中国IDC圈12月28日报道，12月20-22日，第十一届中国IDC产业年度大典（IDCC2016）在北京国家会议中心隆重召开。本次大会由中国信息通信研究院、云计算发展与政策论坛、数据中心联盟指导，中国IDC产业年度大典组委会主办，中国IDC圈承办，并受到诸多媒体的大力支持。

中国IDC产业年度大典作为国内云计算和数据中心领域规模大、具影响力的标志性盛会，之前已成功举办过十届，在本届大会无论是规格还是规模都"更上一层楼"，引来现场人员爆满，影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。

会上，知道创宇政企事业部副总经理 邓强 出席IDC服务大会并为当天的安全运维分论坛做《大数据助力安全运维》主题演讲。

知道创宇政企事业部副总经理 邓强

以下是演讲实录：

运维的核心目的就是如何确保服务、应用、业务能够正常地、高效地对外提供服务。

网络攻击的发展趋势，从黑客的实力和动机以及攻击手段和目标两方面做了分析。首先我们看网络攻击的动机，现在基本上已经看不到以前经常看到的黑客单纯的攻击动因，现在能看到的攻击，或者我们现在看到几乎所有的攻击，它背后所有都夹杂了经济利益、政治诉求在内的复杂因素。另外就是攻击手段和目标，现在基本商城现出两个极端，一个是越来越复杂化，像我们现在提到的很多APT攻击作为代表，很隐蔽、很持久、目标精准，包括使用的攻击方法、手段非常的多。另外一个攻击极端就是现在大家比较困扰的世界难题，简单粗暴型的攻击，直接打流量、打复合的DDOS攻击，包括DYN的事件我们自己也有分析。

对于黑客来说，背后的利益驱动性越强，产业链的净化又给网络攻击、网络犯罪非常好的温床。现在所有的产业链都是非常的成熟化，每一个环节环环相扣、分工明确，现在的攻击相较于以前传统攻击来说，黑客之间的协同性会更强，不像以前我需要去单打独斗、面面俱到，现在每一个都是在成熟的产业链条当中的固定环节，他只要做好自己的本职工作就好，这种产业模式下，使的攻击能力和破坏力发挥到极致，对于我们被攻击的一方来说无疑是一个灾难。

从政策的层面来说，最近这两年提的很多国家对于信息安全、网络安全的重视程度越来越加强，包括明年6月1号马上要颁布实施的《网络安全法》，这也是从立法层面提出的更高的要求，对于每个信息系统、网络系统的参与方，你是系统的提供方、运营方发生问题以后同样的也会有责任，所以对我们提出更高的要求。

安全运维面临的挑战，主动的监控，我们缺乏主动监控的能力和手段，当我们内部的风险不断地聚集，比如内部被控，导致内部的其他敏感业务数据外泄，或者被控以后发起攻击，导致IDC被监管，或者说外界封了我的IP，这都是内部的监控不足造成的风险。第二部分就是业务持续性问题，当我们面临的攻击，甚至于网络不能访问突然性的加大，我们一没有很好的支撑通道。还有资源层面，我们知道作为单一的个体、企业来说，无论从人员、资金、支持技能的积累包括数据，相对于攻击方都处于被动、劣势的状态。

我们作为外部的安全解决方、提供方，我们也会重点地从主动的监控、高效可用、安全资源方面提出自己的思路和解决方案，希望帮助到运维，在管理工作当中减少麻烦。

首先来看主动监控。我们知道现在的网络规模是越来越大，网络里头的网络资产也越来越多。资产越来越多、资源越来越多，直接导致的就是受攻击面增大，里面的风险也会越来越多。全球的互联网基本都用的IPV4的版本，IPV4的空间是42亿多，42亿多的空间，我们现在能够了解掌握的只是非常小的一部分，大量的互联网空间或内容对我们来说都是黑洞。而且对于我们来说风险往往都是在未知当中，基于此我们在2011年就开始做ZoomEye，它很简单，就是去看我关注的区域或者整个会互联网里有哪些资源，具体地来说，每个IP地址背后是一个服务器、网络设备还是安全设备、手持设备、移动设备都是它关注的内容。所以我们了解到了我们关注的目标区域，它里头是什么东西，由哪些资源、资产构成，我们才会进一步有针对性的感知风险、应对风险。现在ZoomEYE有了比较强的能力，我们会在七天对地址空间进行分析，还有进行准确的识别，有了全球的数据我们可以做一些应对性的数据分析，可以帮助我们去做一些风险上的感知和快速地应对。

除了Zoomeye，流量也是很好的分析源，我们知道流量里隐藏了大量的攻击和威胁。我们经常说作为攻击者来说，多多少少都会在流量里留下蛛丝马迹，这也是我们看到市面上所有的检测设备都从流量入手，我们也对流量做了很长时间的研究和分析。云图就是从双向流量中感知高级威胁和已感染的设备，已感染设备对内网的攻击很大，会引起数据泄露和IP被封。我们会去做一系列的检测，通过进出互联网的流量做进一步的检测，检测的结果都会跟云端的威胁情报做一个相互的佐证，这样的话确保我们的检测结果能够更准确。我们现在在大量的客户，包括一些保障任务验证了云图的能力，包括G20，我们通过云图发现了大量的攻击行为，包括大量的病毒木马。

云图上去以后很快就会发现有异常，什么异常呢？就是某几个IP固定每天会在凌晨的时间开始活跃，它会频繁大量地对外发包、发请求我看到它发请求的内容，我们看到它基本上请求恶意的域名，现在远控无非就是通过远端的主机会控制里面的感染设备，从这个现象的角度来说，我们基本上能够判定，这几个IP是有问题的。我们再来看云端的威胁情报能够告诉我们什么，我们看到从云端的威胁情报给出的联系关系图这个IP，这个IP地址在云端捕获到的互联关系基本上都是恶意IP，有了估计和云端的推论，这两者放在一起八九不离十，这个IP肯定有问题。

第二个就是业务连续性，我们知道现在网络攻击成为业务连续性大的杀手，这里头尤其以DDOS供给尤其让人头疼。我们现在应对这种DDOS攻击的时候，我们攻防的双方是不对等的，我们作为单独的个体，很难有资源应对动辄上百G或者上T的攻击，更何况我们自己的带宽，我们IDC的带宽都是宝贵的业务带宽，现在基本上比较常见的、也是有效的方式，就是通过外部的一些云的防护方式，云的防护模式跟传统来比有大的一个有点，就是它可以作用协同的防护，我单个的个体资源有限，我的带宽、我的经验、我的知识结构都有限，通过云防护可以把大量的个体整合起来，形成一个整体，但在这个整体里头，任何一个单一的个体遭受攻击都会第一时间传导到其他的个体，其他的个体就会快速获得防护的能力，包括防护体系里头接入的防护个体越多，对于防护的一方，我们接触到这些最新的攻击、捕获到最新攻击的可能性就越大，我们可以去做防护。

在这块云防护这块，我们也会自己的自品牌，我们叫创宇云安全，我们在创宇云安全从攻击防护、流量防护、加速三个方面分了三个分支，我们去做三块更加有针对性的事情。这里看到了创宇盾，针对应用型的高级威胁、高级攻击去做防护。通过创宇盾相当于在我们的系统外延布了防护罩，促进我们安全系统的提升。我们后台会有专业的积极防御小组对所有的攻击数据进行分析。我们内部叫黑客学习，你打我一拳，我知道了这一拳怎么打，下一次我就知道怎么躲。在实际的对抗当中不断地自我净化、成长，这也是云的方式大的优点。

对于第二块抗D保，主要是提供业务系统连续性的保障，说的直白就是对抗DDOS攻击，目前抗D保也是拥有国内大的抗D集群，现在所有的抗D的资源跟腾讯云都是无缝地进行融合，能够确保我们能够快速地做资源的扩充，每个抗D保的节点都有腾讯的抗D系统，宙斯盾在前面，我们自己比较强势抗CCD引擎在内。

加速了CDN，业务的访问、业务的优化，跟传统的CDN没有区别，从功能上来说传统CDN具备的功能加速乐都有。我们的大优势就是把整个知道创宇的优势都融合到CDN，能够提供安全的CDN保护，引用了CDN可以给你优化业务，还可以给你提供安全。

整个的创宇云安全平台都是机遇DNS的体系，主要做DNS的引流和设计就可以快速的几分钟接到PC里头获得防护能力，背后有专业的专家团队帮你分析报表，帮你分析攻击，提升防护能力。让我们的管理员、业务员把更多的精力放到业务上去。

有了很多的数据，我们每天有上亿次的请求和上万次的攻击我们会把新的攻击手段和手法、黑客的指纹、攻击的习惯和特征提取起来，形成自己的黑客的指纹库。

我们把金融体系的信用体系这套模型引入到了整个的云防护体系当中，我们会对所有的来访访问请求进行信用评价，你的访问是正常的还是有恶意的扫描和攻击行为，这我都会记录到你的信用体系里。我们会对当前的绘画、历史数据和相关的数据进行关联性评级分析，形成安全评级云。在这个基础上我们进一步做黑客的画像和黑客的分级，黑客的所有历史攻击都会去看，攻击的手法、特征、攻击水平高低都可以分析出来，对应到你在我库里的级别，通过级别我们可以区别出黑客的攻击能力、攻击水平的高低。这些都是可以通过大数据做的。

目前全国节点都有覆盖，通过节点都可以进来，快速地获得安全的能力。

第三块资源。资源主要是从数据的分析、威胁情报、安全服务上做的考虑，比如说这里头提到的创宇星图，我们做以数据为核心的安全态势管理，做监控、做防卫，上去之后会有很好的效果，但是时间一长，数据越来越多，数多达到一定量会对我们产生干扰，我们会在数据表达上进行分析。现在做安全的知道，大家都在提安全态势感知平台，我们也构建了自己的安全态势感知平台。

另外就是从漏洞获得安全情报，现在安全事件越来越多，我们单独的个体很难从互联网快速获得感兴趣的威胁情报，我们也推出了安全情报速递服务，安全关心的资讯、漏洞的信息、相关的加固方案和验证程序我们都会推过去。

还有就是渗透，渗透这个东西大家都很熟，我不多说了。我们跟传统的渗透厂商做的解决方案相比，我们更加注重实践的效果。像这里提到的AP五P、微信、业务逻辑的测试，都是我们比较擅长的。