阿里雲葉敏：製造網路安全的「機械戰警」

來自專欄淺黑科技

大家好~我是 @史中，我的日常生活是開撩五湖四海的科技大牛，我會嘗試各種姿勢，把他們的無邊腦洞和溫情故事講給你聽。如果你特別想聽到誰的故事，不妨加微信（微信號：shizhongst）告訴我，反正我也不一定撩得到。

不想走丟的話，你也可以關注我的自媒體公眾號「淺黑科技」。

-------正文分割線-------

在世界的隱秘角落，無數掃描和控制指令正在從一個 IP 湧出。站在雲端俯視，偌大的版圖上，一台台伺服器甚至沒來得及掙扎就放棄了抵抗。它們的「眼睛」變得通紅。在暗色的夜裡集結成軍，準備聽命於撒旦的指引，向安睡的世界發起攻擊。

平行世界中，一個殭屍網路正在誕生。

黑客如巫師一般，揮一揮黑袍的衣袖，所有的機器同時噴射出巨大的數據，打向某個平台。瞬間可憐的伺服器就被巨大的流量淹沒。在我們的世界裡，這被稱為 DDoS 攻擊。

然而，巫師手上的「俘虜」——可憐的伺服器，並不是無腦的殭屍。他們同樣可以用強大的計算資源，為黑客「挖」比特幣；當然，他們也可以列隊整齊，為某個服務刷單。

靠吸血斂財，是黑帽黑客的生活方式。

百鳥驚林——黑客的武器

控制，是一切黑客進攻的根本方法。

無論是控制殭屍網路，還是竊取企業信息，首要的一步就是入侵企業的伺服器。而目前，中國絕大多數的網站伺服器都在雲端。

如果黑客想要入侵的伺服器恰好位於阿里雲（其實這個幾率相當高），那麼他首先要面臨的，就是一位安駐雲端的門神——葉敏。

葉敏的官方 Title 是阿里云云盾的安全技術負責人。從2010年加入阿里開始，他見證了雲計算從踽踽獨行到百萬雄兵；他同樣見證了雲計算的城池之外，黑客們從散兵游勇到集結成軍。

「企業的數據和服務都運作在阿里雲上， 所以我們有義務給客戶展示周圍正在發生的事情。」他說。

撞庫 IP，安能辨我是雌雄

葉敏告訴我，根據他掌握的資料，就連他自己的某些低強度的（並不是那麼重要的）密碼也被泄露在了互聯網上。黑產用這些數以億計的資料庫不斷地「撞庫」，從而獲得同一個用戶在不同網站上的信息。

為了保護阿里雲的客戶，一旦遇到客戶被撞庫的情況，需要對惡意 IP 做出「處罰決策」。例如，最簡單的，封禁這個 IP。

粗略地一想，識別撞庫很簡單。那就是某個 IP 高頻率地登陸不同的賬戶。但是我們在研發監測模型的時候發現，事情遠不是這麼簡單。因為 IP 的類型很複雜。

有一些 IP 是出口 IP，比如一個學校所有的學生都共用一個IP 出口；

有一些是功能性的 CDN；

另外還有一些高頻嘗試並不是撞庫，而是暴力破解，或者垃圾註冊。

葉敏說。

在這種情況下， 如果簡簡單單封禁一個IP，就不一定是明智的選擇。如果這是一個學校 IP，那麼整個學校都無法訪問這個業務；如果這是一個公司 IP，那麼整個公司都無法訪問；如果這是一個出口 IP，有可能幾萬人都被「誤殺」。顯然沒有一個網站願意動不動就有好幾萬人無妨訪問自己的業務，氣憤地打電話過來投訴。

至於葉敏如何解決這個問題，我們後文分解，且看黑客的下一個武器。

Webshell，美女還是畫皮

在絕大多數以賺錢為目的「信息竊取」攻擊里（當然有少量為了政治和商業目的針對進攻），黑產從業者往往會採用工具化的程序，大批量地在網站里植入後門，然後統一加以控制。

Webshell，就是黑客挖進網站的地道出口中， 做常見的一種。

看過地道戰的童鞋們還記得，日本兵即使絞盡腦汁，也經常猜不到地道的出口到底在什麼奇葩的位置。在網路攻防中，情況也有類似之處。因為 Webshell 的位置和形態千奇百怪。在一般人看來，一個文件究竟是後門還是正常的程序，就像夜讀的才郎看到窗口的姑娘，分不清究竟是美女還是畫皮。而且，通過一個 webshell，如何追溯到黑客的行蹤，也是一個高難度的問題。

不過，這難不倒像葉敏一樣的福爾摩斯。「對於一個有經驗的安全人員來說，查看一下網站日誌的基本情況，就差不多可以知道黑客進攻到哪一步，是否已經得手。」他說。

難倒葉敏的是，全中國有30%的商業網站坐落在阿里雲上。而葉敏的團隊只有8個人。

如果你只服務一個客戶，那麼只要兩三個技術人員，就可以用手工排查的方法全部搞定，當這個數量乘以萬，乘以十萬，就出現了完全不一樣的情況。你需要一個全自動的機器。

他說。

「機械戰警」的反擊

「對於人來說，很多技巧已經爛熟於心。比如開車，我甚至可以邊聊天邊開車。但是你讓程序去開車，難度就不是一個級別了。

同樣，對安全人員來說並不難的進攻檢測，如果想讓機器學會，就要付出很多努力。」

正如上文所說，面對如此大量的工作，葉敏別無選擇，只能拼盡團隊的智商製造一個「機械戰警」。製造這個機械戰警的究極奧義在於：把人的經驗傳授給機器。

機器福爾摩斯

這個福爾摩斯名叫雲盾。

為了改進雲盾檢測入侵的效果，葉敏仔細研究了黑客進攻的每一個招式。

有一些入侵方式，並不是自動化程序可以防禦的。比如弱口令，黑客一旦掌握了網路口令，我們是沒有辦法阻止一個使用正確密碼登陸的。另外，有一些漏洞在沒有登錄許可權的情況下，是無法被自動化工具檢查到的。

葉敏和團隊總結了一百多種黑客入侵的奇葩方式，然後把這些方式的對抗方法做成自動化的規則輸入到阿里雲盾中。

當然，福爾摩斯不僅是能夠發現案件，最大的功力在於：可以抓到兇手。

我們的工作是訓練機器可以讀取日誌文件。針對一個 Webshell，根據日誌的時間，查看 Webshell 產生前一秒，是否有某一個 Java 漏洞被利用，而這個漏洞被利用的同時，網路上產生了什麼流量，這個流量是哪裡發出來的。

這，就是葉敏訓練「機器戰警」的方法。

機器衛隊

機器福爾摩斯，從某種程度上說是一個失敗。因為福爾摩斯發現問題的時候，往往黑客已經成功植入後門。在一切都沒發生之前，你需要一個「機器衛隊」。

一個正常訪問者和惡意訪問者的動作和頻率都是不一樣的，這就讓自動化判斷成為了可能。

當然，世界上已經存在眾多自動化的網路防火牆。不過葉敏想要用更加智能的方法改進防火牆。

以往的防火牆往往使用規則識別，我希望研發一個純數學模型來識別web攻擊。例如一段URL，有經驗的安全員看到這些數字和字母就基本能夠判斷它的危險性。所以我希望機器也能做到。

我們把這些數字和字母的參數樣本交給機器，讓它自己去學習，這樣它就可以學習出一個模型，用來識別攻擊。

目前在阿里雲上，基於規則的防火牆和基於數據的防火牆在同時運行，兩個系統存在一些差異，互相可以檢查出對方的誤報和漏報。

改進這套系統，也是葉敏近期的重要工作之一。

機器鑒別師

現在，需要回答一個懸而未決的問題。那就是如何用自動化程序判斷一個 IP 究竟是不是「撞庫 IP」呢？

葉敏說，他和團隊設計了一套系統。讓所有的流量經過一個分析系統，把其中所有的登陸請求抽取出來，放到數學模型里計算。這個數學模型里，有諸多篩選條件：

• 登錄頻率的分布；
• 用戶名、密碼的特徵；
• IP的信譽度。

這些條件，恰恰可以篩選出一個 IP 究竟是出口IP、CDN IP還是個人 IP。這就為阻斷撞庫行為提供了非常精準的情報。

當然，尊崇技術的葉敏同樣承認，機器判斷會存在誤判的可能。不過他表示，這個系統的準確率應該是非常高的。

我們用來判斷準確率的一個重要指標就是用戶的投訴率，雖然在系統開始運行的時候，會有用戶投訴被「誤殺」。不過最近幾個月我們都沒有接到誤殺的投訴了。

獨門必殺技——大數據

在偌大的雲版圖上，黑客武器和葉敏研發的「機器戰警」上演著曠日持久的戰爭。

等等，好像還有一件事沒有解決。你還記得文章開頭的那些殭屍網路和它們背後的巫師嗎？即使把黑客控制的伺服器全部「解救」，仍然難以阻止黑客本人法外逍遙。

你別忘了，全網30%的網站都在阿里雲上。

葉敏不無驕傲。這個數據是阿里雲的必殺王牌。

由於使用阿里雲服務的企業眾多，所以這些被黑客控制的「肉雞」很大概率也處在阿里雲上。通過分析肉雞的流量和行為，加上我們的秘密技術，就可以感知到控制方的來源。

葉敏告訴 @史中，對於200G流量以上的 DDoS 攻擊，已經有90%可以定位到控制端。這些都是通過自動化的工具完成的。「去年我們總共溯源了30起 DDoS 攻擊，其中80%-90%都找到了背後具體的人。」

神秘巫師的面紗被無情地撕下，這是一場技術的勝利。

實際上，這是一個典型的大數據應用場景。每天有無數黑客攻防戰爭發生在阿里雲的地盤上，這些數據可以被匯總，成為一個 IP 信譽庫。在大資料庫中，每一個 IP 都會有相應的黑白標籤。

在這個「機械戰警」心裡，來人究竟是人是鬼是妖是魔，也許早就有了定論。

以上這些，都是葉敏和團隊在進行的前沿研究，這些技術正在試錯和完善中。

葉敏為 @史中 描繪了一幅場景：

當一個訪問者出現，我們能立刻拿出一個IP畫像，包含了他的所有屬性，他歷史上有沒有過惡意行為，他的慣用攻擊手法是什麼。通過分析他的訪問行為，再結合當前業務，我們能判斷出攻擊者的意圖，他是想拉數據還是想控制伺服器。並且及時阻止這種情況發生。

不需要太久的時間，我們就能實現，他說。為了網路世界的陽光普照，像葉敏一樣的安全大牛任重而道遠。

本文首發 2016-07-06

再自我介紹一下吧。我是 @史中，是一個傾心故事的科技記者。我的日常是和各路大神聊天。如果想和我做朋友，可以關注微博：史中方槍槍，或者加我微信：shizhongst。

不想走丟的話，你也可以關注我的自媒體公眾號「淺黑科技」。

推薦閱讀：