为了你们的服务器不被黑去挖矿，今年的RSA我们带来了它

去年的RSA大会上，微步在线发布了威胁检测平台Threat Detection Platform，而今年的RSA大会上，我们则获得了CDM评选的全球威胁情报最具创新能力奖（Most Innovative Awards），同时，我们发布了威胁检测平台的服务器版，TDP-S。

“S” is for server. 这一次，我们想保护的是你们的服务器。

匹夫无罪，怀璧其罪，在网络攻击中，服务器的遭遇往往比较凄惨：本来今天吃着火锅唱着歌，高高兴兴地跑业务，突然从漏洞里钻出个黑客就把自己绑架了，不仅被拖库，还会被强迫着打黑工、挖虚拟货币，甚至还可能会成为绑架者的帮凶……而在大型的网络环境中，找到被黑的服务器其实并不容易，所以，这一次的TDP-S，我们根据生产网环境的特点，推出了这样的功能：

01

服务器失陷检测

基于高质量出站威胁情报，发现外连C2（命令与控制）端行为，定位内部失陷服务器。支持接入微步在线全量高质量C2类型情报分钟级更新。除微步在线自带情报外附带多个开源情报源供选择订阅。

02

黑客木马特征检测

微步在线跟踪主流木马及攻击手法，根据通信协议等行为特征定位内部被控服务器。微步黑客狩猎系统追踪全球100余个黑客团伙，测试提取3000余条木马通信协议特征并将规则特征用于检测。

03

DGA域名访问检测

基于深度学习模型DGA（Domain Generate Algorithm）域名访问发现，基于卷积神经网训练的DGA检测模型。可准确发现对DGA域名的访问，准确度可达99%。

04

黑客后门、DDoS木马检测

利用可疑URL检测发现攻击过程的下载木马和恶意软件的行为。对白名单外可疑URL进行云端检测。及时检测发现服务器环境内的恶意行为如挖黑客后门、DDoS木马等。

05

挖矿、反向代理、发送垃圾邮件

基于模型和规则发现数据窃取及流量异常，发现利用隐蔽信道进行数据窃取，发现服务器失陷后被利用于黑客获取利益的行为如挖矿、反向代理、发送垃圾邮件、扫描嗅探等。

理解起来是不是很抽象？我们来看WebLogic的例子，当黑客利用WebLogic漏洞操纵服务器来挖矿时，会有很多代表性的攻击行为：

首先，黑客通过漏洞攻陷服务器，会访问恶意的IP下载挖矿的工具，访问行为和下载行为就会被TDP-S检测；

其次，服务器被用来挖矿以后，会去对外连接矿池，这种典型的行为也会被TDP-S检测到；

最后，以上所有的行为被TDP-S记录后，就能够完整地还原攻击链，让安全人员摸清攻击手法，而攻击者熟练使用一种攻击手法需要较高的成本，因此，这样不仅能让企业安全人员就能对威胁看得更深、更远，快速了解黑产最新的进攻模式，还能够增加攻击者的成本，从而更有效地进行防范。

我们的TDP-S能够在已知威胁发生的时候，快速检测识别，保证客户生产网业务的连续性和数据的安全，而在未知的威胁来袭时，又可以忠实地记录攻击者的整个攻击过程，让安全人员对事件溯源更精准、迅速。

从客户需求的角度看，服务器失陷的严重性已经被广泛认知，被黑掉去挖矿、发送垃圾邮件，甚至成为攻击者的跳板，哪一种都会让安全人员为之头疼。而根据FireEye最新发布的数据，2017年亚太地区的MTTD从172天猛增到498天，令人咋舌的增幅，其实意味着埋藏在企业深处的病灶开始得到确诊，隐匿得更深更久的威胁开始浮出水面。

曾经你以为万无一失的地方，

说不定正徘徊着名为黑产的幽灵。

现在驱散幽灵的工具已经出现

那么，此时此刻，你的服务器安全吗？