù)年積累，和全球部署了大量服務(wù)器收集而得到的。

安全牛：聽起來十分刺激，一幅掌控全球互聯(lián)網(wǎng)的畫面浮現(xiàn)在眼前（笑）。話說目前獵戶實(shí)驗(yàn)室的具體研發(fā)成果什么樣子的呢?

俞華辰：實(shí)驗(yàn)室的主要研發(fā)成果是“智能安全聯(lián)動(dòng)平臺(tái)”。這個(gè)平臺(tái)采用智能態(tài)勢(shì)感知技術(shù),以大數(shù)據(jù)為基礎(chǔ),聯(lián)動(dòng)為主線,實(shí)現(xiàn)與已有其他安全廠商資源智能聯(lián)動(dòng),是集威脅檢測、黑客行為分析、攻擊溯源取證于一身的新一代智能安全聯(lián)動(dòng)類產(chǎn)品。

安全牛：面對(duì)龐大深邃的網(wǎng)絡(luò)空間和錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)安全事件,不僅人人都需要具備網(wǎng)絡(luò)安全意識(shí),更需要培養(yǎng)一大批的網(wǎng)絡(luò)空間安全專業(yè)人員，來使用、維護(hù)和管理安全系統(tǒng)。

俞華辰：是的。安全人才問題也是目前全世界面臨的資源短缺問題。因此我們實(shí)驗(yàn)室建立了攻防實(shí)訓(xùn)平臺(tái),直接面向客戶提供攻防類的培訓(xùn)業(yè)務(wù)。目前獵戶已經(jīng)積累數(shù)百個(gè)漏洞、預(yù)置五十余個(gè)應(yīng)用場景、支撐數(shù)十類知識(shí)體系。模擬攻防實(shí)戰(zhàn)靶場和培訓(xùn)演練，通過上百個(gè)模擬場景，幫助大家掌握攻防實(shí)戰(zhàn)技能，協(xié)同參加攻防實(shí)戰(zhàn)競賽。歡迎大家跟我們一起維護(hù)網(wǎng)絡(luò)空間！

（注：點(diǎn)擊圖片后可放大）