探訪斗象科技能力中心 | 原來他們每天都在做這種事

關於斗象科技，除了我們所熟知的FreeBuf、漏洞盒子，TCC團隊（Tophant Competence Center，簡稱TCC）你聽過嗎？今天請隨筆者潛入斗象科技上海總部一探究竟！

代表中國，角逐全球頂尖白帽

在今年的6月15-16日，TCC應邀前往英國倫敦參加由全球互聯網巨頭（保密）與Hackerone平台聯合主辦的「h1-4420」漏洞挖掘大師賽，並憑藉優秀的技術能力在眾多國際頂尖白帽子角逐中脫穎而出，包攬

「The Exterminator（全場最佳漏洞提交者）」

和

「The Assassin（全場得分最高紀錄保持者）」

這次大賽邀請了40多位來自全球各地的頂尖白帽安全專家參與，現場發放獎金超過50萬美元。與追求最短時間「攻破」系統的Pwn2Own等傳統比賽不同，「h1-4420」線下漏洞大賽要求白帽子們在規定時間內儘可能多的挖掘應用系統漏洞，以挖掘漏洞的數量、質量以及時間綜合評判成績。

前右二，在倫敦帶隊參賽的張天琪

本次率隊參加比賽的TCC團隊成員張天琪（Pnig0s），他其實還有另外一個身份，斗象科技CTO。這次出國參加國際比賽，一方面是斗象科技與Hackerone的良好關係，另一方面也是因為他對漏洞挖掘始終如一的愛好。他是Facebook頂級白帽子，也是漏洞盒子核心安全專家，在漏洞挖掘與利用方面有著豐富的實踐經驗和獨到見解，曾多次上榜Google、Microsoft、Paypal、Yahoo等國外廠商安全名人堂。

在今年初，國際著名眾測平台Bugcrowd以及國內雲計算大廠阿里雲也分別授予張天琪「2018 Bugcrowd MVP（最有價值專家）」和「阿里雲MVP」稱號。

作為斗象科技聯合創始人之一兼首席技術官，張天琪負責國內領先的互聯網安全眾測平台「漏洞盒子」、全息智能安全威脅分析系統「網藤風險感知」的整體技術研發工作。而挖掘漏洞，是他從業10年一直未曾間斷的「個人愛好」

「挖漏洞是我個人的愛好，加入斗象剛好把愛好變成了一份工作。在這裡，把我以及TCC團隊成員的安全能力匯聚起來，轉變為最前端的安全技術去回饋白帽社區和企業。」

就在本文發布時，張天琪又率TCC團隊前往拉斯維加斯參加另一場比賽了，期待他們的凱旋。

沉迷機器學習的安全老兵

他是一位浸淫安全10多年的「老司機」——畢業於新加坡國立大學數學專業，曾供職於新加坡電信（海外）任安全總監，帶領百人安全R&D團隊。在職期間涉及的安全領域包括安全與風險管理，軟體開發安全，安全評估與測試，逆向工程，移動安全，機器學習，通信與網路安全。他對國內外安全產品、機器學習、安全架構如數家珍，具有較高的全球視野與豐富的經驗。

他是徐鍾豪，TCC團隊負責人，熟悉的人更習慣稱他「鍾教授」。

去年，人工智慧火爆全球，安全圈亦不例外。人們熱衷於探討人工智慧時代網路安全面臨的機遇和挑戰，但說的人多，做的人少，而鍾教授所帶領的TCC團隊正是其中的「少數派」，腳踏實地，多做少說。

鍾教授說，早在這個話題（人工智慧）熱潮剛剛興起的時候我們團隊就已經在做這塊的研究了，那時甚至TCC團隊都還未正式成立。如今，在他的帶領下，TCC在機器學習安全應用方面取得了多個不錯的研究成果，並且在多個用戶那裡得到了實踐的檢驗。

機器學習技術究竟是如何應用的？鍾教授舉了個關於「DNS隱蔽隧道檢測」的例子（筆者真的聽懂了你信嗎？不過為了更準確的表述下文也會更多地引用鍾教授的原話，看官們也可以前往「TCC博客專欄」自行閱讀了解更多）。

DNS協議是必不可少的網路通信協議之一，為了訪問互聯網和內網資源，DNS提供域名解析服務，將域名和IP地址進行轉換。網路設備和邊界防護設備在一般的情況下很少對DNS進行過濾分析或屏蔽，因此將數據或指令藏匿於DNS協議中進行傳輸是一種隱蔽且有效的手段，常被APT攻擊者在入侵內網成功後向外傳輸重要數據文件時使用。目前主流的檢測手段多是基於監控終端請求異常長度的域名等傳統的規則，攻擊者可以使用商業滲透套件如Metasploit，或一些開源軟體快速輕易地構建DNS隱蔽隧道，並且可以通過修改域名長度、請求頻率等特徵輕易繞過傳統檢測模型。

相比於基於規則的靜態閾值檢測誤報高，易被繞過等問題，利用歷史數據對機器學習模型進行訓練，使其學習出一個DNS隧道構建模式再用於檢測，可以很好的應對層出不窮的變種。據悉，DNS隱蔽隧道檢測的機器學習模型載入網藤風險感知系統後已經在某教育行業用戶的內網環境中得到成功的驗證。

2018年，異軍突起的區塊鏈搶走了人工智慧的熱度，安全圈又重新陷入新一輪的話題狂歡中。未來在哪？「人工智慧。」鍾教授不假思索的告訴筆者。「語音識別、圖像識別等方面人工智慧技術已經有了很多成功的應用案例，在安全領域，人工智慧技術也必將帶來一場革命。儘管目前還是以前期探索為主，實際應用案例不多，但是前景無限。最直觀的就是

AI可以非常有效的彌補安全人才數量，安全人員分析能力不足的問題

「現在攻擊者們掌握的技術、開源軟體越來越多，催生出的攻擊手段可以說日新月異。只有你想不到，沒有他做不到。傳統安全產品對絕大部分的新型攻擊手段無法進行有效判斷，而經過大量數據訓練學習的機器學習模型則可以快速地對新威脅作出檢測判斷。人工智慧的未來有無數的可能，這是安全真正的未來所在，也是我們TCC團隊所追求的目標之一。」

除了上面教授舉例提到的DNS隱蔽隧道檢測應用機器學習技術外，已經在網藤產品功能中得到實踐應用的還有暗鏈檢測、WebShell檢測等，在此不做過多贅述，對TCC的機器學習研究感興趣的朋友可以訪問他們的博客，後續會保持更新。

開源分享，極客精神

TCC團隊專註於安全前沿探索，

漏洞挖掘分析、機器學習、網路安全分析、Web安全研究、大數據分析、IoT安全研究、區塊鏈安全研究

等都是他們的涉獵範圍。打造核心安全能力的同時，TCC也踐行著極致與自由分享的極客精神，積極將研究成果與業界共享。

能力中心的每位成員都是各領域獨擋一面的技術專家

去年10月，在深圳FreeTalk安全沙龍活動上，TCC團隊首次登上舞台，向大家分享並開源了一款叫做——Osprey（魚鷹）的漏洞檢測框架。Osprey最初只是TCC團隊內部自行開發使用的一款PoC檢測小工具，隨著需求以及使用場景的複雜化，逐漸的迭代升級，演化成為一個集成與調用更靈活多樣的框架工具。它不僅能夠幫助進行快速的漏洞檢測，還規範PoC編寫，幫助快速輸出PoC。

當一個新的漏洞被批漏出來，安全技術人員、研究人員會對漏洞原理進行剖析研究，然後輸出對該漏洞的檢測腳本（以下簡稱PoC）。隨後，利用輸出的PoC對客戶或自有的產品、伺服器等進行漏洞檢測，最後提出對漏洞的修補建議。在整個漏洞生命周期中，最受關注的一點就是「PoC的輸出」。

令筆者感到奇怪的是，其實在安全圈已經有很多開源可用的框架，TCC團隊為什麼還要自己再做一個？對此，鍾教授解釋說，Osprey不僅是一個我們團隊自己用的小工具發展而來，本著開源的精神分享給大家以外。Osprey也有著自己獨特的地方。比如命令行與 Web API 介面使 Osprey 的集成與調用更靈活多樣，使用者可以簡單的用 Osprey 作為PoC工具檢測漏洞，也可以利用它來定製開發自己的漏洞檢測掃描器。另外，搭配 dnspot 組件（TCC的另一個開源項目，它實現了一個DNS解析和記錄伺服器。），Osprey還可以更全面的捕捉漏洞。

據悉，這款框架工具已經應用在了斗象科技旗下安全威脅檢測分析產品網藤CRS中。（感興趣的讀者也可至Github自行下載研究： https://github.com/TophantTechnology/Osprey ）。

招兵買馬

最後應鐘教授的要求，打一波小廣告。斗象科技能力中心持續招人中，崗位包含安全研究、機器學習、數據分析、大數據研發、安全研發等，只要你有一技之長，都歡迎投遞簡歷到alex.xu@tophant.com自行勾搭。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！