百度技術沙龍第 55 期 重話安全防護

本文做者：HelloDeveloper

2014 年 10 月 25 日，在由@百度主辦、@InfoQ負責策劃組織和實施的第 55 期百度技術沙龍活動上，咱們邀請到了百度國際化殺毒的主防和攻防業務的負責人謝奕智和北京神州綠盟信息安全股份有限公司聯合創始人、廣州分公司總經理張彥（網名 rico）。兩位講師分享了各自在安全防護領域的相關經驗。

 

本次分享的話題分別是「病毒防護雲體系」和「基於業務邏輯設計的新一代安全預警防護思路」。本文將對這兩個主題分享作下簡單的回顧，同時提供相關資料的下載。

主題一：病毒防護雲體系（下載講稿）

首先，謝奕智經過殺毒軟件「彈窗」這個衆所周知的行爲引出了防護這個話題。

傳統單點主防彈窗面臨主要的問題是: 該彈的沒彈 (多是對應的監控點沒加)，不應彈的彈了 (所謂的誤報)。若是咱們的主防純粹提醒用戶有一個高危行爲或低危行爲的話，這樣並不能知足用戶的要求，由於有時候用戶他不懂得如何選擇，彈窗過多可能會給他形成困擾。做爲開發人員，這個彈窗要達到什麼樣的預期，用戶要作什麼選擇，目標並不清晰。

爲此，百度國際化殺毒制訂了一個彈窗策略，能夠簡述爲兩點：

1. 彈窗對用戶的影響是可控的，不可控的時候也會經過一個運營的方式把它變成可控的。不容許一個監控點出去亂彈，彈窗針對的要麼是對雲查量很低的文件，要麼肯定是惡意的文件。
2. 彈窗是可運營的，包括文字的描述，顏色，位置等，針對白文件也能夠彈窗，好比啓動項。

接下來的議題，是關於「未知」的。何謂「未知」呢？能夠從兩個角度去看。一個是從狀態，所謂的未知，就是沒有這個病毒的肯定狀態 (黑，白)，或者根本就沒捕獲到這個樣本。另外一個是從行爲，若是你的防護產品沒有添加好比攔截驅動這個監控點，當某一個樣本接到驅動，這個驅動對你來說就是未知的，假設有 A 行爲的樣本大可能是都是病毒，那咱們就攔截 A 行爲來防護未知病毒，這裏的未知仍是基於「知」。

未知可能致使哪些問題呢？未知是一個抽象的詞，是沒有目標，彈出來也沒有預期。如我作防護的過程當中，去防護所謂的未知病毒，很難作好。

如上圖所示，若是將樣本分爲三部分，能夠加快對一個樣本級裏面的黑白樣本的運營，儘快肯定其狀態。把咱們不能肯定狀態的樣本縮到最小，這樣的話即便對未知的樣本彈窗，也能保證它是最低的，這時候咱們以爲主防是能夠接受這種彈窗的，由於它對用戶的影響很小。

沒有目標就沒有方向，下面一張幻燈片介紹了對目標的控制。

監控點也是一個比較重要的概念。目標的肯定都是經過數據挖掘來的，這些數據的來源就是在客戶端添加的監控點。

提取特徵，通常原則是提取一些成本低的，由於只有成本低的時候這個東西才變的可投入可持續。爲了減小這種成本的投入，咱們提取的特徵是不易變的東西。咱們的特徵分爲兩部分：靜態、動態。靜態的話好比公司名、文件名、MD5 都是靜態特徵。動態特徵包括建立進程、釋放文件、建立註冊項、註冊某進程、加載驅動、訪問 URL 等。

以後謝奕智介紹了防護這個核心話題。以下圖所示：

外面這一圈是雲防禦的預警模式，第一個是監控。就是要用雷達找目標，由於沒有目標就不知道敵人在哪。第二個是分析，對數據的處理要求是比較快，比較高效，而後從這些數據裏面去發現問題、提取規則。第三個是響應，就是一旦發現了問題，有沒有能力去響應這些問題，這個要求咱們的客戶端也好，雲端也好要作一些基礎的建設來響應這些問題。第四個是策略，策略大部分都是在雲端去控制的，而不是在本地。

這是咱們的一個雲防護模式，它實際上是實時的，容許它運行就運行，若是不容許，它就暫時掛住。

最後，謝奕智介紹了雲規則的主要做用。第一個就是特例打擊，之前咱們判斷樣本的黑白要不要彈窗，好比它是一個白文件，就認爲這個白文件即便觸發一個危險操做，咱們也要讓它操做。相似於 EXPLOREP 這種會加載驅動，按照咱們的黑白判斷信任的話，這個動做也是不正常的，因此若是經過咱們的客戶端邏輯改起來就會很鬱悶。那咱們經過一些規則，能夠把這個問題就解決掉。第二個是更豐富的動做。由於咱們之前僅僅是阻止彈窗，處理的話就僅僅是把文件刪除。從數據來看，其實這麼簡單的動做可能並不能很好地處理問題，由於咱們可能天天都在發現病毒，但一天兩天過去那些中毒的用戶好像一直是在中毒的狀態。

主題二：基於業務邏輯設計的新一代安全預警防護思路

什麼叫業務邏輯安全問題？企業根據業務須要設立業務處理流程，並設計業務信息化系統輔助實現。理論上講業務系統和流程的實現功能，應該徹底匹配於企業初始指望的邏輯思路。但實際上由於各類緣由，業務系統和業務邏輯在執行過程當中出現了誤差，所以存在安全風險，會被有心人利用。

張彥經過一個實際的例子闡述了這個問題，以下圖所示：

在數量中輸入 -1，問題來了，商品總金額成了 1 元。數據沒有在服務器端驗證，出現了隱患。

張彥還以另外一個電商處理案例、廣州地鐵等爲例，說明了業務流程設計上的問題。

黑客能夠利用一些業務設計邏輯上的問題。同時，有攻也有防，咱們能夠利用業務邏輯設計進行一些防控。

張彥經過具體的案例，結合黑客的行爲模式分析，介紹了基於業務邏輯設計的防護策略思路：經過跟蹤企業中常態下數據的多個維度，並對可能影響安全的異常變化設計出對應的策略。同時策略應針對黑客行爲模式特色設計。對於每一個企業或者每一個系統，設計方案都具備獨特性。

設計的原則：

• 規則越簡單越好。大道至簡。哪怕是最「土」的策略。
• 規則觸發的越少越好，觸發的準確性越高越好。
• 規則間最好具備獨立性
• 規則最好對用戶和管理員透明

OpenSpace（開放式討論環節）

爲了促進參會者與咱們每期的嘉賓以及講師近距離交流，深刻探討在演講過程當中的疑問，本次活動依然設置了 Open Space（開放式討論）環節。

在 Open Space 的總結環節，兩位講師分別對討論的內容進行了總結。

謝奕智：咱們認爲一個行爲是有危害的，危害的行爲發生的時候，咱們纔會去處理。

張彥：企業應該先把業務梳理一下，幾十個員工，幾十臺機器，幾十個應用，先把數據流畫一畫。業務梳理以後，才知道哪些是最關鍵的，而後相應制定策略。能夠根據企業自身特色制定策略，進行防範。

會後，一些參會者也經過微博分享了他們的參會感覺：

@wqf425492648：# 百度技術沙龍 # 雲防護與實時防護模式的主要區別：雲｛監控、分析、響應、策略｝着重響應及可控策略

@Simonne 夢二：# 百度技術沙龍 # 對於黑客行爲，咱們能夠從數據的 7 個維度來分析：時間、地點、對象、方向、內容、協議、速率。從而跟蹤並捕獲那些竊取商業機密或危害國家安全的駭客。@百度技術沙龍 數據緯度分析也可應用於我的實際生活工做中。so easy

@山水長闊知何處：# 百度技術沙龍 # 作安全必需要先作黑客，瞭解黑客的心態才能去防護黑客～～知彼知己，才能打敗對手 @百度技術沙龍

@小紅豬 v：# 百度技術沙龍 # 殺毒軟件彈窗的可控性。在什麼狀況下才應該合理彈窗？而不是一種簡單提醒。@百度技術沙龍

@沙加 L：# 百度技術沙龍 #@百度技術沙龍 不少時候咱們的目標會很大，效果很差。可能咱們如今能作到的是目標明確，快速響應！

原文連接地址：https://developer.baidu.com/topic/show/290165