中国IDC圈1月10日报道，1月8日，第八届中国IDC产业大典在国家会议中心盛大召开。本次大会以“新资本 新技术 新格局”为主题，力邀工信部、通信发展司、电信研究院领导，IDC企业、电信运营商、互联网企业、设备厂商等各行业精英齐聚一堂，共同把脉中国IDC行业未来发展之路。在1月9号分论坛“大数据与互联网技术峰会”上，百度加速乐资深安全顾问秦波应邀出席了大会并发表精彩演讲“web安全大数据”

百度加速乐资深安全顾问秦波

以下为秦波演讲实录：

秦波：非常荣幸能够参加IDC的专场的会议，这是关于大数据的讨论。听上午几位嘉宾在分享他们在电商方面数据的思维，怎么通过数据为用户、商家提供便利。

之前我们实际上一直在做安全方面的事情，在最初做这些事情的时候，我们并不知道我们在做大数据相关的事情，过去的七年，我们一直在分析、拦截监控，行业保护方面，在全国各地，乃至全球，部署了我们专用的服务器，对整个互联网的安全，我们一直在做这方面的研究和分析。

今天我主要是讲web安全大数据，在互联网的层面，我们怎么通过数据的一些形式，来挖掘把一些成果应用于不同的一些角度。因为之前做安全，可能相对比较专业，因为离老百姓比较远，一般都是政府单位，银行，或者是运营商使用的设备，离老百姓生活比较远。现在我们的安全离老百姓越来越近，大家有微博，也有搜索，你们展现的数据，都是我们在后台分析之后提交出来的。

我们去百度搜索一个产品，里面会有很多的链接，我们在搜索结果里面标注出来这个不允许访问，这是我们在后台的。去年中国好声音出了一些诈骗，我们也在合作。我们把这些诈骗的信息甄别出来，通过跟公关合作，跟运营商合作，提示老百姓收到这种短信不要相信。今天我讲的主题，主要是侧重安全方面，在场的有没有安全圈的朋友。我们可以热烈的讨论一下。

首先因为我自己是从传统的安全厂商里面出来的创业者，在安全厂商里面大概十几年。我说一下传统厂商的他们防护的缺陷。仅仅是讨论，大家有什么意见可以补充。传统的安全更多的是点式安全，不同的用户，包括运营商，政府他们购买不同的设备，在不同的网络里面。设备跟设备之间，没有彼此的依赖关系，也没有任何的关系。这种点式防护，在早期的安全里面，非常的重要，他能解决不同的问题。包括有防病毒的，有防垃圾邮件的，有反黑客攻击、防DDOS攻击的，每一款产品代表单一的功能，解决单一的问题，部署在单一的网络里面，传统的厂商大概用这种方式在做。

他的方式主要是以面向威胁的角度。他不懂你后面保护的对象是谁？也不知道也不关心，他只关心有谁在攻击他，他会产生什么样的威胁，从这个角度解决。另外有一点重要的不足就是关于传统的厂商，他无非是把预定好的一个盒子，交给不同的人去运维。这里面因为安全是不断的发展，不断的调整，他是动态的过程。怎么去解决他在运维的过程中，不断的产生问题。就是说你需要不断的为之前购买你产品的用户，提供能够升级的手段，及时的保护一些新的产生的一些威胁方式。包括运维人员，运维人员每一个客户他要购买很多的产品，运维人员他是否专业，也决定了这个产品，是否能在单位里面发挥有效的作用。

不贴合业务，厂商的产品可能要满足不同的行业，追求大化的。他并不能针对特别的需求，特别的领域来做一个很好的防护。无法防护巨型的DDOS，早年的巨型服务以兆为单位，现在几十个G，上百G都是很常见的。

传统的领导最关心一些问题，可能不同的运维人员，怎么攻击的？攻击者是谁？要看多少个安全设备的报告，日志分析了吗，什么时候分析的。有多少站点？不管你问哪个一个问题，他都无法马上的回答你，就是因为数据的确实，数据的分裂。数据可能分布在不同的安全设备里面，你要问一个网管，问一个安全的管理人员，你要问这个问题，他非常的头痛。他没有办法很好的回答这么一个问题，我们往往是基于事后的回应，一直被攻击了，我们才知道发生这样的问题，我们该怎么解决，平常对这样的问题，我们很少考虑。

我们现在从大数据的角度出发，攻击是怎么回事？这是一个综合性的问题，为什么？昨天的攻击是什么回事？包括时间、地点，方式等，他是一个综合性的提问，您无法单一的满足。我们要经过大量的查询，去分析他的攻击手法，影响的范围，包括黑客的追踪，黑客本身是用什么方法攻击，他来自哪里有什么目的等。把这些问题带入进去之后，通过我们现有的数据，能返回一个综合的结果，最终能够很好的解决这样的问题。后面我会列举怎么思考这方面的问题，通过一些数据分析来展示。

安全经过这十几年的发展，现在我们的边界越来越模糊。早期的网络，可能会把网络分成独立的子管。网络跟网络之间必须具备边界。现在我们的各种应用非常的发达，手机非常的发达，各种应用也在蓬勃的发展。刚才我坐在这个位置，也在处理公司的邮件，所以传统的那种在一个地方办公，一个地方处理数据，这种边界很模糊。我们要在很小的地方，找出很复杂的云，是不可能的。我们要从更广阔的视图里面，寻找更深层的原因，找出存在的规律。

传统的方式我们一直在看冰山上面的各种形状，通过它表现出来的一些表象，日志、告密、事件，但是对于他深层次的东西我们不知道，我们不知道它有什么联系。后面我会讲一些数据，通过数据我们来了解一下。

我们需要把一个个分裂的网络，融合在一起。同时覆盖全球多个维度的数据。同时资深专家一直在一线运维，这个大家可能感受不深刻。所有的传统厂商，他是把一个盒子是卖给不同的客户。客户跟资深的专家，其实保持很远的距离的，他不知道你的网络发生时间事情，你出了问题他不知道怎么解决。我们现在专家一直在我们的后台里，我们是以云的方式，是以云平台的方式，在铺垫这个平台。所有的攻击发生之前，我们第一感知，用户不知道，我们知道攻击发生，知道该怎么去做处理。资深专家一直在运维。

在攻击者动手之前摁住他。这是很有意思的，传统的方式可能是被动式的响应，你感觉网络很慢，突然发现网站被别人贴了一个图片，突然发现我们的邮件里面有一个病毒，都是我们在被攻击之后，才能感知这样的一个事情。你很少知道是谁准备来攻击呢他没攻击你之前，按照我们的方式，可以把这个思路理出来。

这是我们的一个数据平台，从数据采集，和处理的方式来看，跟电商的角度可能也差不多。无非是你采集大量的数据，但是我们的数据语言不一样，我们关系的是安全相关的数据。采集指纹，指纹是一个专业的术语，是指专业的设备，他具备特殊的可甄别的信息和特征，我们称之为指纹。我们把全球所有IP的指纹库全部采集到，它具备什么漏洞，我们都知道。

攻击行为来自什么地方？我们也进行采集，还有关于链接等，形成一个巨大的图库。处理方面我们通过hadoop，map reduce这种方式，把这些数据进行存储和融合。

对于挖掘和展示方式，我们把这些数据采集之后进行分析，最终我们通过搜索引擎、短信、报告的方式，全面的向全世界发送。让老百姓知道危险离自己有多远，能够做这些事情。

利用这些数据我们可以分析它的影响范围。一些到的活动，政治事件的时候，这个时候攻击的频率发生特别多。以前我们做不好这种预测。包括我们的电力系统，我们的网络系统，什么时候被攻击，我们不知道，但是通过数据分析，我们能够知道未来攻击发生在什么地方，他可能带来什么后果，用什么方式攻击。数据背后的真相，我们之前看一些统计的数据不知道。其实互联网上每一天，被攻击的站点，高达五千多个，每天都在发生。但是攻击手段他只有十几个，其实攻击手段并不多。那么我们用传统的视角去处理，每攻击一个网站，我们要应急处理五千多次。如果我们找到他的攻击手段，提前通过云的方式，把它给消灭掉，就可以有效的保护我们五千多个网站不被攻击。

全国有超过17%的站点，存在明显的高危漏洞，漏洞的类型数量并不多，我们统计一下只有那么几种。还有10%的网站引用了第三方组件，第三方组件一旦有问题，整个的网站崩溃。3.3%的网站，所安装的组件是在没有补丁的状态下使用。每天全网针对web站点的攻击超过3亿次。

我们对大数据的定义，当然不一定完全的准确，这是我们的理解。就是我通过多维度，包括攻击角度，服务器端和浏览器的角度，从不同的角度，我们都在囊括覆盖全球的安全数据，并且进行综合的分析。最终我们想呈现出整个互联网的安全状态。从不同的角度去看，互联网流行什么？攻击什么？从不同的维度去分析，我们可以达到完整呈现互联网安全状态的目的。这是我们在CS里面分析的结果，我们想把它应用出去，为不同的用户，为老百姓提供服务。所以通过各种途径，包括微博、IM、聊天工具，短信、电视台等，用防护阻断、告警提示、数据分析等方式给服务器运营方以及互联网访问端用户提供服务，以达到我们更好更安全的互联网的愿景。为了这个愿景我们一直在做这方面的努力。

后面我展示一下我们在这方面分析的一些数据，这个是操作系统的使用比例。整个的中国的web服务器市场的份额，攻击源的排名，专门发攻击的地方，我们的统计来自温州。被攻击的网站所在地区最多的是在北京。被攻击网站的类型统计，我们这里统计了是教育排第一。第二个就是购物，就是电商类的这种网站排第二。

我讲一下这个例子的过程，这是去年我们的安全小组对互联网攻击范围比较大的一个应用程序，最新版本的漏洞进行分析的过程。这个数据可能没有更新，6月7号到6月14号，6月7号我们发现有人攻击这个应用程序，他是手动的方式，只有个别的水平比较高端的黑客通过手动方式攻击。6月8号出现了两款工具，来自同一C段地址进行测试，目标广泛。9号他又新增了两款工具，地下黑客一旦测试OK，会把这个工具发给这个小组的其他成员，第三天我们发现来自六个省的攻击源，用了这两个新工具。第四天又发现两个小工具，这是用Python的useragent，七天之内发现十款工具，对700多个网站进行攻击。前期是在小范围里面进行测试，后续爆发他把工具在地下传播，有来自韩国，来自北京高校，攻击源非常广泛。

我们想了解这种攻击方式什么时候流传，什么时候传播？我们查了2012年的数据。就已经有用这种方法攻击的，这是我们查询的记录。0Day是一个专业的术语，是未公开的攻击方式。它是掌握在极少数人的手里面，它一旦大规模的应用的时候，会出现很多自动化的攻击方式。

这是我们对JAVA Applet挂马的分析，不详细讲了，大家可以去我们的网上详细的看分析的过程。

还有一段来自俄罗斯的攻击代码，我们分析这个代码三天时间，攻击了三千五百个网站。150000个浏览器用户。他把这个网站攻击，在网站上种下木马，普通用户去访问这个网站，木马会植入到普通的用户电脑里面去，整个的分析过程，我们在网站里面都公开过。

strtus2有是去年大面积攻击的方式。我们对Strtus2的攻击方式，也是从数据里面提取的分析，一个是哪个时间点，来自哪个IP，攻击了多少个网站，其中哪个网站被攻击的次数最多。全部是通过我们的数据，可以完整的把它还原出来。我们针对Strtus2的预警、检测、防护，推出了相应的工具，我们在网上，你可以把怎么检测，怎么防护的方式，通过我们的微博，和官方的网站公开，所有的下载，可以利用这种方式，去做一个预警。

D—link后门是我们分析的一个成果，我们分析这个结果是全球有六万多个 D—link后门的路由器，每个人在家里上网，都有一个家用的路由器。这个路由器有后门，也就是说你在家里上网。那么黑客可以在远程端，通过登录你的路由器里面，去获得你的权限，修改你的材料，获得你的机密文件和信息。你上网聊天，通过网上交易等，这些路由器，因为它本身的不安全，导致任何的黑客，可以通过这种方式攻击。影响点非常广，我们把世界地图打印出来，有红色标志的，已经被我们确定，具备这些漏洞的地区。这些分析的报告非常的详细，在网上可以下载去看。

去年有一个来自国外的黑客，他攻击了非常多的中国网站都是政府的网站，去年我们统计的数据是四千多个。最后分析的结果就是这个家伙，我们可以通过他在网上购物、聊天，他在网上参加什么组织，通过各种方法我们可以定位到一个准确的物理人。

之前我说了在攻击者动手之前把他摁住，好的是了解谁在攻击我们，我们建了一个黑客定位的系统，把所有在互联网攻击的黑客全国的定位跟踪，并且建档案。黑客曾经攻击多少次网站，他来自哪个地区，甚至我们能够知道这个黑客是男的还是女的，年龄范围有多少，通过数据分析的方式进来。这些都是以来我们遍布全球的数据采集器，在全球都有数据采集。

通过这些不同的数据采集方式，我们知道这个世界有什么，发生了什么？如何发生的？这四个左右的采集的品牌，第一个是加速乐，百度加速乐，目前我们有30多万个被防护的网站，我们能够感知整个互联网每一刻真实发生的攻击行为。我们有两千多个网站的自动检查，我们知道这些网站自身会有什么问题。我们是覆盖全球所有的IP，任何的IP在ZOOMEYE上去查它的指纹。

Zoomeye它是一个，这些文字里面列出来的都是我们可以搜索的数据，通过它可以呈现。我们每搜索一个服务器端的组件它都会告诉你这些组件在全球哪些地方分布。

加速乐是替身一个网站安全防护平台，是一个免费的平台。并且它能够为网站提供加速两倍以上，同时对大规模行动防御的功能。这是我们部分数据的展示。今天是IDC的大会，我们跟IDC也是希望做一个沟通，做一些合作。

我们为IDC和用户带来的价值。

中国的网络是南北不同的运营商，有交互的瓶颈，跟全球交互也会有瓶颈。我们中国跟整个世界的出口带宽有限制，带宽比较窄，我们能够打通南北的限制，跟全球访问瓶颈的限制。同时能够降低运营的成本，由云端我们提供运维和分析，所有的防护分析，交给云端来做，用户或者是IDC不用做这方面的基础工作，解决down机的灾难。服务器本身可能会存在一个个的端点，我们在云端可以避免down机的可能。因为我们把服务器的内容分发在我们全球的不同节点里面。

操作比较简单，我们在安全方面，任何的攻击者看到的全是我们平台的IP，负载均衡，带宽性的灵活，特别是巨型的DDOS的攻击，几十G，对整个的IDC的机房都是灾难。我们可以把这种大型的DDOS攻击，在我们的云端给消化掉，流量不会阻塞IDC的带宽。

有一份报告，是我在IDC的机构里面找的一个数据出来，IDC调查里面不满意的占比中，其中IDC他占22%，资源无法保证占28%，经常宕机占15%，我们希望能够提供这种方式，解决对IDC这方面的不足。对于用户来说，不需要做任何的部署和维护，也不需要了解复制的机制和数据结构，一切可以交给我们来做。

因为时间的关系，所以我不会讲太多这方面的细节，希望更多的机会跟大家交流，因为大数据为安全提供了一个更广阔的视野。从而能够发现潜在的规律，不管是哪个行业，哪个角度。安全数据可用现有的数据提炼，通过分类、挖掘，提炼，数据采集提炼分析，态势判断的安全链条基本形成，但是还需要进一步的发展和扩充。智能化需要处理，不管是哪一个行业的数据。

欧美控制了大部分的数据源，在整个的互联网上绝大部分的数据源还是在欧美。目前我们中国大家越来越重视数据的发展，我们也需要国家能够从战略层面，提供对大数据研究的支持和开放的态度。更多的信息大家可以联系我，我们在门口有一个展台，大家可以找我深聊。