信息化時(shí)代，當(dāng)你在某網(wǎng)站購(gòu)物的時(shí)候，頁(yè)面中會(huì)有諸如“購(gòu)買此商品的顧客同時(shí)也購(gòu)買了......”的推薦，或者當(dāng)你在某APP聽歌的時(shí)候，應(yīng)用里會(huì)有類似“猜你喜歡”的欄目。以上這些，都是通過分析顧客的喜好習(xí)慣來達(dá)到營(yíng)銷目的的。他們是怎么知道人們的需求的呢?答案是對(duì)方掌握了一定的規(guī)律，然后進(jìn)行關(guān)聯(lián)分析得出的結(jié)果。

規(guī)律，是事物之間的內(nèi)在的必然聯(lián)系。例如：天體有運(yùn)行規(guī)律、社會(huì)有發(fā)展規(guī)律、個(gè)體有行為規(guī)律等等。如果違背這個(gè)規(guī)律，要么碰到釘子，要么碰出動(dòng)靜，碰到釘子的會(huì)受挫，碰出動(dòng)靜的多是新思路、新認(rèn)識(shí)的迸發(fā)。同理，Web安全也有規(guī)律可言。

針對(duì)Web安全規(guī)律特征，51CTO記者采訪了來自江南天安的安全研究員sm0nk ，他表示：“我們要做的，一方面是基于已有的規(guī)律去制定規(guī)則，從而完善應(yīng)用層防火墻(WAF)，另一方面是不斷地用推理和想象去創(chuàng)新去創(chuàng)造。”

sm0nk認(rèn)為：“數(shù)據(jù)是防御者的核心，漏洞是攻擊者的核心。分析和歸納漏洞是為了關(guān)聯(lián)分析進(jìn)而找準(zhǔn)保護(hù)數(shù)據(jù)的策略和方法。” 關(guān)聯(lián)分析主要包括行為分析和特征分析，是指如果兩個(gè)或多個(gè)事物之間存在一定的關(guān)聯(lián)，那么其中一個(gè)事物就能通過其他事物進(jìn)行預(yù)測(cè)，它的目的是為了挖掘隱藏在數(shù)據(jù)間的相互關(guān)系。

通過對(duì)Web攻擊規(guī)律的梳理，他向記者展示了以下典型的漏洞原理與防護(hù)：

針對(duì)已有的規(guī)律和邏輯的創(chuàng)新，獵戶實(shí)驗(yàn)室應(yīng)市場(chǎng)需求開發(fā)了彩虹Web 攻擊溯源平臺(tái)，應(yīng)內(nèi)部測(cè)試需求開發(fā)整合了軒轅劍自動(dòng)攻擊平臺(tái)。

彩虹Web攻擊溯源平臺(tái)和軒轅劍

在攻擊技術(shù)不斷朝著高端精密的方向發(fā)展態(tài)勢(shì)下，依靠單一的、靜態(tài)的防護(hù)設(shè)備來實(shí)現(xiàn)一勞永逸的Web防護(hù)是不現(xiàn)實(shí)的，必須實(shí)現(xiàn)全方位的、動(dòng)態(tài)的防護(hù)解決方案。獵戶實(shí)驗(yàn)室依靠上述研究開發(fā)出了彩虹Web攻擊溯源平臺(tái)，再加上專家團(tuán)隊(duì)、大數(shù)據(jù)溯源中心的支撐，實(shí)現(xiàn)了威脅分析、攻擊溯源、策略改進(jìn)三方面的持續(xù)閉環(huán)防護(hù)，并在防護(hù)過程中實(shí)現(xiàn)指紋積累和溯源數(shù)據(jù)的積累，以不斷增加威脅分析和攻擊溯源的準(zhǔn)確性，能夠在傳統(tǒng)安全設(shè)備的防護(hù)基礎(chǔ)上，明顯改進(jìn)Web防護(hù)的效果。

彩虹Web攻擊溯源平臺(tái)是以大數(shù)據(jù)為基礎(chǔ)，聯(lián)動(dòng)為主線，實(shí)現(xiàn)攻擊溯源的下一代智能安全防御系統(tǒng)。主要用于防御，它能夠基于流量進(jìn)行輿情監(jiān)控和溯源取證。然后以結(jié)果為導(dǎo)向，只要有外部鏈接、有命令執(zhí)行流，均可定位漏洞點(diǎn)和還原過程，直至聯(lián)動(dòng)到云端數(shù)據(jù)中心，處理攻擊事件。

sm0nk表示：“對(duì)于彩虹Web攻擊溯源平臺(tái)，我們核心定位兩種，一個(gè)是定位流動(dòng)情況，另外一個(gè)是聯(lián)動(dòng)處理，了解這個(gè)攻擊來自哪兒，然后進(jìn)一步加固。有兩個(gè)亮點(diǎn)，一個(gè)是可視化，一個(gè)是聯(lián)動(dòng)。一個(gè)是關(guān)于聯(lián)動(dòng)的情況，首先是以旁路的方式介入，接通所有的流量，這種過程不會(huì)對(duì)網(wǎng)絡(luò)架構(gòu)造成什么影響。通過聯(lián)動(dòng)結(jié)果來阻止惡意的攻擊或者訪問者。第二點(diǎn)亮點(diǎn)針對(duì)這個(gè)可視化，我們會(huì)比較直觀的不管是向領(lǐng)導(dǎo)匯報(bào)，還是向運(yùn)維人員展示的時(shí)候，可以讓他們了解攻擊來自哪里，對(duì)哪里造成了威脅。”

此外，sm0nk還向記者介紹了另外一個(gè)產(chǎn)品：軒轅劍。軒轅劍是獵戶實(shí)驗(yàn)室自主研發(fā)的輔助滲透的基于攻擊模型的自動(dòng)化平臺(tái)，主要功能是對(duì)資產(chǎn)的梳理(例如各大網(wǎng)站的架構(gòu)指紋)、漏洞的收集、自動(dòng)化;畢竟大多數(shù)滲透工作還是考量對(duì)已知漏洞的積累， APT類攻擊，會(huì)對(duì)0day、社工等充分利用。

最后，他分享了通過工作中積累的一些滲透方法，具體如下：

【個(gè)人簡(jiǎn)介】

 sm0nk，獵戶攻防實(shí)驗(yàn)室資深安全研究員，CISP專家。主攻攻防對(duì)抗、數(shù)據(jù)建模、關(guān)聯(lián)分析、溯源反制等領(lǐng)域。