还有一些其他形态的,这是一种软件形式的,可以拓展到一个中国特色的产品,这个产品的产生,包括到目前现状的发展,都是和我们国内的,比如政府行业是息息相关的。Wifi,在漏洞检测,都有工具,有传统的系统的网络公司。采用产品的时候,我们的用户也采取web相关的,我们第一类演讲的,就提到过我们的web应用程序开发的时候是第三方开发的,根本没有能力检测web系统开发的时候本身就有问题?我们创宇也提到了,本身的框架出现缺陷,这些缺陷基本上是没办法弥补的,这种情况下有可能会出现,在系统,我们开发的系统,在之前的安全代码审查,在上届之后,也会存在周期性的检查,对于网站出现的层出不穷的周期来检测,达到一个实施的这种情况。web层面的安全服务也区别于传统的服务,也会有很多的分类,包括我们网站,大的网站都有数据库的支撑,审计也是跟网站相关的。
这些产品都是我们要加强网站安全,常用的一些手段,这些手段有很多了,在这些手段的基础之上,我认为还不是很足够,我们认为还是可以有更好方法,或者可以加强的这些方面,也就是说,我们刚才提到的乌龟刺猬头的模型到底是什么样的?我认为是最合理的实质性的东西,主要是两方面,一方面就是制度,另外一方面就是达到反制。这个功能达到主要我们认为是,如果落实到最终的目标,出现了在前期推测,或者是攻击者他去用一些工具,或者攻击行为,在他准备去摸索这个网站的情况的时候,就能识别这些行为,并且在识别竞争行为的前提下,我们能够识别他竞争的源头的信息。比如你这个镜竞争所使用的类型,是使用了一种工具,这个工具所发出的探测的数据包的圆的IP地址,属于是两个区域,如果IP地址是我们已知的,我们相应的检查机构,工信部这些,他们已知的一些,属于他们组织的IP地址,是有他们的这些,也可以作为区别对待。比如说我们在识别他的竞争行为和识别竞争圆方面,都能够非常快的,也就是说很敏感识别到进攻的时候,就有足够的时间和足够的手段来去应对他。识别之后,达到理想的最终状态的时候,进行反致,除了最后一条,抓捕和起诉这条,需要监管部门,一些执法机关去配合用户做这方面的工作,其他的前提都是可以做到的,比如我们既然认定了,这是一个进攻的行为,或者进攻的,我们完全可以针对恶意行为去做总结。做总结的时候,我记得昌强院士也提到过,这是一个无效的,把所有的访问都封锁掉的话,其实是一个无效的行为,把所有的东西都封掉,当然就不用访问了。而是应该区别对待。我们可以完全在用户做检查,我们可以完全在他扫描的时候,给他压力,给他访问,弹出一个对话框,这个来源的IP,具备恶意攻击,暂时停止访问多长时间。
想达到我们想提倡的这两个感应度功能的落地方面,我们认为产品的升级,功能的演进,达到这个目标的,都可以用网站应用平台这样一个平台来实现,这个综合平台的实践,我们在后面会介绍这个案例。我们可以看到,我们的用户用这个方法,他们是如何实现的。反致这个方面,都可以再升级,提高判断的能力,取证、跟踪、攻击。
这个图片主要就是说我们提到的防御功能所解析的,事后的分析等等,我们认为在主动防御功能的最有效的实施点就是在事中防护,如果在攻击发生的时间,第一时间我们很有效的识别这个东西,并且能够,哪怕不阻断,只是为了跟他去学习,做了什么事情,其实我一直很清楚地知道,我一直尾随你,学习你,观察你,这样对于用户是一个新的方法,很好的学会攻击的方式,为以后匹配未知的模型做很好的基础。
介绍一下我们国舜提供的主动防御与被动防御的一个 对比。一个正常用户的访问,最多一个网站,最多跟网站做一个交互一些信息,攻击者就会完全不一样,会有些自己的行为模式,这跟我们将来在案例提交的时候,具体一些做法是非常相关的。也就是说,我们能够很准确地识别是正常访问,还是一个恶意的攻击行为。其次,我们还能够在确定,因为准确性提高了,就完全可以在准确性提高的基础之上,及时的阻断,或者针对性的阻断,区别地对待这些被认定是攻击,或者是其他行为的这些动作。所以我认为在这个情况下,主动防御和被动防御的区别,一个是准确性,一个是能够阻断,还有一个刚才我提到的,哪怕是这些攻击行为能够见过的,或者我们根据他的一些行为模式,一直尾随他,观察他,最终断定他是一个未知的攻击的,我们都可以比较好的去定位他,最后做出破坏行为的前提下给他给阻断掉。
最后我们这次交流,发言主要的重点,希望跟大家分享一下案例,主动防御和被动防御当中的一些实践,这些实践并不见得我们已经做出了多么大的成果,因为用户也是在和我们配合中,不断地探索,很多问题都是出现新的问题,我们只是针对新的问题,提出一定的解决方案,跟大家分享一下。提两个案例,第一个案例就是用同一个实践,我们一再强调我们是想做到主动防御,实践我们确实也取得了一些成果,这个实践的用户单位,我们只能说他是一个在南方的步骤,这个运营商其实已经采购了我们很多的产品,或者web产品,达到了数百台网站的服务器下,还是能够比较好的进行防护。但是由于这个网站,他的安全水平是层次不穷的,每个业务系统对于用户的重要性,比如说机位,但是比如说他的系统的重要性,有可能稍微差一点,重视程度不一样。能够在恶意的工具扫描,发现和阻断方面,能够及时发现安全事件被发生之前,提到一个高明的层次,一种是治胃病,一种是隐病,希望我们用户,包括我们的个人,希望能够治胃病,或者在并发症的时候,就出现反映。
