數字時代帶來了海量的數據，而中國的快速發展和大國人口為大數據的應用提供了一個全球范圍內最適宜的環境。大數據環境相比傳統數據庫環境，不僅僅是數量級上的提升，更需要在保持性能的情況下進行計算——這無疑給大數據的安全帶來了更多挑戰。那么大數據安全該如何落地？大數據和大數據安全的發展又通往何方？洽聞國內專注大數據保護的廠商——觀數科技近期進行了新一輪千萬級的融資，安全牛采訪了觀數科技創始人李科，并就這些問題以及觀數科技的發展進行了解。

人物介紹

李科

觀數科技創始人兼 CEO

李科，曾任椒圖科技總經理。在安全行業從業十多年，有多年 Web 滲透測試服務和安全評估經驗，參與數千次滲透項目實驗，并擁有多項安全相關專利。

從主機安全到大數據安全

安全牛

觀數的團隊是以前椒圖科技的，而椒圖科技是致力于主機安全的，那你們怎么就開始做數據庫安全、大數據的安全了呢？

李科：這其實和我們從椒圖離開有直接關系。我從椒圖離開的時候，因為競業限制，需要重新選擇方向。而我們發現，在大數據這個領域，也需要用到訪問控制，只是主體和客體發生了變化，但技術的使用和目標卻依然是一樣的。

安全牛

我感覺應該還是有點區別的：主機安全主要面對的是系統，而大數據的安全則面對的是數據庫。

李科：技術棧確實不一樣，但本質上只是主體和客體的變化：在操作系統上，主體可能是用戶和進程；在分布式數據庫上主體就可能是列、組、字段等——但進行防護安全理念是不變的。所以，我們就可以把之前做主機防護的思路轉化到分布式數據庫上。

安全牛

所以你選擇轉移到大數據，是因為你覺得大數據是未來的方向，而且暫時沒什么人在專營大數據保護這個領域。

李科：在 2015 年尋找方向的時候，我們首先在考慮云計算。但是，云計算各種層面上都和主機安全重合度太高——云計算其實是將一個主機虛擬成多個系統，但大數據恰恰相反——大數據把多個主機集合成一個系統，這其實會帶來新的問題。我們自己動手后發現，根據網上的教程搭建出來的系統，只要網線能連上，就能訪問 hadoop 中所有數據。然而，這些訪問沒有任何的賬戶體系，也缺乏足夠的訪問控制。在這樣的情況下，我們在國內做了一些研究，尋找是否有專注于做大數據安全的公司，結果發現沒有。但是，我們發現國外有像 這樣的公司；于是我們就認為這樣的需求事實上是存在的。

安全牛

那在確定了這個方向之后，你們開始著手做了哪些內容呢？

李科：我們就開始往這個方向做第一款 DAF，對應 WAF（ D 代表 Data ）。在 2016 年做出來了以后，拿到公安部三所去送檢。當時國家也還沒有標準，所以專家認為這是可以填補國內空白的工作，就去參照國外同類產品的功能。我們現在也是唯一一個有公安部發的針對 hadoop 安全的《信息安全專用產品銷售許可證》。目前仍然只有我們一家有這個證。

大數據安全的三大痛點：敏感數據處理、合法合規、集群管理

安全牛

那你們之后都在哪些行業推廣了自己的產品呢？

李科：首先是運營商。我們發現運營商在整個大數據的板塊里，從技術的角度來看是最成熟，規模也是最龐大的。

其實我們剛和電信接觸的時候，他們并不認可單一的產品。他們對大數據安全是有一個整體的頂層設計的，所以如果我們只能解決中間一個環節的問題，他們是沒法給我們立項的——我們必須要一個整體的安全解決思路。那我們就反過來和他們溝通，詢問他們的真實痛點是什么。最后，我們總結出了三個痛點：敏感數據的處理、合法合規、以及集群管理。

安全牛

敏感數據的處理一直都是數據安全領域非常重要的話題，那在大數據安全領域你們是怎么看的？

李科：這一步里細分了很多領域，比如如何梳理敏感數據資產。電信有些寬表有幾千個字段，包含了身份證號、電話、家庭地址等等。電信表示他們知道自己有很多敏感數據，但是如果沒有一個完善的資產表，他們無法知道這些敏感數據在哪。另一方面數據開放才有價值：數據需要在流動中才能產生價值，在這個過程需要跨部門，甚至跨機構，但是需要在流動過程中防止敏感數據泄露。

安全牛

現在你們在這個痛點上有什么樣的解決方案？

李科：我們平臺里有兩個模塊：一個是敏感數據發現，這個就對接了現在的主流大數據平臺，像 HDFS、HBase、Hive 等。我們自己也定義了一個數據分類分級的標準。我們通過和人訪談，比如在電信行業之前有自己內部的一套標準，并且在今年發文正式制定。我們根據這個標準，創建了一個發現敏感數據的引擎，可以掃描數據庫并生成報告，告訴用戶自己的哪些敏感數據在哪個表、哪個字段。

另一個模塊是脫敏，分為兩種：靜態脫敏和動態脫敏。靜態脫敏主要用于存量數據，當要開放給其他第三方分析的時候，在從A庫拖到B庫的過程中，用加星、泛化等方式進行脫敏處理。靜態脫敏一般沒有實效性要求。靜態脫敏已經在我們一期的幾個電信環境都已經落地了。當我們今年在第二期的時候，就遇到了動態脫敏的需求。動態脫敏要求實時處理，這就比靜態脫敏更進了一步。這個時候我們就轉換思路，用 Spark 在中間做了一個轉化層，這個轉化層可以做到只要數據經過，就能實時進行脫敏處理。但事實上，我們發現結果不是特別理想。因為一旦數據量太大，我們這個環節就會成為瓶頸。所以，后來我們又想了一個辦法：我們只截獲傳輸中的 SQL 語句，或者是大數據取得語句，通過改造語句，直接做到在輸出的時候不含敏感字段。

安全牛

感覺這個要求的技術含量很高，因為一個 SQL 指令的處理會面臨的是海量的數據。

李科：對，而且語句當中存在嵌套。我們在這個技術上確實花了很長時間，而且不少廠家已經在這個坑上卡了一年多。

我們實際上也不快，只是我們在電信行業里花了一年多時間去研究這方面的實現方式。這需要同時對業務和大數據整個框架都比較熟悉才能做到。前幾年都在說 NoSQL、NewSQL，但這兩年我們感覺在大場景里都在轉向 AllSQL——這樣才能標準化。現在就有點像 Linux 十年前的環境，沒有標準化。我對大數據行業前兩年的印象就是亂象叢生，但現在我們明顯能看到是在往 AllSQL 的方向走。

安全牛

等保2.0是今年才出的，那你們是之前就發現了合法合規是一個痛點嗎？

李科：是的，因為其實除了等保，之前還有網絡安全法。另一方面，工信部本身就有一套對數據安全和行業監測的標準，這其實是剛需。

安全牛

集群管理這個痛點又是怎么一回事呢？

李科：之前機器只有幾十個，上百個，客戶會需要一個好的管理軟件，去下發補丁、統一管理。但是，現在集群數量太多了，像剛剛提到的有 1,500 個，那如何管理這樣龐大的集群就成了問題。主機層面有其他廠商在處理，我們不會去插手，然而這上千個集群中會有幾十種組件，使用的版本還可能有區別；那么，一旦某個版本出現性能不足、消耗內存過多、需要打補丁、甚至出現了漏洞該怎么辦？我們現在把這個需求稱為 “集群管理”，而且用戶在這方面急需一些有管理能力的工具，而我們的平臺現在也兼具了這樣一部分功能：一旦安裝了我們平臺，那么當前集群的一些參數，比如 CPU 消耗、內存消耗，都可以被收集。我們在平臺上還有一個閾值的調整，對于偏離閾值的情況進行告警；當有新的補丁發布，我們會進行提示。我們目前已經解決了集群管理中的一部分問題。這方面在未來還有很多工作要做。這可以算是泛安全的概念。

觀數的技術優勢

安全牛

這三個痛點是你們現在總結出來的，并且在運營商行業有了一定的成果。那現在你們是準備繼續在運營商領域挖掘，還是計劃擴展行業了？

李科：我們其實除了運營商，還有一個領域是電網。

因為電網除了電力輸送之外，還有一個作用是信息。電網本質上和運營商是一樣的，只不過電網跑的東西是它自身——國家電網是有一套自己的內網進行運行的。這一套系統的需求其實和運營商差不多。所以在電網里，我們的一些大數據審計、漏掃之類的功能也在使用。這兩個行業我們已經摸索了兩年多了，因此相對而言有一些經驗。但是我們現在還沒有做好去擴展新行業的準備。我們這次融資的目標，是將業務擴展到全國的運營商，將我們現在比較成功的模式在全國進行復制。

安全牛

我們知道現在大數據市場已經完全爆發了，各行各業都在建大數據平臺。在這個情勢下，很多安全需求可以很直白地被看出來。那么這些安全需求現在由誰在處理呢？

李科：運營商和電網是我們作為原廠商專門去耕耘的行業，我們并不主要去做其他行業，但是我們有合作伙伴希望我們一起去挖掘——比如深信服。我們剛中標了一個區的雪亮工程，他們使用的大數據集群和超融合一體機都是深信服的，那么里面集成的大數據訪問控制和脫敏就是我們來處理。

安全牛

這么多大數據市場和結構，其實都缺乏有效的安全保護，或者是比較合理的機制。大數據平臺都已經建立起來了，那這些工作是誰在做呢？

李科：有一些廠商也在跟進。大一些的廠商都已經開始涉足這個領域了。和他們相比，我們起步更早，有更多的積累，并且我們只做這一件事。舉個例子，某些廠商做數據庫審計，他們做了很多年，市場也很大，他們現在也在做這方面的審計，但是他們現在而言支持的組件遠比我們少。

我認為做這行是需要時間的，而不是說其他廠商沒有這方面的能力。

安全牛

那你們在運營商和電商兩個領域的經驗，以及總結出來的三個痛點是否是普適的呢？

李科：是。這三個痛點肯定是普適的。這是我們在第一年的項目中總結出來的。但是，我們在第二年的項目當中又發現了一些變化：變得更場景化。然而，場景化的需求不是廠商閉門造車就能搞明白的。我們現在的審計已經做到天天和用戶在一起做分析。最初我們主要做的就是五要素：主體、客體、時間、動作、結果，形成一個記錄。我們會基于記錄進行分析，把數據做成了可視化——這是我們第一期的工作，達成了事后有據可查。而現在我們開始在做事件關聯，就是我所審計的日志，和客戶的業務產生關聯性。另一方面，當我們發現某個字段出現 “update” 和 “delete” 操作，并且這個字段是敏感字段，那我一旦點開這個字段，我能發現這個字段上級屬于哪個列族、哪個庫，并且來自于哪——即血緣分析。這是我們現在主要在往前做的功能。

安全牛

現在大數據市場本身也在變化，比如之前都是 Hadoop，那這種情況是否會影響你們的發展？

李科：在第一年的時候確實存在這個問題，我們都要去做定制開發，所以我們支持的組件范圍就相對比較廣。但是現在 AllSQL 的模式正在影響用戶，所有的功能都在往這個方向轉，所以我們現在的精力也主要往這個方向走。我們的思路是今年在我們的電信產品中，往一個平臺的方向走：無論后臺是用哪種組件，只要接入我們平臺，就用 SQL 的協議進行轉換，從而就能做得更標準化。

大數據安全 Vs. 數據庫安全

安全牛

你認為你們和普通的數據庫安全廠商最大的區別是什么？

李科：其實從根本上來看，我們現在是在一線的、不完善的技術層面進行摸索。大數據解決的是性能問題；我們一直都是以此為前提在做安全。所有人都知道性能和安全是沖突的——而我們和傳統的數據庫安全的區別就在這點上。傳統數據庫在做的時候不需要太多考慮性能方面的問題，因為性能早就已經決定了——他們就是處理實時的、小數據量的內容。但是到了大數據領域，用傳統數據庫也能解決——用一千個防火墻；但是一旦這么處理了，也不用做大數據了，因為效率太低失去了大數據的意義。我們的技術特長和難點，就是我們一定要在兼顧性能的情況下考慮安全。

首先分布式就是有區別的——所有雞蛋并不是放在一個籃子里，我們要解決如何整體去保護的問題。另一點就是不能影響性能。

安全牛

所以很多比較敏感的涉密單位，最后的保護方式就是加密。但是一旦加密，對于使用而言就很麻煩，性能會很低下。那你們大數據會涉及到這方面問題嗎？

李科：這類單位的重點是分類分級。一旦某些信息被分類到一定敏感級別，即使犧牲性能，也必須要進行加密；未到達敏感級別就不能加密。因此，分類分級反而是這類單位大數據的最關鍵點。據我所知，現在有多個運營商都在要求大數據加密的組件，我們也為他們提供了一些 demo。但是要做到這件事情，首先要能梳理好企業自身的數據資產，否則全部數據都加密，大數據也就不用落地了。

觀數的未來發展

安全牛

剛剛聊了很多技術方面的內容，那在市場前景、企業文化等方面，你是怎么看的呢？本次新融資的投資方是誰，這輪融資的主要規劃是什么？

李科：市場前景的話，就像我之前提到的，大數據已經在開始往標準化的方向走了；對于我們而言，現在就是立足這兩個行業，以我們自己的能力去深挖。在這兩個行業里，我們需要做的就是把我們標準化的產品打磨出來。我們剛進入行業的時候都是接項目。盡管我們都是帶著我們自己的產品和客戶溝通，但是客戶都覺得我們的產品和他們的實際需求差距有點大，所以就需要進行定制。結果就是前幾個項目我們都是定制，再加上我們原來產品，進行了大量的開發工作。在這個過程中，我們發現，可以把一些做得很好、很標準的功能單獨提取出來做成產品——這些產品是不需要我們將來去做服務的，就像防火墻以及審計類產品一樣。我們今年的目標就是做出兩款標準化產品。這些標準化產品的意義在于我們以后就有能力和大廠商合作，作為原廠商輸出產品，給一些深信服、綠盟、奇安信等大公司員工進行培訓，讓他們提供服務，甚至可以將大量的利潤讓給這些公司。只有這樣通過渠道，像我們這樣以技術，而非銷售為導向的公司，才能提升產品的銷售量。這是我們現在最重要的事情。

我們本次投資方是瀚暉資本，是一家關注高成長性的投資機構，此前成功投資過歐派家居 (603833)、科順股份 (300373)。本次融資主要規劃是建立銷售 體系和技術支撐隊伍，提升服務質量和能力，進一步擴大市場。

安全牛評

觀數科技通過自身與國內大數據應用能力最強的運營商領域的合作，逐漸總結出了大數據安全的三大痛點：敏感數據的保護、合法合規、大量集群管理，在原有功能的基礎上進一步針對痛點進行開發。這些是觀數成立以來專注于研究大數據安全，和客戶一起研究、分析的成果。安全領域需要大量的積累，尤其是針對客戶需求的總結，而不是閉門造車地一味追求某種功能。觀數因起步早產生的經驗積累，與他們對大數據安全的專注，成為其在這一領域立足的優勢。

另一方面，觀數科技的 CEO 李科也提到，大數據的整體方向也將是走向標準化。這一趨勢，無論是對大數據平臺，或是正在涉足大數據安全的廠商，都是在考慮自身產品開發與落地時必須意識到的因素。

推薦 l 惡意郵件智能監測與溯源技術研究

(1)公共反釣魚網站平臺提供的資源信息；

(2)與該URL相關的關聯信息。

基于URL的鏈接識別、基于域名的特征識別和基于公共反釣魚平臺信息進行的郵件過濾基于靜態特征匹配技術，可實現對郵件的快速監測和過濾。基于頁面、基于內容的特征識別和與該URL相關的關聯信息分析可以基于動態分析技術，識別更隱蔽的郵件攻擊。具體URL過濾的特征分類和主要指征如圖2所示。

URL域分析URL鏈接的特征。通過分析URL鏈接的基本屬性、行為意圖、域名情況，判斷該URL是否具備惡意鏈接的基本特征或存在不良行為意圖。

(1)基本屬性包括：URL數字計數、URL總長度。

(2)行為分析是對攻擊者行為意圖的識別，判斷依據是分析攻擊者是否存在刻意混淆行為。評價標準有：是否存在刻意模仿行為、是否存在拼寫語法錯誤(拼寫語法錯誤往往是由于攻擊者插入了特殊字符、隱藏字符等)。

(3)域名分析是通過分析URL子域個數、頂級域名(Top Level Domain，TLD)是否是常用域名、域名起名是否存在規律性和隨機性、是否故意設置了存在歧義性的域名等異常行為特征。

基于域名的特征識別，通過公共資源利用、基本屬性分析和行為分析方式，識別URL鏈接是否為可信鏈接。公共資源利用是通過與國際反垃圾郵件組織提供的黑/白名單比對，發現域名是否可疑；基本屬性分析是通過檢查域名注冊的時間信息，分析域名可信度；行為分析是通過域名分配機構提供的域名注冊信息，分析域名用者是否存在刻意隱藏注冊人姓名、注冊地址等可疑行為，依據可疑程度綜合評估確定域名是否可信。

基于頁面的特征識別，通過分析鏈接所指向頁面的屬性和關聯信息，檢查URL鏈接是否符合正常頁面的訪問特征。檢查依據：全球頁面排名情況、國家頁面排名情況、Alexa流量排名情況、頁面類別、相似頁面、被其他網站的引用次數、頁面每日/月/周的平均訪問次數、平均訪問時間等。

基于頁面內容的特征識別，通過分析鏈接所指向頁面的頁面內容，判斷URL鏈接的可信度。需要進行基本屬性分析、行為分析和站點分析。基本屬性分析是通過分析頁面標題和正文文本內容發現頁面的不正常狀態。行為分析需要對頁面的不可見文本、圖片、登錄情況、網站受眾信息等進行逐項分析，發現頁面的可疑特征和攻擊意圖。站點分析是通過分析站點架構和頁面標簽項，判斷站點是否具備正常網站特征。如經過檢查發現頁面存在異常行為，則判斷頁面對應的URL鏈接為惡意鏈接。

明確URL鏈接識別中的基本要素后，為每一象限特征構造一個決策樹，多棵決策樹累加、訓練得到最終URL鏈接的識別結果。

2.4 郵件內容過濾

郵件內容過濾是垃圾郵件過濾的關鍵步驟。將內容過濾分類為文本監測過濾和圖片監測過濾，采用深度文本意圖分析技術、圖像識別技術、圖像對比技術進行郵件內容過濾。

2.4.1 深度文本意圖分析技術

傳統文本監測技術是基于關鍵字或多項關鍵字的正文文字檢驗，針對敏感信息外發，涉密文件監測有一定效果，但是忽略了對郵件正文結構的監測，而且誤報率高。本技術的核心思想是提取郵件的正文特征和主題特征，采用異常文件結構識別技術和語義意圖分析技術進行郵件內容和結構的大數據建模。模型建立后解析當前郵件樣本的文本內容和文件結構，通過模型分析當前郵件與正常郵件在內容、結構方面的偏離度，深度挖掘郵件發送者意圖，區分惡意郵件與正常郵件。通過偏離度分析模型能夠在一定程度上識別ATO攻擊、BEC攻擊中郵件正文鏈接使用的0day漏洞，對抗高級加密混淆類漏洞利用攻擊。具體包括：

(1) 分析標題及正文意圖，與URL內容進行比較，判斷意圖是否一致，如不一致判斷存在攻擊行為。典型應用場景為：郵件詐騙者騙取用戶訪問惡意URL鏈接，利用瀏覽器漏洞在用戶主機執行惡意代碼或者盜取用戶密碼。

(2) 分析標題及正文意圖，與附件(文檔類)內容進行比較，判斷意圖是否一致，如不一致判斷存在攻擊行為。典型應用場景為：攻擊者向目標郵箱賬戶發送含有漏洞利用程序的附件文檔，此類惡意文檔一般存在文件結構問題，可通過數據建模的方式識別異常。郵件安全防護系統進行垃圾郵件過濾時如果僅憑結構異常就判定郵件為惡意郵件，可能造成誤報影響用戶體驗。若通過意圖比較技術進一步分析，一旦發現郵件行為意圖可疑并且文件格式存在問題，則初步判斷郵件可能為惡意郵件。通過意圖比較分析技術能夠提高惡意郵件識別的準確率。

(3) 加密惡意附件的解密與監測技術：為規避檢查，聰明的郵件攻擊者可能使用加密技術進行攻擊載荷隱藏，并在正文中顯示密碼，方便用戶手工輸入解密。自動化沙箱監測因不能識別密碼而無法對郵件解密進行檢查。加密惡意附件的解密與監測就是通過文本語義分析技術自動識別出正文中的密碼信息，并以此為憑據解密附件，進行自動化分析與過濾。

2.4.2 圖片識別技術

隨著郵件攻擊技術的發展，出現了將信息隱藏在圖片中發送的垃圾郵件規避技術，圖片識別技術專用于監測此類攻擊。有兩類主要技術方法：

(1) 圖片文字識別技術：利用該技術可將圖片中的文字轉化為文本，然后使用深度文本意圖分析技術進行發送者意圖分析，識別通過圖片隱藏的惡意垃圾郵件。

(2) 圖片密碼識別技術：為規避郵件過濾系統的監測，攻擊者常常將帶有惡意漏洞利用程序的附件加密，并將解密密碼隱藏在正文圖片中一起發送到受害者郵箱。受害者收到郵件后根據圖片信息可解壓打開惡意文檔。郵件過濾系統因不能解密而無法正確過濾郵件。利用圖片密碼識別技術，可以發現圖片中的隱藏密碼并正確識別，利用密碼自動解壓附件、過濾惡意程序，使攻擊行為無處可藏。

2.4.3 圖像對比技術

圖像對比技術進一步加強了釣魚攻擊的監測力度。在商業釣魚中，不法分子經常偽造銀行頁面，騙取用戶賬號密碼。釣魚網站域名在未被安全公司披露前，往往會有大量用戶中招。圖像對比技術采用類似網站快照的方式，對全球易被誘騙的正常網站頁面鏡像拍照，當識別出郵件中URL中內容與正常網站的相似度為99%以上，但URL鏈接不是真實的鏈接時，判定為釣魚鏈接。

2.5 郵件附件過濾

網絡安全攻防對抗不斷升級，免殺技術、0day漏洞大量曝光，僅僅依靠傳統的殺毒引擎很難保持對惡意附件的高查殺率。沙箱技術的出現雖然實現了一定程度的過濾，但繞過沙箱監測的技術也在不斷出現，仍有大量惡意郵件樣本繞過監測。為此，提出沙箱與機器學習相結合的郵件附件過濾技術。主要實現以下三大類附件的監測與過濾：

(1)腳本監測：采用基于機器學習的加密混淆監測模型。首先通過加密手法、混淆手段、提取分析技術抽取樣本，學習訓練形成腳本監測模型，將模型與腳本在沙箱中的行為監測結果結合，識別是否存在惡意行為。

(2) Office文檔、pdf文檔監測：系統進行文檔監測時，除利用靜態分析技術進行文檔格式檢查、威脅特征匹配、宏監測、惡意ole對象檢查外，還利用了動態沙箱監測技術監控文檔打開后的所有行為，判斷是否存在下載執行、反彈回連、數據傳輸等可疑木馬行為。除此之外，系統通過大量文件進行文檔異常格式數據建模及訓練，利用模型結合沙箱的行為監測技術感知威脅、監測未知漏洞。

(3)可移植的可執行( ，PE)文件監測：首先通過字符串分析、導入表分析、資源圖標分析、編譯信息分析、PE其他結構(包括DEP/NX /ASLR)深度分析等方法對PE文件綜合打分，然后依靠機器學習算法優化權值和威脅閾值，綜合評判實現威脅附件的發現與識別。對于威脅值高但無法確定存在威脅的文件，通過沙箱監控技術進行再次監測。全面監控文件、內核、內存、注冊表的變化情況并建立各種行為的異常數據模型，通過機器深度學習方式識別發現威脅。此外增加沙箱逃避監測技術，防止惡意文件監測到沙箱環境后停止運行、逃避檢查。

2.6 惡意郵件溯源

威脅情報平臺積累了多個知識庫,通過關聯分析模型實現溯源，包含黑客工具知識庫、黑客身份定位知識庫、黑客身份定位知識庫、漏洞庫、木馬庫、惡意DNS庫、惡意域名庫、惡意URL庫、黑客指紋庫、黑客行為庫、規則場景庫等。比如黑客工具知識庫能根據工具指紋識別攻擊者使用的工具，用于判斷攻擊者的身份，因為不同組織不同地區的攻擊者都有其自己的黑客工具。黑客攻擊手法知識庫，不僅能分辨出黑客的水平，甚至可能確定黑客的身份和組織。黑客身份定位知識庫收集了全球大量黑客個體和組織信息，以及對應的攻擊事件，當檢測到攻擊時，能自動識別是否為對應的攻擊者，如果未識別，也會自動收集該攻擊行為的指紋和手法，下次遇到同樣攻擊行為指紋和手法則會識別出來。除此之外，還可以聯動其他安全廠商資源，關聯攻擊者曾在互聯網上的攻擊事件。

威脅情報平臺數據來源分為三部分：第一部分通過全球部署的蜜罐系統長期收集攻擊者相關的威脅情報。第二部分采用大數據采集技術進行開源威脅情報的信息挖掘和收集，由安全專家進行信息的篩選分析，最終整理形成有價值的威脅情報。第三部分是通過大量部署在客戶網絡的安全監測設備反饋形成的威脅情報

黑客工具知識庫是威脅情報溯源云中心的重要元素，通過“三因子模型”定義溯源基因。“三因子模型”從靜態指紋基因、隱態指紋基因和動態行為指紋基因三個角度定義惡意郵件的溯源基因。

每類指紋基因定義專屬標簽項，每個標簽項下設定具體的溯源特征和指標。三因子模型共包含19個標簽項，近百項溯源特征和指標。其中標簽項的定義和分類如圖3所示。

通過對黑客工具的識別，很大程度上可以識別攻擊者的背景、身份。

3 系統實現與應用

惡意郵件智能監測與溯源系統的主要功能包括惡意郵件的監測、識別、過濾和溯源。系統包括三個主要功能模塊：

(1) 網絡流量中郵件數據的采集；

(2) 網絡流量中郵件數據的分析與溯源；

(3) 惡意郵件查詢和溯源結果顯示。

其中,網絡流量中郵件數據的采集由公司部署在網絡關口的多個探針系統完成，利用探針系統可完成網絡流量數據的獲取。

網絡流量中郵件數據的分析與溯源是系統核心功能，包括三個子模塊：

(1) 郵件數據提取：從海量網絡流量中提取郵件相關數據，重組郵件。

(2) 多級過濾引擎：融合多項郵件過濾關鍵技術和分類匹配算法、機器學習算法進行惡意郵件的檢測、識別與過濾。

(3) 溯源分析模塊：采用基于威脅情報的三因子指紋識別技術，進行郵件基因關聯，識別郵件的真實來源和所屬黑客組織。

惡意郵件查詢和溯源結果顯示使用BS架構，用戶可通過瀏覽器方便地進行惡意郵件查詢、樣本獲取和溯源結果查看。

目前系統已成功應用于網信辦、公安部、海關總署等政府機關和國家電網、民生銀行、中國聯通等大型企業。在實際應用環境中，采用智能惡意郵件監測與溯源技術實現的“睿眼郵件攻擊溯源”系統，成功識別、溯源多起境外黑客組織以郵件方式發起的APT攻擊；幫助用戶及時發現、應對、溯源針對內網用戶的釣魚郵件攻擊、BEC攻擊、ATO攻擊等高級郵件威脅。同時，通過行為分析及時發現用戶郵件的弱口令設置、賬號受控等不安全因素，告警提示、預警風險，取得良好應用效果。

4 結論

為解決現有惡意郵件安全檢測系統在監測能力和溯源能力方面的不足，本文提出發展新一代智能惡意郵件安全監測與溯源系統的技術需求。圍繞識別APT、ATO、BEC等新型復雜攻擊的惡意郵件監測要求，設計了一款包含多類檢測引擎和多級過濾系統的智能郵件監測與溯源系統。系統基于獲取的網絡流量數據進行惡意郵件的分析和過濾，除具備傳統垃圾郵件過濾功能外，還融合了異常行為分析、URL鏈接過濾、深度文本意圖分析、圖像識別、圖像對比、加密附件解密、沙箱監測、威脅情報溯源等智能化郵件分析技術，能夠更加智能地感知網絡流量數據中的惡意郵件威脅、識別高級復雜郵件攻擊，并且結合威脅情報溯源云中心提供的威脅情報數據能夠發現攻擊來源、溯源攻擊者的身份或所屬黑客組織。

參考文獻