360董方：黑客也分“包工头”和“小散户”

360董方：黑客也分“包工头”和“小散户”。

9月24日由360主办的2013中国互联网安全大会OWASP web安全论坛上，360网站安全高级研究员，日志宝创始人董方发表了题为“攻击万花筒-基于大数据的攻击行为关联分析”的演讲。在演讲中，他结合360网站卫士产品积累的大量黑客攻击数据，挖掘攻击行为以及攻击者背后的故事。同时他提出一个有趣的概念，“黑客也分为包工头和小散户”。

据董方介绍，360网站卫士从2012年12年到今年8月份，共积累了16.85TB攻击数据，而且是压缩后的，每天拦截超过30万次来自全国各地的漏洞攻击，帮助大量网站进行防护。

而通过对360网站卫士拦截攻击数据的分析，董方发现攻击者也分为“包工头”和“小散户”。“散户”就是指一些技术非常初级的“小白黑客”，自己没有编程技术，通常通过参与黑客社区讨论、关注黑客社区、拿到他人的成果和攻击工具，从而实施攻击。但是目前有一个趋势，就是黑客攻击代码工具化趋势，今年爆出的最大漏洞Struts2漏洞，一周之内，网上就出现了多款傻瓜化的黑客工具，这种攻击化趋势也使得网站攻击的门槛更低，有能力实施攻击的人的数量大增。

而黑客中的“包工头”是指一些有规模有组织的攻击行为，通常是有一定技术实力的团体对大量网站进行规模化扫描，筛出各种漏洞，然后用批量攻击的方式进行入侵和控制。“包工头”的量比“小散户”少，但危害更大，因为他们有更强的技术和资源，可以批量控制多个网站，进而通过拖库、挂马、售卖黑链等方式承载起整个黑色产业链。

360网站卫士目前在进行深度的数据挖掘，利用网站卫士拦截到的恶意攻击IP库和360安全卫士的恶意IP库相结合，希望能挖出中国互联网更多的恶意IP。同时董方呼吁业界可以更多的进行IP库的碰撞或者交换，以便能更快更准的识别或者找到长年累月只干坏事不干好事的IP进行打击。

关于2013互联网安全大会：“2013年中国互联网安全大会”由中国互联网协会和国家互联网应急中心(cncert)指导、360公司主办，是国内有史以来规模最大，最专业的安全行业盛会。本次大会吸引了美国顶尖网络安全专家詹姆斯·刘易斯、AV-Test反病毒测试公司CEO安德烈亚斯·马克思、国内众多知名白帽等国内外顶尖的互联网信息安全专家参与，更获得网络安全应急技术国家工程实验室、OWASP、Gartner等知名机构的支持。