AI与大数据在云安全防御的探索实践_云安全

随着云服务的普及，云安全面临的挑战相较于传统IT时代更加复杂，更多企业数据放到云服务器，其巨大的资产价值吸引着大批黑客的攻击与窥窃，针对云安全的攻与防可以说是一刻也未停止过。今年5月，一场名为WannaCry的敲诈病毒在全球范围内的蔓延，让云安全防御的紧迫性和重要性提到了台前。

云厂商们试图通过人为监测、规则式验证等方法来防止恶意Bot、抵御CC攻击，但似乎收效甚微。2017年，人工智能与大数据的落地应用，为云端的安全困境重新找到了突破口，深度学习、数据分析成为新防御的“核”武器，那么，开发者该如何利用这些智能技术进行安全监控与防御部署呢？在刚刚过去的UCloud技术沙龙上，来自Cloud、摩拜、新思科技的技术专家，提出了不同的解决方案。

UCloud苗东华：大数据入侵检测规则引擎的研发建设

UCloud安全中心高级研发工程师苗东华做了开场演讲，他从大数据在实时入侵检测的应用实践、如何实现大数据安全规则引擎以节省安全运营的学习和使用成本、高可用的大数据处理架构的构建三个维度分享了大数据在安全检测方面的应用。

一般而言，入侵与风险需要检测的项目有很多种，包括木马检测、异常登录/暴力破解、软件安全基线、web安全基线、反连shell 等等。因此，企业每天产生的安全数据种类多也异常繁多，据不完全统计，一家企业每天产生的安全数据需以千亿计。入侵检测的历史追述时间长，与之对应的，入侵和风险监测告警响应时间却是越短越好，这些都是入侵检测面临的巨大挑战。

UCloud安全中心采用大数据技术构建了一套成熟稳定的入侵与风险检测的系统。如下图所示，通过入侵及风险分析规则引擎、离线查询分析与历史操作回溯等，智能化的完成监测系统的调度、监控与告警系列工作，省去大量人工监测与审核的时间。

同时，在入侵检测的手段上，UCloud引入了规则引擎，运营以sql及黑白名单的形式编写规则发送给mongodb，Engines从DB拉规则或者写入告警，研发人员再以http格式提交变更给到client。这样一套完整的规则引擎架构，能够避免检测数据繁杂、入侵和风险检测规则变更频繁、动态增删黑白名单等带来的检测效率底下问题，更高效的完成海量数据的检测与监控。

韩葆：基于云的安全测试

云安全测试作为一种相对较新的服务模型，允许IT安全测试服务提供商在云中执行按需应用程序安全测试。因此，基于云的应用程序安全测试的目标是使这些服务提供者能够以安全的方式利用云技术和解决方案。新思科技软件质量与安全产品线业务负责人韩葆现场分享了一些基于云的解决方案的趋势、挑战和解决方案，以及云服务供应商的可靠性与安全性保障技术。

韩葆表示，目前，云安全面临的大威胁还是来自于云端的数据泄露或丢失，整个行业缺少有效的云安全标准机制，因此，各厂商需结合自身的情况构建一套自有的安全评估与安全测试模型。针对常见的安全问题，韩葆现场给给出了以下三大解决方案：

l解决方案一：威胁建模。在云平台的研发过程中引入的问题，罗列出前Top-N问题列表，比如攻击漏洞、或者相关的场景等，并且分析有可能带来问题的云组件，构建云端威胁模型，然后评估安全风险；

l解决方案二：你自己的应用。绝大多数的问题仍旧来自用户自己的应用，包括ASP、JSP、Java、云服务、游戏等。因此，如何基于自身的业务逻辑，做一套完整的应用防护至关重要。针对这一点，数据分析是非常有效的防护手段。

l解决方案三：云上安全测试。云上的安全测试种类非常多，有静态分析、黑盒测试、模糊测试、成分分析以及快速、大规模化的测试等。这类测试适用于大规模、高并发，需要控制成本且要求时间的非特高可靠性与安全性需求的应用场景。

刘少东：AI和大数据在云安全中的应用

WAF是web应用防火墙（Web Application Firewall）的简称，对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，为web应用提供防护，也称作应用防火墙，是网络安全纵深防御体系里重要的一环。UCloud安全中心高级研发工程师l刘少东，就如何应用机器学习技术改进WAF质量以及Web Bot检测与识别进行了详细的阐述。

刘少东表示，基于规则体系构建的WAF，一定会存在误报和漏报的问题。如何评判规则WAF的质量，发现其误报和漏报数据是开发者需要解决的一项重大工程。UCloud 重新构建一套学习模型的检测引擎，通过HMM 算法来检测异常载荷改进WAF质量。

正常的Bot包含搜索引擎的爬虫、自动化完成的业务逻辑、监控机器人等，主要用来网站的正常运转与指标监控。由僵尸网络发起的DDoS以及CC攻击、接口烂刷、垃圾邮件机器人、恶意爬虫等恶意行为都属于异常Bot。针对异常Bot，通常的防御策略采取IP限速、钓鱼的方法发现恶意bot、验证码、设备指纹识别等技术，但采用这些技术仍然存在高误报率、操作复杂、影响体验等问题。

UCloud采用会话追踪与行为分析技术、人机识别—创新的信息熵检测技术，能准确的在请求时间维度上检测出Bot，即使Bot使用随机时间来请求，同样能被检测出。对于识别出的异常访问，同时结合安全防御知识，对恶意Bot进行分类识别，例如是否是cc攻击，web扫描，恶意爬虫等等，这样即可有效提升恶意Bot的检测与识别率。

李学庆：浅谈共享领域安全思考

共享模式的兴起，给予了用户在多钟环境下的便利但也带来了新领域的安全挑战。摩拜单车安全负责人李学庆着重介绍了在共享模式下的安全风险、安全方案以及安全价值模型的构建过程。李学庆曾就职于京东商城，为原京东安全方向第一人，618、双11安全保障总舵手。组织和主导京东所有重大漏洞响应事件，间接避免经济损失高达4.3亿元。在安全领域的防御上有丰富的经验。

李学庆首先讲解了安全领域的一整套架构体系，并且针对每项安全风险给出了较为全面的防御建议。一套完整的安全体系包括系统安全、数据安全、办公网安全、网络安全、基础安全、移动安全、业务安全、风险管理、IOT、安全运营等。在系统安全防御上，用户需要对信通进行初始配置、主体监控、补丁管理以及版本风险管理等。而在数据安全领域，用户数据保护、轨迹数据保护、数据链轨迹、密钥保护、数据溯源等防御措施至关重要。每项安全风险需要考虑的防御事项都不尽相同但却相辅相成。

随后，李学庆从人力资产与固定资产两方面详细讲解了安全风险的构建模型。以人力资产举例，以下为一个完整的人力资产安全风险模型以及人员变动的每个阶段所需考虑的风险问题。