BlackHat Europe京东安全再放大招——基于容器云平台的安全防护

2018-12-14 11:53　出处：互联网　人气：　评论（）

瘦骨嶙峋的意思兽女2亚马逊食人族鼠的成语数码宝贝复原数码宝贝复原攻略数码宝贝世界复原水的成语水果谜语大全及答案

主页（http://www.kuwanit.com）：BlackHat Europe京东安全再放大招——基于容器云平台的安全防护

Yesky天极新闻 2018-12-10 17:36 分享到：

　　【天极网IT新闻频道】英国时间12月3日-6日，BlackHat Europe登陆伦敦，京东安全再次站上演讲台，京东安全硅谷首席AI安全科学家罗通博在会上发布最新研究成果——基于容器云平台的安全防护。据了解，京东安全在BlackHat Europe发布这项容器沙箱研究在安全行业尚属首例。

　　侦查与反侦查的博弈防守需打怪升级

　　很多病毒会基于环境来决定是不是做恶意行为。换言之，病毒有“反侦查”能力，一旦嗅探到所处环境被监控，就会随时收手，继续潜伏。对于企业而言，未被侦破的病毒就好比一个定时炸弹，随时都可能引发灾难。所以，我们需要做些事情让病毒的“反侦查”破功。

　　为了进一步强化防守方的“反侦查”能力，京东安全硅谷研究院做了这项研究。

　　“容器本身直接利用宿主机的内核，更轻便，启动速度更快，规模更小、创建和迁移速度也更快。”罗博通介绍称，“而将沙箱嵌入容器环境中，也同样具备了容器轻便、适配性高等优点。除此，还给沙箱加了外挂操作，这样一来，可以基于沙箱监测做“上下文”行为分析，也正是因为此特点，该项研究可以用于真实的用户环境检测。“

　　怎么做“上下文”行为分析?

　　京东安全表示，容器沙箱的联系上下文操作，可以用于识别病毒、恶意软件、恶意代码等。除用于企业自身筛查异常，优化平台检测，还可以在用户真实的环境中检测。

　　用户从发现异常到企业找出问题根源，大致分三步：

　　第一步，用户一侧发现异常后可以简单提交问题，技术后台收到问题后，可以在云端根据用户IP获取异常问题;

　　第二步，技术后台会将异常问题上传至两个相同容器沙箱中，其中一个跑异常样本，另外一个放与异常样本相似的正常样本;

　　第三步，也是最关键的一步，同时监测两个沙箱行为，通过两个容器沙箱输出的不同数据来做比对，然后把两个输出数据做成像DNA检测那种排序筛查，恶意样本的行为就会凸显出来。

　　查到问题根源后加以分析，企业就可以加速处理，排除安全隐患。

　　为什么要做“上下文”行为分析?

　　在医学上，每个人都携带多种癌症基因，我们叫它原癌基因，还有与它对立存在的抑癌基因，这些都是基因的组成部分。正常情况下，癌基因和抑癌基因会相互制约，维持稳定。但是，一旦抑癌基因发生突变、缺失或失活，癌基因就被激活并占据上风，进而引发癌症。总结起来，癌症的发作需要“环境”，比如放射性、污染环境、感染致癌病毒以及遗传因素等。

　　而容器沙箱就像是给病毒、恶意代码等“坏分子”提供了一个能够“癌变”的环境。

　　在这个环境下，正常操作毫无影响，而恶意样本会“癌变”。就像我们体检做癌症筛查项目一样，通过这套操作，我们可以效识别恶意样本。不仅如此，通过这套操作，我们还能捕捉到恶意样本的“行为轨迹”。这样，病因、致病过程、以及恶化方向都了解了，加以分析后就可以及时反馈到我们的防守方，早发现、早预防、早治疗。

　　京东为什么研究容器沙箱?

　　容器技术因大大提高工作效率近两年备受关注。对于像京东这样拥有庞大业务集群和海量业务数据的互联网公司来说，容器简洁、灵活、适配高等特点，能够很好地满足日常和大促数据集中迸发的迅速反应和安全需求。京东自2015年全面推广 Docker 容器和OpenStack 的弹性计算， 2016年实现所有业务全部容器化，再到2018年，京东构建了全球最大的Kubernetes容器集群。

　　在安全上，利用容器沙箱不仅可以大大缩短排查问题的时间，同时还可以标记出恶意样本的行为轨迹，优化平台检测，安全防御就能比敌人再快一步。