百度安全：用威胁情报对抗黑产的专业“雇佣军”

这几年，安全行业的各种新概念、新产品层出不穷，从老三样，到SOC、SIEM，再到现在的威胁情报、态势感知。其中，今年最受追捧的当属“威胁情报”。在12月21日举办的第二届北向峰会上，嘉宾现场选出的“2017中国网络安全领域十大热词”中，威胁情报排名第三，可见安全行业对威胁情报的期待。

威胁情报的价值自不必说，但是如何用好威胁情报，我们该怎么用它来对抗黑产?就这个问题，冯景辉在今年的北向峰会“山海关论坛”上，分享了百度安全在“不太平的后厂村路上”如何用威胁情报来成功对抗黑产的实践经验。

应对撞库：发掘风险用户行为建立三层账号防护体系

今年的黑产攻击中，撞库是当之无愧的“热词”。有媒体曾报道，只要花300元就可以对微博账号发起攻击。传统的解决思路是验证码的方式，但是这种方式存在一定弊端。即便是从原来的数字验证码进化到汉字验证码，但仍存在盲区，比如大量的移动端接口没有办法短时间更新。

那么，威胁情报的解决思路是怎样的呢?冯景辉介绍了百度安全的三层账号安全防护体系：

第一个层面是存量检测。简单来说就是自己撞自己的库，看看这些年来已经被泄漏的账号密码有没有在百度上注册账户，如果有这些就是高危用户。

第二个层面是实时检测。有时候你会发现，在注册或登录账号时，即使你使用了看似很复杂又符合规则的密码，但仍然被提示需要更改密码，这种情况很有可能是你的密码已经泄漏了。这种情况需要实时检测判断。

第三个层面是多层次模型判断。如果让所有人都进行复杂的多重验证，账号是安全了，但是用户体验就会很差。所以两者之间也需要平衡。怎么办呢?百度安全基于所有百度产品的访问数据和情报积累数据，查看哪些访问来自高危IP、未知IP，哪些访问来自于恶意的手机(EMA号)，一旦被判断为可疑账号，就会进入更加复杂的验证环节。这样做就既可以保证大多数用户的使用体验，也能弥补验证码存在盲区的缺点。

这里的多层次模型判断，是典型的威胁情报应用场景。把各种来源的恶意IP、恶意IMEI、风险账号、定向破解、撞库、恶意爬虫等等情报信息，放在百度大脑里进行不断地学习，让百度大脑能够快速地识别出哪些是黑产的恶意行为，哪些是正常的访问。

应对DDoS攻击：攻击预警与溯源提前五分钟发现DDoS攻击

上个月，俄罗斯五大银行遭遇DDoS攻击，来自30个国家2.4万台计算机构成的僵尸网络持续不间断的攻击，结果是黑客从俄罗斯央行的代理账户盗取了20亿卢布才算完。

DDoS就像是洪水猛兽，会在很短时间内突然间出现一个很大的流量，让网站猝不及防。威胁情报能在DDoS黑产对抗中发挥怎样的作用呢?主要是两方面：攻击预警、攻击溯源。

“我们知道大流量攻击无外乎来自于几个方向：海外流量、国内某些黑数据中心的流量，以及大量的各种肉鸡流量，过去主要是PC，现在越来越多是摄像头、路由器等IOT设备。” 冯景辉说，百度安全现在能够做到在黑客发起攻击之前，提前5分钟发出预警。这5分钟就像是生命线。企业可以在用户没有感觉到网络波动之前启动防御机制，为保证业务的连续性起到重要的作用。

百度安全凭什么能做到?这是基于多年来积累下来的全网僵尸网络的监控能力。百度安全目前掌握了10多万个僵尸网络信道和几万种家族变种。能够实时监测僵尸网络对未知目标发起攻击。用户如果使用了百度安全的产品，就可以迅速对攻击进行拦截。

同样基于僵尸网络监控，百度安全还可以对攻击进行溯源，主要应用在两个方面：一是在事后调取证据，抓获犯罪嫌疑人。而另一个更重要的作用是从攻击发起端开始进行全链条的拦截。“由于能够做到提前5分钟发现攻击，所以我们从主控端对流量进行调度，从攻击端到服务器端，每一个关键节点，我们都进行了防御。这样就避免业务被打垮，网站服务也不会受影响。”

应对隐私窃取：情报信息再加工、再利用，精准度提升20%

今年7月，有用户投诉说接到骚扰电话，对方说电话号码来源于百度。最终的调查结果是，这是一种打着“网站访客营销”旗号的黑产行为。黑产以营销的名义，对搜索引擎收录的网站植入恶意代码，当用户访问这些网站时，手机号码、QQ号码等隐私信息就会被窃取。

网站访客营销黑产是已经非常成熟的产业链，黑产制造了恶意软件工具，通过代理商卖给那些不良网站，一级代理商把它包装成一套服务，不断变换域名，躲避搜索引擎监管。

应对这种黑产攻击，威胁情报能做些什么呢?“传统的打击方法是不断地抓代理商，封锁代理商的域名。但是这种方法很被动，因为我们后来发现有二级代理商这种隐藏在背后的机构。”冯景辉介绍说，针对一级代理商，通过分析不同代理商的模板行为脚本，挖掘出一些还没有被举报的URL，通过百度安全掌握的资产信息来进行反向推导;针对二级代理商，把实际控制人所控制的不同域名等信息挖掘出来，并且进行横向的打击，对威胁情报进行再加工、再利用。通过这种情报再加工，百度安全在传统打击方法基础上，将精准度提升了20% “经过一段时间打击之后，在百度搜索引擎里边，非法窃取用户隐私网站数减少94.26%;网民点击风险网站数量减少80%。”

小结：

战胜黑产需要“训练有素的军队+有效的武器+有效的情报”

威胁情报的价值已经得到普遍认可，但是如何让它在企业安全防护中发挥时效，这就要考验使用者的水平了。记者曾经采访冯景辉时，他对于安全行业的一个观点让人印象深刻：在现代化战争的背景下，没有一场战争是靠高精尖的武器打赢的，我们需要训练有素的军队+有效的武器+有效的情报才行，这三者缺一不可。在对抗黑产这件事上，也是一样。我们从来都不缺乏高精尖的武器，而是缺乏精通这些武器的“雇佣军”。

事实上，用户并不需要了解威胁情报是如何关联分析的，他们关心的是结果——网站哪里有风险，谁来负责，谁来修复这些风险，结果如何。所以，这样看来，让专业的人做专业的事情，企业需要的不是学习如何解决问题，而是要找对“雇佣军”。