永信至诚的平行仿真术，大潘：穿过这场“连环梦”

写在前面：

“计算机攻防战”进入了第三阶段。

1988年，计算机的软盘时代。时年，国产第二代微机长城386刚刚问世，没有网络的注入，赛博空间还被困在半尺见方的软盘里，计算机的基本功能还是计算与存储。

同年，第一代计算机病毒“小球”恶作剧式的出现在赛博空间，初次与病毒交锋，研究人员只能通过简单的编译程序与病毒展开肉搏。

越过漫漫历史长河如今再看，也是这一场堪称“大刀长矛”与“跳梁小丑”的对决，无意间开启了赛博世界的“攻与防”。

转眼30年，互联网是迄今为止最强大的“病毒”，赛博世界天翻地覆，计算机病毒依托网络节点疯狂传播，防守方也搞出了防火墙、IDS（入侵检测系统）、杀毒软件这样的长枪短炮，工具对抗是近10年来这场战争的主题。

如今，战场局势又发生了变化，越过网线，人与人的心理交锋开始不断上演。

友情提示：能听懂“微机”、“软盘”、“小球病毒”的朋友恐怕都要迎来中年危机了，问题不复杂因而不再赘述，不懂的朋友自行百度即可顺畅阅读。

永信至诚的平行仿真术，大潘：穿过这场“连环梦”

文|高宁

“你这一生中的迷，必须要用其他的迷才能解开，就像有的梦，必须穿过其他的梦才能醒来。你必须一个一个地走过，才能走出这场连环梦。”——朗读者

人们对于时间的探索从未停止过，一来为了探索时间的奥妙，二来人们总希望窥探到未来的身影，用以解决现世的问题。

然而实际上，任何人都无法在时间线上做手脚。

不过，在赛博空间里，数据或许能够帮助有心人做出一些超前的举动。PHP大马

有趣的是，越是对技术有执念的人，越容易产生底层的思考，恰巧，我今天碰到的就是这样一位有心人。

大潘，全名潘柱廷，网络安全老兵，尽管他不喜欢别人形容他“老”，但早在1988年第一代计算机病毒出现时，大潘已经是清华大学计算机科学与技术系的一名大三学生，毕业后又辗转加入了当年网络安全研究最前端的太极联合研究室，后又在安氏与启明星辰任职，目前任职永信至诚高级副总裁。

可以说，20余年来，大潘一直在网络攻防的前线战斗着。

如今的大潘，办公室里挂着悬壶济世的布袋，脚踩布鞋手拿折扇，俨然一副隐士高人的模样，当然，年轻人还把这种状态称为“老”。

大潘说他常听到：“我是看着大潘的PPT长大的”，大潘说，说这话的自己肯定年纪也不小了（这句他叮嘱我一定加上去）。

凡是进过大潘的办公室的人，都会被门口这面黑板墙吸引。

粗略统计，这面墙上起码囊括了网络攻防一半的技术和观点。

我和大潘聊了一整个下午，关于他希望在赛博世界中开辟出一个平行于现实的仿真空间，他称其为“平行仿真”。为了掰扯清楚什么是平行仿真，以及做安全的人搞平行时空是不是不务正业，着实费了一番功夫。

（一）一场比赛引发的遐想

2016年8月5日。

拉斯维加斯，巴黎酒店的一间会议室里，150吨水已经准备就绪，它们将在随后的一场比赛里发挥非常重要的作用。

不过不要误会，这不是游泳比赛的现场，水的作用是为即将参赛的几台计算机降温。奇热影视

夺冠的MAYHEM系统，你可以把它理解为一台放大版的水冷主机

美国国防部高级研究计划局（DARPA）花费了两年时间举办了这届“网络超级挑战赛”（CGC），目的是测试是否有可能开发出能够发现、验证和修补软件漏洞的人工智能系统，为此他们甚至重新开发了一个完整的网络推理系统专门用作比赛。

（关于CGC完全可以成文另一个单独的故事，有兴趣的同学可以留言告诉我）

放下比赛不谈，时间回到现在，地点北京五环外。

“这简直是暴殄天物嘛，放在国内这样一个系统大家捧在手里还来不及，CGC竟然专门为比赛做一个完整的系统，更过分的是用了一次就搁置了。”说这话时，大潘完全是“恨人有，气我无”的模样。

要理解大潘的心情首先要搞清楚一个问题：

在网络攻防中包含哪几个要素？

答案当然可以有很多种，这里给出一种思考方向：

“攻击”、“防守”还有“环境”，可是尝试思考一下，会发现这无论如何都绕不过的三个要素。

之所以大潘如此看重CGC比赛所用的系统，就是因为他意识到攻防环境的重要性。

安全圈研究“攻”，“防”不是一两天了，一句老生常谈的话是“不知功，焉知防”，颇有一点知己知彼的意味。

但在层出不穷的攻击方式面前，防守始终处在被动，大部分的局面是，当新型的攻击方式出现之后，防御研究只能紧随其后，但思考出应对之策时伤害已经发生了，因而大部分被我们注意到的“熊猫烧香、WannaCry”这类流行病毒总能打个措手不及。

大潘的想法很直接，“复现攻防环境，料敌于先”。

直白点说：把攻防环境用计算机复现出来，再把战队丢进去”对打“，仿真的环境下很多未知的风险会在攻守双方的碰撞中浮现出来，并且，环境越真实效果越好。

这里不得不提到永信至诚，一家以培养网络安全研究员为主业，在北京有一栋楼的安全公司。

大潘曾经多次跟记者说，“我来永信最大的作用就是‘马后炮’。”实际上，这也不是什么自谦的说法。

在网络安全领域，针对攻击做出迅速的反应与应对机制，以及事后安全事件的复现与研究，这样的“马后炮”一直是这个行业的主旋律。

然而问题关键在于，攻防战的局势在发生变化，要想制作出更加真实的环境，就必须了解这种变化。

（二）战场奇招，欺骗式防御

08年左右看过士兵突击后，这个画面无数次浮现在我的脑海里

敌军在一个阴晦的清晨发动了攻击。

不间断的弹药输出造成了我方服务器线路的拥堵，防火墙没能抵挡住第三波攻势，数据库暴露在了敌方的枪口之下。

接下来敌方指挥官的判断非常重要，在他面前的是我方早已设置好的诱导陷阱，进入后他将承受的不仅仅是损兵折将，我方将迅速回溯他的攻击路径，一旦攻击者的指挥中心暴露，我们就将成为这场战争的胜利方。

很遗憾，对方选择了放弃，随后真正的数据库被发现，服务器在一波波的攻击中勉力支撑逐渐接近极限，战场局势瞬间明朗，我们能做的只有祈祷，祈祷服务器崩溃之前敌人的弹药耗尽。

最终，幸运女神没能光顾，服务器死机，我方战败。

在这场模拟网络攻防战的赛后总结会上，攻守双方战队在对赛时动作进行复盘。

大潘拿起自己的扇子用力敲了敲写满字的玻璃墙，“这里，为什么不设置一个高交互蜜罐，就差一点，只要对方进入了，这场演习防守方就赢了。”

尽管剧情是我编的，但在网络攻防战中这样的心理交战变的越来越多。

敲黑板，姿势点：

“蜜罐”是什么？

字面意思：装有蜂蜜的罐子；

形象点的描述：诱导式陷阱；

专业点的解释：自行百度不然你们以为我在占篇幅。

简单来说，蜜罐是一种骗术，就像剧情中的描述，专为攻击者制作的假目标，用来掩护真的数据库。

而“低交互蜜罐”与“高交互蜜罐”的区别就在于哪个做的更逼真。

借助蜜罐，一定程度上防守方摆脱了被动局面，从工具的对抗中抽身出来，势均力敌的情况下，策略、判断变的比技术水平更加重要。

而在我看来，蜜罐实际上就是大潘所说的平行仿真最明显的一个缩影，核心都在于如何制作一个更加逼真的环境，蜜罐是做给敌人的，平行仿真既有给敌人的也有给自己的。

大潘还告诉我，据说，在2018年的某次演习行动中，成绩优异的防守方就是使用了大量的蜜罐引诱攻击方掉入陷阱。但是这种奇招用多了在高手对决时就已经难以出奇制胜了。

现在高手在做渗透测试时，判断前方是不是蜜罐已经成了前置步骤。而蜜罐的使用也已经从单纯的欺骗进阶成了混淆与欺骗搭配使用。

不过目前蜜罐的被认知度还远远不够，可以预见的是欺骗式防御的理念会被大范围推广，单从比赛层面来讲，今后的交锋会更像一场“谍战片”。

（三）情报对抗

战场局势的另一个变化是，情报对于一场网络攻防战的作用愈发重要。

在网络攻防中，时间是一个低意义的概念，用更专业点的话来说“时间的度量性价值降低”，取而代之的是时序，因为攻击的发生很可能就在几秒之间甚至更短，谁更早的掌握漏洞的存在谁更早发动攻势就占据了绝对的主动权。

想要了解这种变化，我们不妨将视线拉远一点。

“2019年3月，委内瑞拉遭受网络攻击，导致全国范围内大面积停电、停网，网络瘫痪近一周。”

这种长时间的网络攻击意味着攻击方掌握的漏洞数量非常多。

在传统的攻防对抗中，对抗的模式分为三种：

1、能量与空间占有的对抗，比如占据对方带宽（DDOS）、取得对方服务器权限这类攻击方式。

2、连接的对抗，获取对方服务器的接入口。

3、情报对抗，漏洞的获取与积累。

有趣的是，相比起前两种对抗中的拉锯与持续消耗，新型的对抗模式下攻守双方都开始学会藏着掖着，积累更多的漏洞力求关键时刻给予致命一击，这种情况下双方比拼的是“熵”量。

科普一下，“熵”指的是物理体系中代表体系混乱程度的一个度量。在信息领域，熵就是“负信息”，更直白点说：信息（情报）就是“负熵”。

换句话说，熵量越小表明你对系统的掌控力越强。

相对应的，当你拿到对方的漏洞越多时，你掌握的信息越清晰，此时熵量减小，你对系统的控制力就越强。（绕嘴的话，多读几遍其义自现）

按照这个逻辑，在平行仿真的体系中，想要减少熵量，你就可以将系统丢入模拟出的攻击环境中，把系统的极限情况打出来，从而达到降低熵量的目的。

（四）矩阵革命

跟着大潘来思考一个问题，前提是你看过电影黑客帝国，当然就算你没看过也一定听说过。

“黑客帝国中最强的是谁？”大潘饶有兴致的问我。

“不是管理员史密斯，也不是救世主尼奥，更不是那个造物主，最强的是Matrix，也就是矩阵本身。”他好像并不在意我的答案，于是自问自答。

细想一下很有道理，在电影中，Matrix是一套复杂的模拟系统程序，它是由具有人工智能的机器建立的，模拟了人类以前的世界，用以控制人类。就算是救世主尼奥最终也只是做到了与Matrix和解，人类偏居一隅求得和平。

“所有人在Matrix的笼罩下，无法挣脱。”

而大潘的“野心”在于，如果能够有一套类似Matrix的系统供人模拟训练，在无限接近于真实的环境下静观其变，事物本来的面目就会浮出水面。

不久以前，这种判断出现了实例，2019年的某次网络攻防演习行动中，在攻守双方的模拟交战下，一些攻击方别为了赚取积分甚至不惜用出了宝贵的0Day漏洞。

科普一下：

0Day漏洞是指那些没有公开过，因而也没有补丁的漏洞，也就是通常所说的“未公开漏洞”。

这意味着在仿真的攻防环境和比赛氛围下，可以预测到未知风险。

理论上讲，平行仿真理论源于图灵奖获得者吉姆格雷所提出的，科学研究的四个范式（又一个姿势点）。

第一范式：实验科学，例如钻木取火；

第二范式：理论推演，例如牛顿三大定律；

第三范式：计算机仿真，例如天气预报；

第四范式：数学密集型科学发现：依托大数据通过计算机分析得出的结论。

与网络安全产品对应起来就是：

第一范式：渗透测试服务；

第二范式：特征型安全措施，例如，IDS、IPS；

第三范式：沙箱、蜜罐；

第四范式：态势感知、威胁情报。

大潘告诉我，实际上平行仿真所对应的是计算机仿真这一整个第三范式。如果以市场量级做出划分和预测，理论上讲，平行仿真所对应的市场是与其他几个范式相同的量级，简单来说平行仿真对应的是当下百亿级的市场。

（五）写在最后

“网络安全对抗实则还是人的对抗，人的意识产生的较量很有意思。比如，在攻防赛中会有这样的场景：踏罐者在蜜罐中识别出了一个罐中罐，在ta因为得意于这个弱罐的发现而嘲笑着防御者的时候，实则已经陷入了另一个更加强大的蜜罐… …，就像是盗梦空间中提到的‘梦中梦’。”

大潘如是说道。

“平行仿真能做什么？某种程度上能让你知道更多你所不知道的；然而对于那些你以为自己知道的，平行仿真或许会告诉你，你只是‘不知道自己不知道’… …”

在我的理解中，某种意义上说，大潘更接近于造梦师的角色，就好像是电影《盗梦空间》中的里昂那多，在梦境中流连所要追寻的，其实还是生活的真相。

交谈中大潘带我踏入他的时空之门，使我得以窥见他的“野心”，而当我跳过那些纷繁复杂的技术原理，“平行仿真”的现实意义又很清晰地摆在我们面前——把一个未来不确定的问题牵引到现实中寻找解决的办法。

当然我们又都清楚的认识到即便在一次次的模拟、训练中我们可能做出了超前的举动，但未来的风险并没有因此而减少，这当然是一种辽阔的悲观。

甚至让我想起诺斯替主义的教义：“人生是一个魅影，我们所处的这个宇宙只不过是神圣灵性跌入黑暗深渊时，一个光明与黑暗相交织的产物，每个人都是身处黑暗宇宙的‘异乡人’，他们的家乡在这个宇宙之外。”

那么这场造梦之旅的意义又是什么？

我想，问题的关键在于，经历了这场造梦之旅的人，在未来的某一天面对生活的真相时，能够有所准备。

全文完

永信至诚的平行仿真术，大潘：穿过这场“连环梦”相关推荐

业绩不稳的永信至诚，能稳坐国内网络靶场的头把交椅吗？
数据智能产业创新服务媒体 --聚焦数智 · 改变商业在行业竞争激烈的背景下,作为IT安全服务细分市场--安全企业级培训服务的龙头,北京永信至诚科技有限公司(以下简称"永信至诚") ...
永信至诚成功当选CNCERT网络安全应急服务支撑单位
近日,2017中国网络安全年会在青岛召开,大会由工业和信息化部指导,国家计算机网络应急技术处理协调中心(CNCERT)和中国通信学会联合主办.国家计算机网络应急技术处理协调中心(以下简称CNCERT) ...
永信至诚助中国航信2015年信息安全技能竞赛圆满举行
日前,由中国航信工会主办,中国航信研发中心分工会承办,北京永信至诚科技股份有限公司担任技术合作厂商所举办的"中国航信2015年信息安全技能竞赛"总决赛圆满结束.国务院国资委群众工作 ...
永信至诚科创板上市：市值28亿奇安信曾是第三大股东
雷递网雷建平 10月19日北京永信至诚科技股份有限公司(简称:"永信至诚",股票代码为:"688244")今日在科创板上市. 永信至诚此次发行1,170.7 ...
永信至诚打造企业安全人才提升方案补齐企业安全短板
再固若金汤的城防被攻破往往是从内部,同样再完善的企业安全策略的最薄弱的环节往往是策略内部的"人".北京永信至诚科技股份有限公司(以下简称:北京永信至诚)董事长蔡晶晶同样看到企业安全 ...
培育企业安全基因永信至诚召开2016年企业安全人才能力提升解决方案发布会...
今日讯,北京永信至诚科技股份有限公司(证券代码:837292)今天隆重召开主题为"培育企业安全基因"的2016年企业安全人才能力提升解决方案发布会.本次发布会上,永信至诚全新推出一 ...
建“数字风洞”，永信至诚开启安全测试评估专业赛道
关注云报洞察深一度 11月19日,永信至诚发布面向安全测试评估领域的"数字风洞"产品体系战略,标志着永信至诚作为网络靶场和安全人才建设领军企业,以"产品×服务" ...
永信至诚蓝莲花绽放2016“启明星辰杯”四川大学生信息安全技术大赛
7月19--20日,2016年"启明星辰杯"四川省大学生信息安全技术大赛在成都信息工程大学正式落幕.本次大赛由北京永信至诚科技股份有限公司的e春秋网络安全竞赛系统全面提供技术平台支 ...
开启安全测试评估专业赛道：永信至诚“数字风洞”产品体系战略发布
11月19日,永信至诚产品战略发布会上,面向安全测试评估领域的"数字风洞"产品体系战略发布,标志着永信至诚作为网络靶场和人才建设领军企业,再次以"产品乘服务"的 ...

永信至诚的平行仿真术，大潘：穿过这场“连环梦”

永信至诚的平行仿真术，大潘：穿过这场“连环梦”相关推荐

最新文章

热门文章