由51CTO舉辦的WOT”互聯(lián)網(wǎng)+”時代大數(shù)據(jù)技術(shù)峰會上，來自北京江南天安科技有限公司技術(shù)總監(jiān)俞華辰做了以《誰動了我的網(wǎng)站》為主題的演講。俞老師從當前的網(wǎng)站安全狀況談起，對攻擊的溯源進行了解析，并通過案例來說明。本文章是把本次分享的干貨亮點整理成文字形式，呈獻廣大的用戶。

當前網(wǎng)站安全狀況

針對我國境內(nèi)網(wǎng)站的仿冒釣魚站點成倍增長，境外攻擊、控制事件不斷增加，中國網(wǎng)站安全問題形勢依然嚴峻!

網(wǎng)站管理者對于管理邊界以及網(wǎng)絡(luò)設(shè)備、設(shè)施使用情況并不明晰。當管轄范圍內(nèi)信息系統(tǒng)被掛上反動、博彩、色情頁面時，我們甚至都不知道它的存在。

目前，信息資產(chǎn)管理者，面對領(lǐng)先的黑客技術(shù)，不知道自己的網(wǎng)站問題出現(xiàn)在哪里，抓不著黑客，或者被入侵了還不知道，而且取證難，防御滯后等問題，管理者真是壓力大責任大!

到底是誰黑了我的網(wǎng)站?

當你的網(wǎng)站被黑了，肯定是網(wǎng)站或者服務(wù)器等有漏洞。那你的網(wǎng)站究竟被誰黑了?攻擊者通過什么方式攻擊的?攻擊時間持續(xù)多長?攻擊者正在使用什么手段開展攻擊?一系列的安全事件，造成什么樣的影響?這個攻擊者是來自個人還是極端組織?攻擊的背景是什么?

那么對以上這些問題，是否能在大數(shù)據(jù)環(huán)境下追溯到攻擊源頭，找到以上問題的答案呢?

通過攻擊溯源，可以實現(xiàn)三W，即是：Why，Who，Where。

Why：為什么黑客能攻擊進來，采用了哪些攻擊手段，哪些黑客工具。

Who：找到攻擊者的身份、個人信息以及網(wǎng)絡(luò)指紋。

Where：發(fā)現(xiàn)安全事件的軌跡，找出攻擊者的歷史軌跡。

那么，怎樣溯源呢?通過威脅情報分析。

如上圖，主要分基本信息、處理引擎、云端信息、沙箱信息四個版塊?；拘畔⑴渲昧撕诳偷腎P地址，包括他的經(jīng)緯度，以及黑客所處的大概位置。左下角云端信息中的開放端口，是指黑客的C段的開放端口。當攻擊溯源設(shè)備發(fā)現(xiàn)一條攻擊后，會自動對黑客的IP進行云端的反掃描，會掃整個C端。在右上角的處理引擎中，云端規(guī)則會判斷黑客使用什么樣的攻擊方法，攻擊是否成功。因為旁路設(shè)備是對整個的網(wǎng)絡(luò)流量進行檢測，所以基本判斷這些東西還是判斷比較準確的。

溯源結(jié)果可以讓你知道，什么時間攻擊者第一次訪問了你的網(wǎng)站，用了什么樣的攻擊方法。在某時某刻又做了怎樣的攻擊，所有這些可以通過程序自動記錄。

演講最后，俞老師與大家分享了關(guān)于蜜罐的利用。他表示：“密罐是我們現(xiàn)在用來搜集黑客信息的最主要的來源。”

收集到的信息如何用呢?將程序?qū)牍緢F隊自主研發(fā)的自動掃描程序N-MAX，專門用來掃描端口服務(wù)和其他的用途。然后通過密罐去獲取更多的密罐，像滾雪球一樣，越來越大，從而獲得更多的信息。