這個由中國黑客研究的「超級欺騙系統」，究竟能做什麼？

上兵伐謀，其次伐交，其次伐兵，其下攻城。——孫子兵法《謀攻篇》

引子

某些職業天生受人敬畏，因為它和人的某個優秀特質相連。舞蹈，讓人們想到優美的形體；長跑，讓人想到堅毅的品質。而黑客，讓人聯想到高超的技術。

現實世界的每一個個人和組織，都在網路世界的版圖中對應著屬於自己的一座或大或小的城池。而在險惡的互聯網叢林中，每座城市都隨時面臨來自黑暗中的突施冷箭。

凡是武林中人，總有正邪之分。

邪惡的黑客，常常打著技術無罪的大旗，帶領盜匪企圖殺入城中燒殺搶掠；而正義的黑客，手握武器高立城頭，用正義的子彈射穿入侵者的喉嚨。

誠然，很多人想到黑客，就會聯想到高超的技術。但是，當你真正了解到賽博世界殊死搏鬥的真相，你就會理解，對於黑客的最高褒賞，並不是攻城略地的高超技術，而是不戰而屈人之兵的閃光智慧。

諸葛亮不費一兵一卒，靠一曲琴音喝退司馬懿十萬大軍，守衛三分天下；

艾森豪威爾運籌帷幄，讓德軍主力撲空加萊，才有人類的榮耀之日——諾曼底登陸；

《盜夢空間》中的造夢師們正是通過潛意識的進攻，讓能源巨頭的繼承者費舍自願解散公司。

《孫子兵法》有雲，攻城為下，攻心為上。

中國黑客的「欺騙系統」

黑客的世界之所以吸引人，恰恰因為我們在現實世界的一切幻想，都在這裡真實地發生著。入侵企業，獲得大量機密資料，可以在商場上給對手致命一擊。

這是一個真實的故事，某知名企業董事會剛剛散會，競爭對手的桌子上就擺好了他們的會議紀要；董事長剛剛寫好的文件，自己公司還沒有來得及印發，對手已經全公司傳閱。自己企業最新設計的手機原型機，還沒有來得及生產，對手已經根據圖紙進行了仿造並且佔領了市場。

我們看到的商業競爭，背後幾乎都有著不可言說的賽博世界的血戰，而這血戰背後可能決定著一個人一生的興衰榮辱。為了這個目標，邪惡的黑客們可以使出最惡毒的招數來滲透、入侵。

但是，這個世界之所以沒有讓人絕望透頂，恰恰是因為有正義的黑客挺身而出，自願構建一個強大的天網，和邪惡作鬥爭。這些黑客，就包括潛行十幾年，用自己的技術深刻改變了中國在世界政治中地位的中國第一代黑客 CP 和 la0wang，還有曾經在騰訊一馬當先抵禦網路黑產的安全大牛 Oscar 和可以用一串代碼平趟所有網站的烏雲一哥 Jannock。

2016年，這些代表了全中國最強黑客火力的黑客們走到了一起，成立了一家名為「錦行科技」的「團伙」。這個團伙的首要目標，就是要消滅黑客僱傭兵對於企業骯髒的攻擊和瘋狂的信息竊取。

而他們的獨門武器，就是「網路空間欺騙系統」——幻雲。

從哲學上來看，這世間一切的成就，都來自於對信息的確定。例如，

如果你可以看透對手下一步要走的棋子，那麼你就會勝券在握；

如果你可以偵聽到女神的思維信息，那麼你表白成功的概率就會暴增；

如果你確定知道明天有哪支股票會漲，那麼你一定可以身價翻倍。

但是，如果你以為是確定的信息，在事實上都是假的呢？讓對手相信他掌握了你的確定信息，而這恰恰是你製造出來的幻覺，這就已經在防禦上處於絕對的上風。簡單來說，幻雲就試圖製造這樣一個欺騙系統，讓入侵的黑客以為自己進入了企業內部，而實際上他只是進入了一個精心構建的虛擬世界，一個如來佛祖掌握在手心的盜夢空間，一個他每走一步就多暴露自己一點的玻璃屋中。

蜜罐、蜜網和蜜場

剛剛扯的那麼多欺騙哲學，究竟要怎麼實現呢？

雷鋒網宅客頻道有機會和錦行科技的幾位大牛對談，他們提出了三個有趣的概念：蜜罐、蜜網和蜜場。

蜜罐

蜜罐是一個非常形象的辭彙：蜜 + 罐，英文單詞也是 honey + pot。

蜜代表了甜頭好處，也就是攻擊者有可能感興趣的特徵，而罐代表了一個環境，通過這個環境，可以捕捉入侵者的行為。

形象地說，這就像生長在美洲的捕蠅草。利用甜美的氣息吸引蒼蠅前來覓食，然而一旦蒼蠅進入陷阱，它的命運就會急轉直下。

雖說進入蜜罐的黑客並不會葬身於此，但是卻留下了自己的攻擊工具和攻擊痕迹。研究了黑客使用的工具，防禦者就可以輕鬆研發相對應的對抗工具，就像人的肌體，獲得了對新病毒的免疫能力。

錦行科技產品總監胡鵬為雷鋒網宅客頻道進行了簡單的科普，

蜜罐一般分為低交互蜜罐和高交互蜜罐，低交互蜜罐一般用於報警或者獲取一些攻擊代碼，高交互蜜罐用於深入觀察攻擊者行為並分析。

但是總體來說，蜜罐的問題在於，環境過於單一，特徵很明顯，攻擊者容易識別。

想像一下，如果蒼蠅都記住了捕蠅草的形狀，相信捕蠅草今後只能捕到各種磚頭石塊了。

蜜網

簡單來說，蜜網就是有組織的蜜罐，用各式蜜罐來構建一個欺騙網路。對於黑客來說，在賽博空間內他們無法依靠視覺。他們就像一個小偷潛入一個漆黑的別墅，其中所有的陳設都需要他們靠手來觸摸，然後自己標記，在心裡繪製出一副他們「想像中」的內部地圖。

如果潛入的黑客是一個經驗老到的慣犯，僅僅摸到一個假門，仔細摸索發現門後空無一物，那麼他就可以判定這道門就是一個蜜罐。

然而如果用不同的蜜罐組成蜜網，小偷就會相信門後面有一個房間，裡面陳設著衣櫃沙發書桌等等。在小偷摸索的過程中，蜜網設置者就有更充足的時間來觀察來者，等待他使用更多的進攻工具，從而製造出更全面的防護武器。

但是，正如剛才的比喻，蜜網只是一個假設在真實別墅里的虛擬房間，小偷在摸進蜜網之前，勢必有可能經過其他真實的房間，由於蜜網設置在企業真實的系統之內，對於企業來說，仍然存在被黑客攻擊的可能。

於是蜜場就出現了。

蜜場

所謂蜜場，就是利用蜜罐、蜜網完整模擬出一個公司的所有架構。相當於再造一個企業的別墅，然後放一個傳送門（重定向器），一旦探測到可能的攻擊，就直接把黑客的流量轉移到假的別墅（蜜場）中。

只要黑客進入蜜場，他想要的一切都可以被「找到」，他要的核心經營數據就放在辦公桌上，他要的財務報表就在保險柜里，他要的組織人員架構圖就在書架上。

這一切，都是根據企業真實的情況翻版出來的假象，當然，所有的數據都是假的。

這個偽造的「蜜場」和企業的真實環境究竟有多相似呢？

錦行科技首席安全官 la0wang（王俊卿）告訴雷鋒網宅客頻道：

一個蜜場其實並不用和企業真實的網路架構100%相似，而是要和黑客想像中的企業網路架構100%一樣。因為黑客根本沒有見過企業真實的網路，所以他只會把摸到的情況和想像中比對，越是靠近想像，他們就越不懷疑自己入侵了假的系統。

【蜜罐、蜜網、蜜場的邏輯結構】

蜜場之內的「盜夢空間」：幻雲

自古兵不厭詐，蜜場的概念人們都可以理解。但是，一個好的「欺騙系統」，很重要的一步恰恰是第一步：把黑客引入這個「盜夢空間」。

由於企業內部網路需要正常運營，必須對有許可權的好人提供服務的同時，把壞人引向另一個時空的「欺騙系統」——幻雲。

所以企業內網需要掌握的一項重要能力，就是分辨好人和壞人。

對此，這些大牛黑客們設計出了一套精巧的驗證系統。

由於我們做了將近二十年的安全測試，很多時候都是在對方基層員工根本不知情的情況下嘗試突破系統的防守。所以，我們對於攻擊者的理解是非常深刻的。我們能夠清楚地分辨出哪些行為是正常的，哪些行為是只有入侵黑客才會做的。

這些特徵並不是什麼很明顯的動作，而可能是一個非常小的埠檢索動作，或者一種不同尋常的查詢方法，就像一個老刑警可以通過一個小動作就鎖定小偷。

la0wang 如是說。

還是回到小偷和別墅的比喻。小偷進入別墅之後，會摸到幾扇相同的門。作為竊賊沒辦法分辨哪個門後面才有有價值的資料，於是他的做法一定是先試著把幾扇門都撬一下。其中有一扇門不用很大的力氣就被撬開，小偷一定會選擇先進入這個房間看一看。

沒錯，這扇最好撬開的門恰恰就是蜜場的入口。

一旦被定向到蜜場，小偷的世界就被偷天換日，即使他很快退出這個屋子，外面的一切都已經被悄悄替換成了蜜場。

我不需要所有真實的門鎖都非常強，我只需要所有真實的門鎖都強於這個通向幻雲的門鎖，就夠了。

老王說。

這扇虛假的門用專業術語稱為：誘捕節點。實際上誘捕節點可以部署在網路環境中的很多部位，例如：辦公網路、DMZ區（隔離區）、核心數據區等。只要入侵黑客碰到了任何一個節點，都會瞬間被定向到「盜夢空間」，永遠無法返回。

【攻擊流重定向示意圖】

我們的目標是：怒懟黑客

既然來了，就別走了。

這一定是欺騙系統最想對入侵黑客說的話。

由於提供了逼真的環境，黑客不僅不會對所處的環境產生懷疑，反而會對自己的技術沾沾自喜。而在這個時候，就是監視黑客的好機會了。

【幻雲系統截圖】

來拍個照片吧：黑客全景錄像

黑客得意洋洋地穿梭在幻雲中，系統會記錄攻擊過程中的網路數據、主機數據、各種類型的行為數據。

這些數據詳盡到令人髮指。胡鵬介紹說：

我們收集數據的比例是 1：50。這個比例是什麼呢？比如我們捕獲到攻擊者的一條攻擊指令，我們會同時獲取近50個項目的相關信息，包括這條指令的附屬信息、關聯信息、環境信息等等，凡是和這條指令相關的數據，我們全部保存。

為什麼這麼做？因為攻擊的過程非常寶貴，尤其是內網滲透的全過程，如果我們沒有保存那麼多數據，如果後續的分析環節就可能受影響，如果我們保存了足夠多的數據，那麼就為後續的分析打下了一個良好的數據基礎。所以，我們決定保存足夠詳盡的攻擊數據。

當然，所有收集信息的過程，必須是完全地悄無聲息。因為攻擊者一旦發現了破綻，很可能馬上離開，或者選擇反過來做很多迷惑對手的行為。

la0wang 說：

我們使用了非常隱蔽的無痕監控技術，就像一間屋子的地下有著震動感應的感測器，黑客在屋子裡看不到任何東西，但是他的一舉一動都會通過震動波被記錄下來。攻擊者可以很開心地在我們的環境中攻擊，我們可以很開心地採集攻擊者的行為數據。何樂而不為呢？

來看看照片吧：通過「語境」判斷攻擊意圖

有了豐富詳實的數據基礎，就可以開始行為分析了。這其中設計一個有趣的技巧，就是攻擊者的「語境」。

簡單舉個例子：

這是微信上一段對話的截圖，從對話中可以看到是右邊的人想向左邊的權哥借5000塊錢，那麼是不是這樣的呢？我們再看第二幅圖：

看了第二幅我們才知道原來是左邊的權哥欠了人家的錢不還，而且還說話不算數，故意抵賴。其實這個借錢不還的故事還有很長很精彩，篇幅所限，我只截了其中一小段。用這個例子說明什麼呢？

如果不是在一個連續的、完整的語境環境中，那麼我們針對數據的分析結果很有可能是錯誤的結果。

所以，一個完整的攻擊語境包括：行為上下文、攻擊時間、所處業務場景、目標對象等與攻擊有關的語境因素。

胡鵬為我們舉了幾個簡單的例子：

業務場景：我們的欺騙環境是由不同的業務場景組成的，比如有辦公區、DMZ區、核心數據區等，那麼不同場景下相同的動作就會有不同的含義，我們的分析都是在特定的業務場景中展開的。

重要環節：在攻擊過程中，攻擊者在不同的環節，會有不同的動作特點，比如剛進入內網時的探測、探測之後的滲透、得手之後的獲取數據、走的時候清除痕迹等，這些都是攻擊過程中的重要環節，針對重要環節的分析可以讓我們從紛繁複雜的數據中整理出一個有序的過程，整個分析的結果會更加清晰。

關鍵路徑：攻擊者在攻擊過程中會形成一定的攻擊路徑，也就是攻擊者是如何一步步的達成目標的，經過哪些關鍵的位置，這個過程中比如攻擊者是如何挑選不同的進攻路徑的，比如如何從辦公區進入核心數據區，攻擊者需要先找到運維人員或者管理員的那台機器進入，那麼這個運維人員或者管理員就是攻擊路徑中的關鍵點，通過對關鍵路徑的分析，可以看出攻擊者的進攻思路和攻擊技巧。

習慣特徵：攻擊者在攻擊時不可避免的會呈現出個人的習慣特點，比如輸入的指令，有的攻擊者進去之後會習慣經常性查看是否有其他用戶在線，有的攻擊者習慣經常性的查看進程，有的習慣一進去就翻文件，從這些特徵入手，我們可以分析攻擊者的習慣特徵，用來給攻擊者畫像。

來找到主角吧：黑客溯源

有了以上的動作，防禦者就得到了寶貴的信息，這些信息有：

攻擊者的來源：他從哪裡發起了攻擊。

攻擊者的思路：他究竟挑選了什麼樣的路徑，一步一步得到他想要的信息。

攻擊者的身份：他使用了什麼工具，有怎樣的攻擊特點。

攻擊者的證據：他所有攻擊行為的罪證。

有了這些信息，原則上來說就可以鎖定入侵黑客的身份和背景。從這一刻起，賽博世界的戰役勝負已分。剩下的，就是法律和正義在真實世界對黑客肉身的懲處。

小結·採訪手記

網路世界是現實世界的翻版。幾乎所有人都承認這個悲傷的結論：只要有人的地方，就有著陰謀和構陷。

不幸的是，網路世界比真實世界更浩淼，更繁複。正義的光芒難以照射這個空間的一切摺痕溝回。更多的時候，這像一個黑暗的森林，我們需要用武器來武裝自己，對抗黑暗中侵襲而來的槍彈。

所謂大道至簡，縱然網路空間對於中國來說是舶來品，但「欺騙防禦」卻根植在中國的戰爭哲學之中。在這一點上，中國正義黑客的嘗試值得欽佩。

對付暴力的最好武器，不是暴力，而是欺騙。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！