还网络世界一片阳光，安全大牛变身“机械战警”

在世界的隐秘角落，无数扫描和控制指令正在从一个 IP 涌出。站在云端俯视，偌大的版图上，一台台服务器甚至没来得及挣扎就放弃了抵抗。它们的"眼睛"变得通红。在暗色的夜里集结成军，准备听命于撒旦的指引，向安睡的世界发起攻击。

平行世界中，一个僵尸网络正在诞生。

黑客如巫师一般，挥一挥黑袍的衣袖，所有的机器同时喷射出巨大的数据，打向某个平台。瞬间可怜的服务器就被巨大的流量淹没。在我们的世界里，这被称为 DDoS 攻击。

然而，巫师手上的"俘虏"--可怜的服务器，并不是无脑的僵尸。他们同样可以用强大的计算资源，为黑客"挖"比特币；当然，他们也可以列队整齐，为某个服务刷单。

靠吸血敛财，是黑帽黑客的生活方式。

【僵尸网络】

百鸟惊林--黑客的武器

控制，是一切黑客进攻的根本方法。

无论是控制僵尸网络，还是窃取企业信息，首要的一步就是入侵企业的服务器。而目前，中国绝大多数的网站服务器都在云端。

如果黑客想要入侵的服务器恰好位于阿里云（其实这个几率相当高），那么他首先要面临的，就是一位安驻云端的门神--叶敏。

叶敏的官方 Title 是阿里云云盾的安全技术负责人。从2010年加入阿里开始，他见证了云计算从踽踽独行到百万雄兵；他同样见证了云计算的城池之外，黑客们从散兵游勇到集结成军。

"企业的数据和服务都运作在阿里云上， 所以我们有义务给客户展示周围正在发生的事情。"他说。

【叶敏】

撞库 IP，安能辨我是雌雄

叶敏告诉雷锋网，根据他掌握的资料，就连他自己的某些低强度的（并不是那么重要的）密码也被泄露在了互联网上。黑产用这些数以亿计的数据库不断地"撞库"，从而获得同一个用户在不同网站上的信息。

为了保护阿里云的客户，一旦遇到客户被撞库的情况，需要对恶意 IP 做出"处罚决策"。例如，最简单的，封禁这个 IP。

粗略地一想，识别撞库很简单。那就是某个 IP 高频率地登陆不同的账户。但是我们在研发监测模型的时候发现，事情远不是这么简单。因为 IP 的类型很复杂。

有一些 IP 是出口 IP，比如一个学校所有的学生都共用一个IP 出口；

有一些是功能性的 CDN；

另外还有一些高频尝试并不是撞库，而是暴力破解，或者垃圾注册。

叶敏说。

在这种情况下， 如果简简单单封禁一个IP，就不一定是明智的选择。如果这是一个学校 IP，那么整个学校都无法访问这个业务；如果这是一个公司 IP，那么整个公司都无法访问；如果这是一个出口 IP，有可能几万人都被"误杀"。显然没有一个网站愿意动不动就有好几万人无妨访问自己的业务，气愤地打电话过来投诉。

至于叶敏如何解决这个问题，我们后文分解，且看黑客的下一个武器。

Webshell，美女还是画皮

在绝大多数以赚钱为目的"信息窃取"攻击里（当然有少量为了政治和商业目的针对进攻），黑产从业者往往会采用工具化的程序，大批量地在网站里植入后门，然后统一加以控制。

Webshell，就是黑客挖进网站的地道出口中， 做常见的一种。

看过地道战的童鞋们还记得，日本兵即使绞尽脑汁，也经常猜不到地道的出口到底在什么奇葩的位置。在网络攻防中，情况也有类似之处。因为 Webshell 的位置和形态千奇百怪。在一般人看来，一个文件究竟是后门还是正常的程序，就像夜读的才郎看到窗口的姑娘，分不清究竟是美女还是画皮。而且，通过一个 webshell，如何追溯到黑客的行踪，也是一个高难度的问题。

不过，这难不倒像叶敏一样的福尔摩斯。"对于一个有经验的安全人员来说，查看一下网站日志的基本情况，就差不多可以知道黑客进攻到哪一步，是否已经得手。"他说。

难倒叶敏的是，全中国有30%的商业网站坐落在阿里云上。而叶敏的团队只有8个人。

如果你只服务一个客户，那么只要两三个技术人员，就可以用手工排查的方法全部搞定，当这个数量乘以万，乘以十万，就出现了完全不一样的情况。你需要一个全自动的机器。

他说。

"机械战警"的反击

"对于人来说，很多技巧已经烂熟于心。比如开车，我甚至可以边聊天边开车。但是你让程序去开车，难度就不是一个级别了。

同样，对安全人员来说并不难的进攻检测，如果想让机器学会，就要付出很多努力。"

正如上文所说，面对如此大量的工作，叶敏别无选择，只能拼尽团队的智商制造一个"机械战警"。制造这个机械战警的究极奥义在于：把人的经验传授给机器。

机器福尔摩斯

这个福尔摩斯名叫云盾。

为了改进云盾检测入侵的效果，叶敏仔细研究了黑客进攻的每一个招式。

有一些入侵方式