11月3日，以“深度解读应用及业务安全”为主题的OWASP 2012中国峰会在深圳博林诺富特酒店召开。本届大会从多方面、多角度诠释基于因特网、无线电话网和物联网的应用、融合及业务方面的安全，并围绕应用及业务安全发展方向和威胁增长趋势等方面，进行深层次的探讨。

　　以下是知道创宇高级安全研究员孙博《互联网攻击数据分析与行为解读》的演讲：

　　创宇高级安全研究员孙博

　　大家好我是孙博，来自知道创宇，今天过来跟大家分享一些比较好玩的东西，我们经常会提到网络战争中什么最贵?我们通常给出的答案就是两个字“反恐”。为什么提到这么敏感的词?实际上在我看来我们在网络上应对黑客攻击的时候，跟我们国家应对现实中的恐怖袭击是非常类似的。假设这是一个恐怖分子，首先不知道他是谁，也不知道他攻击的目的是什么呢，也不知道从哪里来?什么时候发动攻击?也不知道黑客的等级是如何的?以及他的攻击工具，他用的是AK47还是小米加步枪。

　　下面说一下我们通常情况下追踪攻击者的流程，首先是一个海量的请求日志。一会儿告诉大家这样的含量请求哪来的，然后黑客行为的分析包括挖掘一些罕见的Payload、0day。还有对黑客进行分级，给黑客打标签进行持续跟踪。我们通常称这种黑客为大黑客，因为数据量比较大，不可能每个黑客进行人工的追踪。我们发现有一些黑客他有很强的政治目的，他入侵一些网站之后会写一些非常敏感的反动言论。还有一些黑客专门入侵各地政府的邮箱系统。还有一些黑客用的其他国家军队的扫描器。因为海量数据传输是需要成本的，所以通常在全国各地进行统计分析之后把分析的结果进行汇总。其实我要说的主要是这个系统，基于一个海量的可以做到哪些事，可以基于这个系统做态势感知以及技术分析。我们可以做到事先感知，比如国内开一些比较大型的会议，在开会议之前向国家的有关部门提一个意见。告诉他们会遭到什么样的攻击?对这个数据整理分析可以统计处容易遭受攻击的网站类型群体，包括电子商务邮箱还有我们提到国家网络信息战做数据支撑，我们做一个动态演示我们可以很清楚的看到世界各地的分布情况。

　　黑客评级方式我们有一个比较复杂的算法，但是很可能我写得不清楚，我只是把大家知道的几个写出来。比如说漏洞利用时间，通常情况下很多人挖出来漏洞但是不懂利用。上午有人挖了出来，但是没有人去利用，下午就有人去写批量的脚本去利用。比如说一些扫描器和爬虫，现在国外有50多种，加上国外大学里面的网络爬虫有100多种。这个是来自韩国的黑客档案，其实这个档案里面有很多信息，为什么确定是韩国的?可能会经常根据用的一些IP，他三次攻击有两次使用的韩国，有一次是是使用台湾的，后来发现台湾的是带服务器的。然后再就是性别，大家奇怪怎么知道性别的?其实可以举一些浅显的例子，我们发现他入侵一些网站的时候，他对美女图片比较感觉兴趣，这只是其中一个依据。还有一些其他的页面停留时间都会做一个统计，最后得出来大体的猜测，还有它的一些年龄范围使用工具。大家看到使用工具里面我们把浏览器也做了一个分析。这个就是黑客攻击的网站列表，然后还有这个对它的攻击方式进行一些整理。我给大家看一下实际的展示的环境，本来我是打算连网的，现场黑客比较多，我觉得这不科学还是算了。所以说还是把这个做成录像给大家看一下。这个界面是一个主界面包括一些基本的信息，还有这个是一个动态的展示，大家现在看到的这个地球上面黄色的亮点是黑色，红色是被攻击的网站，因为这个数据前台展示进行加载的会比较慢，大家看到比较集中的是中国这块，正因为我们这边监控的网站在中国，然后攻击中国网站的人也大部分都是中国人。当然其他地方也有亮点来自于其他国家的。大家可以看到中间有一条亮白色的线，是相对应的IP，我们把空间IP取出来之后把地理位置进行经度纬度的计算。红色地球上的点代表黑客，蓝色代表的是被攻击的网站。通过这个图我们可以清晰的看到攻击者与被攻击者的关系。比如说这个网站就是我们发现有很多黑客都想要攻击这个网站，这个网站后来看了一下，每天大概有10几万的流量。红色的点就是攻击过几个网站，这个也是前面提到的黑客，然后还有就是根据一些攻击与被攻击的关系画出来的一个图，如果没有画成这样的图的话我们很难通过大数据的分析很难，我们可以看到线条比较稀疏的地方是攻击比较弱的，比较密集的地方是攻击发生比较频繁的，比较集散的这些是一些偶然事件，可能刚开始学习这个。然后把这个分大，我们看一下攻击最密集的地方到底是什么IP，我们看到是10.76、186这样的网站，我们对黑客等级进行评定的时候有一个例子，来自相同的网站，比较多的操作，我们认为这些人是一些团伙，这个10.76这个地址来自于中国的电子商务公司阿里巴巴，后来经过多方求证，我没有具体去数，大概有几十台服务器在网上进行扫描。后来发现是阿里的木瓜写的扫描器还是比较猛的，这是一些比较偶然的事件。大家可以看到这个右边有一个攻击工具这一列已经识别到了阿里巴巴的扫描器。其实他这个扫描器为什么说挺厉害?我每天做得一件事就是分析他的扫描器，通过分析他日志最新的漏洞，可以看到前一段时间框架的问题。