我們可以用「免疫系統」對抗黑客入侵嗎？

我們對黑客的最初認識，可能都來自於「病毒」。

通俗來說，無論什麼黑客入侵什麼系統，大多都需要在系統內部植入代碼。這些代碼或者可以「自我繁殖」，或者可以「通敵叛國」。如果你願意，可以統稱他們為計算機病毒。

我們想要對付「病毒」，就難免要請教最好的老師：自然界。

人體是怎樣對抗病毒的呢？沒錯，免疫系統。既然這種免疫系統對人體有效，那它的原理是否可以用在賽博世界的防護中呢？

不要覺得這個想法腦洞大開，因為已經有大神在這樣做了。

這位大叔名叫張福，他是中國最早的一批黑客，在黑客圈被奉為大神。在對宅客頻道講述這套技術之前，他先講述了一個有趣的故事。

【張福】

洛克希德馬丁的血案

洛克希德馬丁可以算是全世界最著名的軍火商了。這貨牛到什麼程度呢？它95%的訂單都來自美國國防部和各國軍方。你所熟悉的 F-16、F-22 和 F-35 戰機都是它的傑作。

然而，就在2011年5月的一天，洛克希德馬丁突然發布聲明，宣布：「發現了一起嚴重的網路攻擊事件」。

雖然公司輕描淡寫地對外宣布「一切都在偶的掌控之中」，但是實際上事發時洛克希德馬丁全公司所用的「電子令牌」已經被黑客拿下。

神馬是電子令牌呢？簡單地說他類似我們熟悉的「U盾」。平常我們只會在銀行轉賬的時候才會用到這種東西，但是由於洛克希德馬丁公司每天都在製造飛機大炮，所以員工接觸的很多信息都超極機密，需要一個電子令牌來證明「我是我」。

這個電子令牌是由世界頂尖安全公司 RSA 生產的「RSA SecureID 加密狗」。它的工作原理是這樣的：

令牌完全不聯網，根據存儲在加密晶元上的一個「種子」實時計算出一個口令。同樣在RSA總部的機房內，也存在一個同樣的種子，根據這個種子也可以計算出一個口令。兩個口令經過比對，如果一致的話就通過驗證。

你也許明白了，事情的關鍵在於這顆「種子」，只要偷到了這顆種子，黑客就可以用同樣的演算法計算出正確的口令。

【洛克希德馬丁的 F-35 戰機和 RSA SecureID 加密狗】

洛克希德馬丁經過調查發現，自己被黑的原因很奇葩，沒有員工遺失電子令牌，但是黑客卻每次都能輸入正確的令牌密碼。

最終，所有人都把懷疑的目光投向 RSA 公司。果不其然，最終 RSA 公司承認，那個被他們嚴防死守，層層守衛的珍貴的「種子」已經失竊。。。

沒有不可被攻破的系統

一個是最視安全為生命的軍火公司，一個是教父級的安全公司，在黑客面前都只有啪啪打臉的份。

RSA 痛定思痛，潛心對網路安全技術進行研究，終於在第二年的報告中得出驚人的結論：黑客是防不住的。

多麼痛的領悟。

不過，張福反倒看出了其中的真諦，他覺得 RSA 說得很有道理。這話怎麼講呢？他對宅客頻道說：

在很多人的理解中，安全防護都是「邊界防禦」，就像城牆一樣。

人們把防護設備接在網路上，分析進出的數據，如果發現惡意數據就進行攔截，如果沒有發現就放過。

這些設備工作依靠的是規則，也就是人們通過研究黑客的攻擊方法，再把這些方法總結成規則寫進設備。

但是這種玩法的效果越來越差，有三個原因：

1、邊界越來越模糊

假設我有一家公司，我可能同時用了阿里雲的伺服器、亞馬遜的伺服器，還有私有雲伺服器。我的業務跑在三個混合的東西上，這三者的邊界都很難定義。

2、數據傳輸加密化

斯諾登曝光了稜鏡計劃，全球大的科技企業都知道了美國政府想要偷窺自己的隱私數據，於是紛紛把自己的數據傳輸進行加密。這就造成，黑客的攻擊流量也會被加密，很難被防火牆識別出來。

3、攻擊技術飛速進化

破解黑客的攻擊需要規則，但是只有我們知道黑客是如何進攻的，才能總結出規則。但是在商業利益的驅使下，黑客們的攻擊手段比明星的臉變得都快。你還沒來得及寫出防護規則，黑客的攻擊手段又升級了。

綜上所述，黑客是防不住的。

【圖：電影《長城》中，饕餮用盡奇技淫巧，總能成功越過城牆】

事實也證明，在最近幾年，全球大公司例如 SONY、孟加拉銀行，甚至連黑客公司「Hacking Team」都被黑了。這些組織被黑得那叫一個徹底，連核心資料庫都被曝光於天下。

那麼，面對猖狂的黑客，就沒什麼辦法了嗎？

接下來就輪到「免疫系統」登場了。

計算機的免疫系統

先來說說人體免疫系統的一個特點。

當一種病毒接觸人體的時候，它可以很輕易就進入體內。但是在體內「作案」的過程中，會引發轉氨酶、膽紅素等一些類肌體「微指標」的變化，並且同時激活白細胞的防衛功能。

對於醫生來說，判斷一個人得了什麼病症，恰恰是通過這些血液指標。

【病毒入侵免疫系統，總會造成體內指標的微小變化】

對於計算機系統而言，雖然目前並不存在「白細胞」這種自動防衛單元。但是，如果一個系統被黑客入侵，一定會在某些指標上表現出異常。

即使利用最厲害的 0Day 漏洞攻擊伺服器，系統的某些「微指標」一定也會發生變化。

即使黑客色誘前台小妹最終拿到了管理員密碼，通過「合法路徑」進入系統，它的某些行為也一定會引起系統「微指標」的變化。

作為久經沙場的黑客大牛，張福對自己的推斷深信不疑。

於是他創立了一家公司，名為青藤雲安全，專門做一件事：為企業伺服器研發免疫系統。

從2014年開始，張福就成為了黑客圈的「狂人」，他想要研究一套系統，可以自動部署在企業的伺服器里，這套系統可以收集伺服器上細微的指標，作為正常的值。一旦出現黑客入侵，這些數值就會抖動，觸發報警，然後再通過分析系統找到攻擊者的攻擊路徑。

他把這種系統稱為「自適應安全系統」。

這些「微指標」就像你小時候媽媽在電視機罩上放的頭髮絲，如果她下班回家發現這根頭髮不見了，那麼十有八九是你偷偷看了電視。

對於青藤系統來說，最大的挑戰就是如何定義一些獨特而又有效的指標。

這些指標要滿足：

不會因為正常的管理員行為而大幅波動

會因為黑客的行為而明顯改變

張福說，從2014年到現在的三年時間，他們的所有努力都在不斷改進這樣的「微指標」。如今微指標的數量已經到了幾萬個之多。

被 Gartner 看中的「免疫系統」

無獨有偶，就在張福和團隊埋頭苦幹研究「自適應安全系統」的時候，美國的初創公司 Tanium 同樣在「自適應安全」方面進行了探索。只不過他們的防護對象是辦公電腦。

如今，這家公司已經成為了估值超過了35億美元的獨角獸。作為同行，張福很想和 Tanium 的童鞋們交流一下，但是很遺憾，美國政府把這項技術認定為尖端科技，禁止 Tanium 對華出售服務和交流技術。

三月份，美國著名的 IT 諮詢公司 Gartner 發布了全球安全市場指南。讓他沒想到的是，青藤雲安全居然榜上有名。

【Gartner 報告中，對青藤的描述】

Gartner 是最具權威的 IT 諮詢公司，全球企業都認可它的的權威性，並且依據它的指導來選擇 IT 服務。中國有一些安全企業入選過 Gartner 評選成熟技術領域的「魔力四象限」，但是入選針對新興技術領域的「全球安全指南」，我們是有史以來來唯一的中國公司。這說明了世界對中國安全技術的肯定，當然也會直接導致更多企業選擇我們的安全系統。

張福相信，以人體免疫系統為藍本的「自適應安全」一定是未來安全的方向。Gartner 報告的肯定，讓張福堅定了這個想法。

現在我們的微指標是一套專家系統。就像醫院的大夫，通過經驗來判斷應該檢查哪些身體指標。

未來我們的微指標要走向人工智慧決策。通過對企業伺服器的大數據分析，自動得出黑客活動相關的指標。這些指標可能人類不太好理解，但是卻是更加精準的。

就像阿法狗和李世石的圍棋賽一樣，在其中一局，阿法狗下了一步神棋。人類幾千年的圍棋大師通過經驗總結出了無數「定式」，是在特定的情況下最好的走法。但是阿法狗的這步棋讓所有人匪夷所思，但是最終的結果證明了，這步棋正是整場對弈的關鍵一步。

像免疫系統一樣守衛系統安全，聽上去有些異想天開。但正是萊特兄弟夢想像鳥一樣飛行，我們才擁有了飛機；科尼利斯渴望像魚一樣遊走，我們才看到了潛艇。黑客張福，用他的理想守衛著每個人的互聯網。

本文作者史中，宅客頻道主筆，關注互聯網黑科技，夢想用科技解釋萬物。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！