據說，在17世紀之前，歐洲人認為天鵝都是白色的。但隨著人們在澳大利亞看到第一只黑天鵝的出現，這個不可動搖的信念隨之崩塌了。其實黑天鵝存在于各個領域，無論金融市場、商業、經濟還是個人生活，都逃不過它的控制。在人類社會發展的進程中，對歷史和社會真正產生重大影響的，通常都是未知或不可預見的東西。

而我們平常所說的“未知”，其實我們是意識到了這種未知的存在，即使不清楚到底是什么或者程度有多深，但是還有很多是我們壓根沒有意識到的“未知”。過去，人們對“已知的未知”投入了很多精力進行防范和預測，對“未知的未知”卻缺乏關注，但真正造成傷害的正是這些“未知的未知”。同理，在網絡安全行業里，最可怕的莫過于“未知威脅”的破壞。

未知的那些“未知威脅”

“已知的已知，directadmin安裝，已知的未知，未知的未知”，這句話聽起來很拗口，但是反應了安全一些本質問題。舉個簡單例子說明下：之前熱炒的“威脅情報”，就屬于“已知的未知”，對某個單位來說是未知威脅，但在別的地方早就已經發生過了。

當下的安全攻防最大一個特點就是，未知攻擊會越來越多，企業所面臨的攻擊工具可能是從來沒有使用過，或者身邊的監控視野范圍沒有看到過的。例如，即便企業的Webshell樣本再多，攻擊者總是能制作出新的更輕量級、功能更全的Webshell，如何發現未知的Webshell？又如何做到天網恢恢疏而不漏？這對于任何安全人員都是巨大挑戰。

面對未知威脅：傳統入侵檢測存在先天不足

傳統入侵檢測方法就是基于特征碼或規則，要求軟件必須提前“知道”入侵的“定義”，才可以識別對應入侵。但是，面對全新品種的惡意軟件，其特定入侵指標（IOC）自然就不為人知，因此又怎么能檢測出零日攻擊呢？

以安全“老三件”IDS為例，它通過提取相應的流量統計特征值，與內置的入侵樣本庫進行智能分析比較。根據預設的閾值，匹配耦合度較高的報文流量將被認為是攻擊，入侵檢測系統將根據相應的配置進行報警或進行有限度的反擊。但對于未知威脅攻擊，IDS無法定義相應規則，對該特定惡意攻擊會視而不見，任其長驅直入。

如何實時發現未知手段的黑客入侵？

很多人可能會認為未知威脅，首次發生在自己身上的概率并不大，未必會帶來巨大危害。實則不然，比如通過本地提權、竊取合法用戶身份等去做一些貌似合法的操作，美國站群服務器，這些“異常”行為都是未知的，并沒有對應“威脅情報”等數據可對比。對于這些未知威脅，某種程度上來說是無法預測的。如果無法預測，那又該怎么辦？此時需要轉換思路，需要將“未知的未知威脅”轉為“已知的未知風險”的控制問題。比如，通過基于異常行為的實時入侵檢測，來發現未知手段的黑客入侵。

異常不一定是威脅，但一般來說威脅一定有異常。幾乎所有惡意軟件，包括0Day攻擊等，攻擊進行時都會表現出一些異常行為。如果能發現這些異常行為，就能發現威脅。雖然，在海量的主機數據中尋找異常行為線索十分困難，但也并非無跡可尋的。這就好比有經驗的警察，可以根據一個人異常表情、微小動作來判斷一個人是否有嫌疑一樣，基于異常行為的檢測需要根據文件、進程等信息的偏離情況，對收集上來的信息進行分析，從而發現異常情況。

因此，如果我們能從業務的運轉中，抽取生成內在的監控指標，并對指標進行持續地觀測和分析，那無論遇到什么攻擊，都會引起指標變化而被察覺。該技術目前已經在部分國內安全廠商中得到很好驗證，其中不乏青藤等某一領域安全獨角獸。青藤云安全通過將Agent安裝在服務器上，根據客戶業務運行狀況設立數萬個監測指標，對文件進程、主機訪問、業務關系等建立多維度、多層次的縱深檢測體系，可以無間斷對入侵行為進行監控，實現實時的入侵檢測和快速響應，一旦發現異常情況，進行毫秒級報警。

寫在最后