上医治未病：云上入侵检测安全启示录

两千多年前，《黄帝内经》提到 “上医治未病，中医治欲病，下医治已病”。云安全也是同理，未雨绸缪、防患于未然，这虽是老生常谈，但真正能具备这一能力的企业却不多，各种各样的安全事件仍在频频上演。

—— 01 ——

云安全拒绝 “事后诸葛亮”

2017 年 5 月，WannaCry 勒索病毒在全球爆发，百余个国家遭受大规模攻击，是史上波及范围最广的病毒之一。这次安全事件为各行各业敲响了警钟，但却并没有 “长鸣”。

图：近两年部分重大网络安全事件一览

可以看到，黑客入侵攻击是无处不在的。而没有防护的云计算环境相当于裸奔，只要任意一点遭受攻击，便有可能波及云上所有业务。在黑客威胁日益严重的情况下，云主机又该如何应对呢？☟

UHIDS 是 UCloud 为保护用户云主机安全而设计的一套基于主机的安全检测体系。该体系能够实时监控云主机的安全性，及时发现安全隐患，帮助用户了解云主机的安全状况并有针对性地进行加固。UHIDS 能在事前做好风险检测并加以告警，也就是我们所说的 “上医治未病”。

那么，UHIDS 又是如何 “治疗” 云安全 “未病” 的呢？

—— 02 ——

从入侵时间链看 “未病”

入侵受害者有两类人，一种是知道自己已经被入侵了，可此时亡羊补牢，为时晚矣；另一种是不知道自己被入侵了，等到大厦将倾时才发现。

其实，还可以存在第三类人：在系统受到危害前便已接收到警告，因而可以做到防患于未然。
如何才能做到在系统受到危害前便可有效检测出入侵方式呢？未知攻，焉知防，如下图，基于 Cyber-Kill-Chain 网络攻击杀伤链模型，我们首先还原出了一个简化的入侵攻击流程。

图：一个简化的入侵攻击流程

每个阶段的攻击详情如下：

① 侦察阶段：以扫描、信息收集为主，通常包含 IP 收集、域名收集、端口扫描等步骤，黑客进行这些步骤的目的是尽可能探测出攻击目标的资产信息，例如使用什么软件，什么版本等。② 攻击