腾讯主机安全旗舰版产品发布会原创

好，两点整了啊，嗯，大家好。各位在这个互联网电视屏幕面前，在手机面前，在计算机面前的观众们。大家好，我是。本次。腾讯主机安全旗舰发布会的主持人，我是咨询的李少鹏。那么本来我们这次会议是要在深圳线下开的。也有会场，但是由于还是疫情的原因啊，我相信大家对这个对这种情况的突发性情况也是一种一种常态吧，但实际上我个人感觉。我们如果仅是从知识分享，经验分享的这个角度来看，其实我们这种在线会议，它的它的效率是最高的，成本也是很好的，否则的话，我们这些人都要跑到深圳去，去，不仅耽误个人的这个个人的时间啊，也会有一些经济上的成本。那如果我们只是技术经验分享，技术理念的这种输出，其实这种形式不管是对观众还是对嘉宾都是挺好的，那好，那我们今天的这个会呢，讲的是主机安全，呃，主机安全这两年我们也一直是在做这个市场和技术上的梳理和调研，那么现在主机安全它有三个大一点的推动力，第一个呢是合规，你看我们现在这个各种大法，安全法呀，等关机啊等等。

都是明确对主机安全有要求的啊，第二个呢，驱动力就是我们的云化，我们的上云，私有云啊，公有云啊，混合云啊等等，那么它里面的这个主机数量，不管是虚拟主机还是物理主机都是很大的在爆发，那这种情况下，我们需要对这个东西像流量啊之类的都都会这个安全能力有很大的需求。第三个就是我们业内才知道的，就是这种大型的呃，互网行动啊，这种演练行动，那这三大驱动力，其实让我们主机安全，尤其是现在云主机安全这个这个产品现在在这个市场上可以说是一种爆发性的速度了啊，我我我们个人。

数字的统计是每年大概得有50%左右的增长率啊，这个主机安全的渗透率也是很高的，大概能达到90%，甚至是95以上。所以呢，呃，那么腾讯呢，在本身在主机安全这个这个赛道上，它其实也是一个比较一流的，或者比较顶尖的这样的一个提供商，那么这次呢。腾讯又安全又召开了这个主机安全发布会，这就是我们整个这个发布会的背景，我们来大家来听一听，看看腾讯在这个主机安全上有哪些。特点，以及我们的用户在使用这个主机安全产品时会有哪些具体的实践和案例。好，那接下来呢，我们的会议就正式的开始，首先我介绍一下我们今天出席的各位演讲嘉宾，他们分别是新通院云原生安全专家杜兰，腾讯安全资深产品专家张英。腾讯安全科恩实验室安全专家任依林，腾讯安全云顶实验室产品专家陶芬，腾讯安全反病毒实验室安全专家毕磊，以及两位用户，一位是教育行业的豌豆思维应用安全负责人廖汉辉啊，还有一位是金融科技行业的小花科技信息安全专家罗定华，啊下面呢，我们就首先引请我们的信通院的语言云云生安全专家杜兰给大家他带来他的分享，那么呃，杜杜工您先等一下，还有一个就是我们在这个讲。

这个过程当中大家可以入群，呃，之前也有通知了，还有我这个我屏幕上的这个右右肩膀上的这个二维码，大家可以扫码入群，因为我会有一些那个耳机呀，京东卡呀，就给大家参与互动的这些观众呢，我们会给他抽奖，所以呢，请大家扫码入群，那同时呢，我们也会把这个观众提出来的问题，在这个演讲完之后给给嘉宾去做一些问答，嗯，好的，杜工，不好意思耽误您了，您您开始您的演讲啊，没有没有感谢主持人，然后我这边先共享一下我的屏幕。

好的。好，大家能够看到是吧。可以的。哎，好的，呃，各位下午好，我是来自信通院云大所的杜兰，然后我今天分享的主题是云原生安全发展现状与趋势，那么我为什么要在一个呃云主机的厂来说这个云原生安全呢？那是因为在云原生安全里面，云主机安全和和它上面的容器安全是非常重要和核心的一个部分，那么所以也是感谢这个腾讯云邀请我来做这个介绍和分享。那么今天我将从三个方面来进行分享，首先是我们为什么要提云原生安全，那云原生安全它需要解决的这个安全问题和安全威胁到底是什么呢？然后就是知道了这个问题之后，我们该怎么做呢？怎么去建这个云原生安全防护体系，它包含哪些方面？然后最后呢，我会再跟大家分享一下云云安全现在的一些发展趋势。

啊，那么首先是第一部分。啊，要说云原生安全，首先我简单的介绍一下什么是云原生？呃，那么狭义的一个理解呢，就是说它是一个技术和应用模式的一种改变，那么CNCF给出的定义是说它包含了这个不可变基础设施、服务网格，这个生命API等等的技术，它是面向云应用设计的一种思想理念，是能够充分发挥云效能的最佳实践径。那么它有这种弹性、可靠、总偶合、易管理、可观测的这些特点，能够帮助企业去提升它的交付效率和降低运维的复杂度。那么这广义，哎哎，您说您说还是那个演讲者模式是不能变呢，好的好的，那我可能是这个分享的有点问题。

诶抱歉，显示设置就左上角那个显示设置不是我找那个。哦，现在是了吗？现在还，哎，可以了可以了，哦，好的好的，不好意思啊，继续，哎，好嘞，那么从广义的这一层面来理解呢，就是它不仅仅是一种技术，它是一种就是应用生在云上，长在云上的理念，所以除了技术以外，还有这个文化，组织架构和方法论的整体的一个认知的升级，那么总的来说呢，就是通俗的，通俗的讲云元生就是应用应对这种新的需求，就是业务上云虚实结合，然后企业需的业务需要去做高效迭代这样的一个新的需求下面的一种新的理念和新的工具。

那么呃，云原生这个概念其实从一三年就已经提出了，然后经过了这几年的发展之后呢，呃，目前也是呃形成了比较成熟的这么一个技术站，然后企业也是认可了它的价值，就对企业来说，那么云云生是一种既能够审成本，又能够提升效率，而且还能够增强稳定性的一种工一种架构，而且不仅仅是研究生他自己好用，它还能够很好的跟上层的这个人工智能和大数据这些新的技术，新的应用去做一个结合，哦，那作为一个技术体底座去凸显这些数字化新技术的一些价值，所以呢，哦，那么目前从我们这个新通院调研到了数据能够看出来，企业已经开始大规模的应用云业生，而且是已经把它用到了这个核心的生产系统当中，这个比例还而且还不是很低，所以我们可以大胆的说这个云云计算，它已经进入了这个全面云原生的时代，而且未来大部分的应用。

都将是这个原生化的一种应用。诶，那么哎，像做工你你你一切换那个页，它又回到那个演讲者视角了，你不切换的话，不知道是怎么，你只要一切换又变回去了，那我直接哦这样继续OK，哎这样是可以的是吧是吧，对好嘞，你继续行行行好嘞。稍等一下啊。现在是正常的吗？是的是的，好的好的好的。好。那么这一页我们已经。那么我们说这个新的技术呢，就是新的技术架构，还有这种应用模式的变化，它一定会是伴生这种新的安全问题的，那么也是根据我们最新统计的这个数据显示，目前企业上云云原生化改造最大的一个顾虑就是安全性，有大概就是超过六成的用户会觉得说在选用云原商技术的时候，这个安全性是他们很大的一个顾虑。那么云原商安全风险到底有哪些呢？包括哪些东西呢？那么我们认为云源生安全风险包括的是这个云源生基础设施自身以及上层应用，云源生化改造之后的这个安全风险，那基础设施这一层就主要是包括以这个容器为主的云原生计算环境，Develops工具链，还有云原生化应用，主要包括了这个微服务，以及显著扩大后的这个API的应用规模等等。

那首先我们来说一下这个容器它面临的安全风险，那容器呢，它是在整个这个构建、部署、运行的全链条里边，它都可能会存在这个新的漏洞引入，还有就是安全风险去做扩呃安全威胁做扩散的这么一个呃风风险。首先来说构建的话，就是容器里边有这个镜像和镜像仓库的这个模式，那么这里面其实是增加了软件供应链的风险，那么镜像可能会有漏洞，可能会呃里面会配置不当，那也有可能它来源不可信，在拉取的这个通道不安全等等等等。然后我们再来说部署的话，就是首先这个容器编排组件，就我们可能用的更多的是这种K8S啊，然后一些这种插件，那它可能自身就有一些漏洞，而且它的可能有一些配置管理上有一些缺陷，那么这也是增加了这个容器这一个层面的安全风险，然后再说容器运行起来了之后，这个容器运行时的安全风险啊。

大家可能都知道啊，就是这个容器为了追求轻量化。那么同一宿主机。之上的这个容器，它是共享呃宿主机的操作系统内核的，那么这个呢，其实是提升了这个逃逸攻击的这种风险的概率，而且就是增大了这个攻击面和它的影响范围，那么同时呢，就是为了业务的这个灵活稳定，那容器是经常会去做迁移，然后去做弹性扩缩容的，所以它的生命就是以容器化的这种应用，它的生命周期是缩短，大幅的缩短了，可能只有几分钟这个级别，那么对于这种高度动态的工作负载去做安全防护，那么呃是是非常有难度的。

然后同时呢，然后在呃，原生网络这一层，因为容器上面它的这个服务被拆的非常的微小了，那服务之间的访问会大幅的增多，那容器这个网络，它更多的这个网络流量除了南北向以外，更多的是这种东西向的流量。增多了，而这些流量呢，它是避开了南北向网络的防护的，那么这些流量不仅仅是规模大，而且它的访问逻辑是很复杂的，那么这一块就是也是给我们的安全防护增加了很大的难度，然后引入了一些安全风险。哦，这是容器的，然后那么我们来看微服务，那微服务呢，它是做对我们的这个应用做了一个呃，非常细力度的切分，那么这个细力度的切分其实也是增加了这种规模化的应用的一个风险，那么首先在微服务的场景下，呃，这个业务逻辑它是分散在很多进程里边的，每一个进程它都有自己的入口点，这种暴露的这个端口数量就是大幅的增加了，那么攻击面扩大，而且这个暴露的都是业务内部的接口，那么呃，风险就是被攻击。

之后这个风险和影响是更大的，然后同时呢，也跟前面一样，就是它的这个微服务之间的调度逻辑很复杂，那么性能要求也会更高了，所以这个访问控制的策略，或者说一些安全手段的设置的难度是大幅提高，一旦这些安全，呃，安全的策略虽然说有，但是你一旦配置不当，它仍然是也会带来这些这种越权，或者是说影响到业务的这种风险，然后同时呢，这个呃，我们说的框架本身就是这个微服务治理框架的本身，它也会引入新的漏洞。

那么我们再来看看service servicer呢，它是呃一种更灵活更轻便的这种呃，针对应用程序开发和部署运行的这么一种新的架构，它的目标呢是说呃，我在我在平台层做到足够的呃丰富，然后同时能够把这个应用拆分的更简单，就是让开发人员只专注于应用程序的这种呃业务线功能上的开发，而不是代码的编写，那么而而且不用去管理，管这个底层的这些服务的资源，而且它的这个计量的模式，按需使用的模式，是一种新的模式。那么service呢，就是从架构层面上来看，它是更加的灵活，而且就是其中还有一些这种像这种函数计算啊，这种新的架构平台，那么这块引入的新的风险是什么呢？首先是这个我们应用程序，那么固有的风险这个是有的，然后第二呢，就是这个service平台自身的安全风险，那么还有呢，就是比如说这种函数计算。

这个新的计算模式下面引入的安全风险，这些都是新增的。那么我们接着来看这个API，那API呢，其实是贯穿了云生整个从架构到应用的都普遍存在的一个安全问题，哦，就是首先就是它可能本身攻击手段这些本身呃，就面临的攻击类型还没有变，但是在这个云生架构下，云学生呃。编排层有API，有非常多的API接口，那业务层有非常多的API接口，那么。这是一个呃，就是呈指数及爆发增长的这么一个API接口的这么一个数量，而且它其中的这种逻辑是非常的复杂，然后很有可能就是呃，一配置失物配置不到，那么就引入更多的风险，然后同时呢，在这样大规模量下，怎么去兼顾这个性能，业务的性能，还有这个安全，去做这个兼这个也是非常难的一个点，那么所以就是API安全在整个这个架构下面会显得非常的重要而且突出。

然后最后的话就是这个研发运维的安全就是develops的，那么这块的话就包括了这个代码前期的这种设计层面，然后整个流程管理层面，还有就是涉及到其中的一些S的工具层面，那么the ss其实也是一个比较独立的这个安全方向，那不仅仅是存在于云原生这个架构里面，那只是说在云原生架构里面，它其实也是一个非常重要的一个方向。啊，那么总的来说呢，就是呃，云原生在这个显著提升了云上效能的同时，也带来了一些复杂的安全问题，那么传统的这种安全防护理念，这种非原云原生化的安全产品和服务，其实是很难去cover住这些安全需求的，所以我们为了保障原原生的安全，需要更深刻的去理解云原生的架构，然后去提供这种更针对性的安全解决方案，去构建更完整的防护体系。

那么安全人生安全防护体系啊，有什么，是什么呢？首先我们来看一下，就是人生安全遵循的一些设计原则，那主要是包括这个零信任，安全左移，持续监控响应和工作复杂的可观测。首先来说一说零信任，呃，零信任呢，就是可能大家非常熟的一个概念啊，就是假设环境中随时都是存在工击者，就是一切都是不可信的，那其实这是几年前就已经提出了的一个概念啊，那为什么就是去年他一下子又混了呢？就是我个人认为啊，就是它其实是在这个云原生的架构下，或者说云的这种架构下又焕发了一个新的活力，因为在云原生的这个架架构下面，它就更没有这种传统的边界概念了，它的服务，它的底层的架构都被拆的非常的小，它是一个呃细力度的这种微边界的概念，是非常典型的一个零性人的场景。

那么我们在云原生架构做云原生架构安全的时候呢，就其实是非常需要去应用云，呃零信任的这种特性，去做到这个最小权最小权限，然后去做到这些微隔离，去做比较精准的一些控制。那么第二个是安全左移，安全左移呢，是因为整个这个云原生的运行时，它非常的动态轻量化，而且就是去对他在运行过程当中对他做安全防护，其实很难做的，那么所以呢，就是提出了一种思，就是在前期就是把安全投资更多的放在这个建设的前期，放到这种开发安全上面去，比如说包括这个安全的编码，然后镜像啊，就供应链这些的安全，那么我们在前期就是软件这个层面，就应用这个层面做到了足够的安全，那其实在运行之后能够大幅的减小它的这些风险。

那么第三个点就是这个持续监控和响应啊，那我我其实也在反反复复提啊，就是云原生架构里边它的这个复杂和动态的这么一个特性，那么这里一块这块呢，就更多的要求一个这种主动防御，就是也是说的比较多的一个概念，那我们需要去做持续的监控，而且是要监控尽可能多的这个人乐生的这个元素啊，然后同时建立这种持续响应的防护机制，能够呃非常迅速的对这种攻击去做一个分析处理，还有后续的追踪溯源，然后最后一个工作负载，可观测呢，那就是可观测，呃，可能了解原生架构的朋友们都知道，可观测试云原生架构里边就是要求具备的很重要的一个能力，那么呃，那么在安全这块呢，我们实实是可以利用这些可观测能力去获取我们这个安全分析响应需要的一些原始数据的。

哦，那么。目前云原生安全这块的就是国内外的现状呢，就是首先在2020年的时候，呃csf发布了这个云原生安全的白皮书，那么它是从这个构建部署流程这样的角度上，就全生命周期的这种角度上，视角上去提出了这个云原生安全的体系啊，然后同时呢，那不不仅仅是2020年前，在更早的时候啊，这个呃，云服务商还有安全厂商也陆陆续续的推出了云原生安全的一些项目和服务，那么其中可能这种面向这个容器安全和网络安全的呃比较多。呃，然后呃，那么新通运这边呢，是在去年的时候，去年五暂的时候，也是联合了腾讯云等等18家的这个行业领先的云服务商和安全厂商，共同发布了一个云原生架构安全白皮书，那其中在里边去提到了这个云原生安全防护的体系啊，那么大家可以看到我简单介绍一下，就是这个防护体系，首先它的底层，我们认为云原生安全的前提基础是它底下的云基础设施的安全，那么也是跟我们今天这个主机安全息息相关的，那么只有这个安全了，那我们才能去说上面的东西，那其次呢，就是这个云原生基础架构的安全。

啊，那么呃。哦，原生基础架构这块呢，更多的是对应到我们这个容器安全的这个层面，包括这个容器的网络安全，编排层、组件层的安全，然后整个镜像的安全，还有这个容器运行时的安全。那么再往上是这个云原生应用的安全，包括微服务的呃，架构安全，Solar的安全，以及就是通用的API的安全治理，然后还有就是这个devs，还有数据安全，以及整个我们也提到了云原生安全防护体系，它是需要建立一个动态的闭环，那么对于整个安全的管理和运营啊，都是需要去做到的。那么其中呢，就是呃，以容器为核心的这种基础架构的安全是非常重要的一个点，首先它是这个原生的底座，其次容器目前也是应用范围最广，然后程度最深，然后呃，近几年也是陆陆续续爆出了很多的安全隐患，然后刚才主持人也提到了互网嘛，那么互网其实中间也有这样的案例，所以我觉得。

就是容器安全目前是这个云原生安全当中的重要重中之重，那么只有这个底座稳了，我们才能去说上面的应用啊，那么后面应该也有这个腾讯专家从更深的层面去进行一个详细的分享，那我这里就不再展开说了。啊，然后是这个云安全建设需要注意到的几个关键点啊。那么就是呃，也有这个企业在建设安人员生安全的时候会咨询到我，我们说啊，我看到市面上有这个产品，有那个项目，我是不是都把他们铺上，我就安全了，那当结论结那个答案肯定是不是的，我们说人员是安全，首先你要做的是这个策略和整体的规划，就是嗯，你先对自己的这个技术，呃架构以及业务特点有一个完整的了解和分析，那么我们先有一个整体的这种架构设计，那但是并不是说有了这个东西之后，我要把所有的这个里面涉及到安全能力都往上去堆接，那么云原生的建设节奏，它一定是去做逐步完善的，一定是贴合着咱们的这个技术架构和业务去逐步的增长的，那么这点是需要注意的关，呃，这注意的关键点。

那么云生安全现在的这个发展趋势是什么呢？啊，首先第一个就是呃，他是主导的力量，从单边走向了多元，那也就是说这个呃，云原生安全的服务者，或者说这服务的提供者不仅仅是安全厂商，因为云生他涉及到这个平台，云平台底层的很多的东西，那么能够做到很深的，其实这块是需要云服务商来处理的，那么云原生安全整体的架构一定是云服务商和安全厂商，包括用于企业共同去努力的一个呃，一个方向，那么在这里边呢，也是会衍生出非常多的这个细分的领域，然后第二点呢，就是安全理念的转变，那么呃，我们也说了，就是这个呃，云生他的这个防护，整个是对这种动态性，然后实时的监控性要求非常高的，那么这块呢，就提出了是说这个服务的重要性，就安全防护服务的重要性。

那么需要有这种并不能仅仅靠人去盯呢，需要这种呃，设备后台机器监控平台的这种实时的监控和响应，那么第三点呢，就是这个安全产品形态，就是从粗暴的上云转向上转向与平台应用的深度融合，和这个云原生架构的一个深度的融合，然后最后的话呢，就是呃，安全落地方案走向轻量化，敏捷化和精细化，那么我们也说就是其实最适合云原生架构的安全方案方案，那就是云原生化的安全方案，那么它也是能够代表这个轻量化，敏捷化和精细化的这这种这种趋势的。

然后呃，最后再来介绍一下这个新通院目前人生安全方向的一些那个工作，那么首先呢，我们是在一九年就启动了这容器安全的标准，呃目前已经呃报批，同时呢也开展了相应的评估，然后同时呢，在2020年的时候，我们成立了这个云原生安全工作组，那么腾讯云也是我们其中的成员，主要成员，然后呃在去年的时候，我们发布了这个云原生架构安全白皮书，那么我在前面也介绍了它里边主要的这个安全防护体系，然后目前呢，我们是呃在这个呃，CC sa，就是中国通信标准协会TCWG5呢，去了这个生能力成熟度模型第三部分架安全的这么一个标准，然后目前呢，已经是。

呃，经过了两次的征求意见会，呃，即将发布，然后同时呢，我们还有这个云原生安全能力的系列标准正在上啊，其中包括这种API安全治理啊，云原生数据安全，云原生MSS等等等等，那么我们也是，呃呃欢迎就是大家感兴趣的加入到我们的队伍当中来，然后我们一起去推动这个人生安全云安全技术的落地，然后为这个企业的数字化转型去做一些贡献。那么我的分享就到这里，谢谢大家。好的，嗯，感谢杜工，嗯，我们可以看到在杜工的演讲当中，那么它定义他解释了一下到底什么是云原生，以及原云原生面临的安全风险，为什么会会有云原生安全这样的一些解决方案和产品出来，嗯，我印象比较深的还是后面说的说的几个趋势啊，比如说我们要走向这个统一融合，我们要更加系里化的，弹性化的，呃这样的去去做事情，这个其实和云本身它的本质理念是一模一样的，你看我们最早的时候是物理主机，那么在它软件化，虚拟化了之后，就是虚拟机，那虚拟再往下，虚拟机就是容器是吧，容器再细的话就是微服务，还是或者叫那种。

服务那个服务网格啊，还有fast功能等等，它是越来越颗粒化，越来越度化的，那么这个度化的东西，我们不仅仅光系里化下去，还要把它融合起来，需要需要的时候把它组合起来，这样才能达达到弹性啊这这是我理解的杜工讲演讲的这个这个核心的东西，那么接下来呢，我们嗯，就看一看我们今天的这个主要这个主角啊，我们的旗舰产品，主机安全旗舰产品，我们有请腾讯安全资深产品专家张英为我们带来这个新引擎，新能力，新体验啊，有请张总。

好啊，谢谢主持人。啊，我先共享一下我的。好，嗯，能看到屏幕吗？可以，但是好像不是你的。不是你的，那你能翻一下页吗？好，是的是的，OK，可以好好行。

好啊，我是腾讯安全的张英啊啊，今天很荣幸呢，能够呃参与这个腾讯云主机安全啊，这个旗舰版的发布会。呃，给各位在线上的这个来宾呢，给我们介绍一下近期咱们产品团队啊，经过不断的打磨，重磅发布的一个升级版本。那新的版本呢，从三个维度进行了突破啊，大家也看到标题上面写的这个，呃，新的引擎，新的能力，还有新的体验。啊，那我们的发布会呢，也会围绕着这几个方面啊的特点来进行展开。那今天的内容呢，将会包括啊这五个部分啊，最后还会有一个互动的环节，也欢迎大家踊跃去参与。好，我们先简单回顾一下主机安全的发展啊，尤其是在啊企业数字化转型的过程中，用户对云原生安全的诉求呢，也在不断的增加。那主机安全呢，始终是一个很受到关注的一个领域，那我们看到服务器的形态呢，从传统的这个呃，物理机开始一直往着岩松方向的进行演进，那提供的这个服务的颗粒度呢，也会变得越来的越细致。

那保护端点的技术呢，啊，也从这个传统的啊防病毒发展到这个入侵检测，再到后面的这种啊分析和响应，那来到今天呢啊，专门针对这个云工作负载啊进行保护的这个呃CW呃CWPD平台也已经成为了业内的这个主流。那从这个趋势来看啊，防御的技术呢，实际上也是跟着业务形态的发展啊，而持续的进行演进的，那另外一方面呢，我们也参考了呃，这个伽对CP能力模型的定义。从最核心的产品能力到我们用户需求的这个映射关系可以看得出来啊，客户对安全的关注程度，还有一些高频的痛点，都会对主机安全产品的发展呢啊，提出了不同维度，还有不同能力的要求。

呃，我们看看今天围绕着公有云上的安全啊，那主流的威胁呢，仍然是呃，无处不在了，而这些威胁的事件呢，也会经常出现，这个相互的关联，导致了用户他面临的这些啊挑战呢，会被进一步的放大啊，例如我们看到的这个系统漏洞啊，像最近影响面非常广的这种啊，Two啊，它可可以与很多的这种长见的攻击事件啊，例如这个啊，挖矿啊，勒索呀，甚至乎这种啊，长期潜伏的APP的攻击啊，都可能会产生这个化学的反应。那根据企业在云上资产面临的各类呃威胁，还有管理的痛点呢，我们也总结出有四方面比较有共性的问题，分别是安全合规，高级的威胁应急响应，还有多云的管理。

那客户面临的这些挑战呢，也啊成为了我们腾讯安全的一种推动力，那我们现在也在努力当中，为用户去打造一款卓越的安全产品。呃，从安全建设的角度来看啊，城市化的这个防御体系呢，始终是对抗入侵非常有效的一个手段，那主机安全本身呢，是在属于云上最累的一道安全防线，我们知道安全是没有100%的，但是呢，如果你不重视这道防线啊，我们的用户资产一旦被有目的的这种攻击者盯上以后呢，啊，其实是非常危险的。啊，甚至会在极端的情况下用，呃，企业努力建立的这种公司品牌呢，也有可能会啊，毁于一旦，所以呢，用户对主机安全上的需求呢，也是非常的突出，第一呢，他要满足这个合规，那第二呢，要对漏洞防范于未然。第三呢，能够对啊，对抗各种的这个入侵的手段，那第四呢，是能够统一和高效的去掌握这个云内还有云外的这些资产的一个风险面。

那我们也一直在思考啊，怎么样子才能够为我们的用户啊，构建一个完整的这种云工作负载的防护平台，那首先我们认为啊，主机安全其实要具备非常强的一个端点的防御能力，所以呢，这里面有三种形态啊，我们是需要去覆盖的。那在云主机这个层面呢，需要帮助用户去处理啊，例如资产管理啊，恶意文件查杀呀，啊漏洞管理，还有安全机械等等问题，那我们知道容器呢，呃，事实上已经成为了这个云原生里面最重要的一个载体。那针对容器安全呢，也是需要有呃相应的一些能力进行适配的，那这个呢，我们在后面会有专门的呃技术分享。那还有一个是最近非常火的这个明星人安全，那在主机的这个维度呢，我们也会将啊，将会支持这个微隔离的产品。

呃，对于这个安全要求很高的客户呢，也能够通过这个技术来提升它整体的这个安全的水位。那上面提到的这些安呃端上的安全能力呢，最终都会输出到一个云的呃安全运营平台，并且这个平台呢，可以呃赋能给几类啊，这个用户比较常见的一些场景，内部啊，专有云，混合云啊，还有私有云，那我们啊构建的这个C平台呢，也会围绕着上面提到的这些思路来展开。好，那下面我们一起来看一下啊，腾讯安全新构建的这个CW平台啊，它有什么样特点呢？那我在开篇的时候也介绍了几个新是吧，那第一个就是新的引擎。那对用户来说呢，怎么样子去保护主机不被入侵呢？是一个反复会被强调的一个核心能力，那为了打造这个更加强大的一个防护效果呢，我们在呃孝布的这个产品里面也集成了这个七大核心引擎啊，分别从恶意文件的查杀，入侵的检测啊，漏洞管理，还有实现这个呃入侵的溯源。

啊，还能够大幅去降低这种误报等等啊，都获得了很大的提升，那这这个也是呃，腾讯用我们自己的最佳安全实践啊，为这个百百万的这种用户终端来提升他的防护能力，一个非常好的例子。呃，像呃，咱们科恩实验室它的banner为AI这个引擎，它对这个二进制的呃木马的检测率呢，已经可以提升到啊百分之六十一九十六以上啊，啊是一个非常高的水平了，那关于这部分引擎的介绍呢，啊，我们在后面也会有专门的议题进行分享。那通过大量的这个云主机上攻击者啊，这种攻防对抗的实啊，实战里面呢，我们自己也统计到一组数据啊，那通过这组数据呢，我们也可以看到目前的产品呢，也取得了一些不错的成绩。

那由于主机安全产品确实啊，在使用的过程中啊，为用户能够有效的去解决了很多的痛点，那我们也获得了越来越多这个业内知名的这个客户的认可，那我们后面也会邀请到部分的客户嘉宾啊，来给大家做进一步的分享。呃，除了获得用户对产品认可啊，这个非常关键的因素以外呢，我们组机安全的能力在业内实际呃，这种专业的评测里面也显示出非常强大的实力，那呃，腾讯主机安全呢，也获得了这个多家这个权威评测机构的认啊，这种认证啊，还有推荐。

好，我们看一下，呃，现在主机安全产品啊，可以供用户选择的几个版本之间的一些差异，那今天发布这个旗舰版以后呢，我们会有三个版本，那免费的基础版呢，只提供了一些有限的这个基础的检测能力，那专业版呢，主要是覆盖了更多的这种核心场景的检测的维度。那旗舰版呢，是建立在这个专业版现有的能力上面啊，在提供了很重要的一些增强，例如这个漏洞的修复能力啊，啊，入侵的阻断啊，还有像核心文件的监控等等的功能，那详细的能力对比呢，大家也可以登录到我们的官网做进一步的参考。啊，我们再来看一下啊，产品在体验上的一些提升，那伴随着这个呃，旗舰版的发布呢，在控制台上的安全概览呢，将会提供更加丰富的信息，同时呃，为了用户可以更好的理解，还有使用我们的产品，在这个防护安全防护模块里面呢，也融入了这个。

呃，PP的这个模型啊，各个功能呢，会从这个呃预防防御呃检测还有响应四个方面体系化的进行展开，从而快速的能够引导我们的用户呢，按照最佳的这种配置方式啊，来发挥这个产品的效能。另外呢，还会支持这种更多的一些呃，资产的指纹的自动发现，对用户资产的管理来说呢，可以做到从这个整体到细节啊，都能够掌握各种关键指纹信息啊，和和它的一个实时变化的一些情况。呃，在主机系统上面碰到高危漏洞啊，几乎是一件不可避免的事情。那站在用户的角度来说啊，除了需要及时的去评估这个漏洞的影响面啊，最紧迫的通常呢，就是要找到合适的这个修复的方法，那在新版上面呢，我们也优化了这个漏洞的呃，检测效率，并且呢，在旗舰版上不但提供了这个修复方案的建议，也提供了这个自动修复的功能。

满足了我们客户呢，对于紧紧急的这种漏洞进行快速处理的一些诉求。嗯，在恶意文件的检测上，新版本呢，集成了这个多引擎的技术啊，这个其实呢，就是相当于我们的用户啊，它可以直接共享到腾讯安全的这个攻防能力了，那这里面有几个用户非常关注的场景啊，一个就是在各类这种攻防对抗中，经常会被使用到了这个web啊，这种入侵的检测。那我们通过前期的一些横向的测试呢，目前的检测率已经达到了99%以上，那另外一个就是对近期这种啊，越演越烈的啊，被黑产利用来进行挖矿啊，还有勒索这些安全事件，那通过这个多引擎的联合鉴定以后呢，可以极大的提升了这个恶意文件的查杀效果。

啊，在旗舰版里面我们也融入了这个自动化攻击溯源的能力，那新引入了这个腾讯安全自研的这个啊，福尔摩式引擎啊，并且增加了这个，呃，威胁检测还有威胁分析两大模块，用户可以通过这个非常直观的啊，并且可以可视化的分析啊，可以对这个高级的入侵事件进行深入的调查和取证。那主机被呃入侵，其中一个非常重要的特征呢，就是啊，通常会来源于一个一些对系统核心文件的异常操作，那这种手段通常是不会容易被发现的。那为了挖掘这种呃盈利的攻击行为嘛，我们在旗舰版上呢，也提供了对核心文件的这个监控的能力，对匹配规则的异常行为来进行实时的这个告警，让用户呢，可以快速的进行这个响应。

嗯，那通过呃对用户外围的这些攻击的呃监控啊，我们在公有云上面也部署了大量的这个流量和行为的探针，还有蜜罐系统来捕获这个攻击者的一些入侵的活动啊，并且呢，能够及时的提醒我们的用户去关注这些在野的攻击事件。啊，可能会对我们企业资产会产生一些潜在的风险啊，从而能够提前的进行一些相关的安全的加固。呃，在产品的购买和使用上呢，我们也做了一些体验上的提升啊，新发布的这个呃授权管理，让用户可以先购买这个授权，然后再通过我们的控制台一个授权管理的模块，灵活的分配这些防护的能力到需要进行保护的资产上面去，那整个呃授权分配的过程呢，对用户来说会更加符合他们实际的一个呃使用的习惯。

好一个完整的这个呃，云原生CWPT解决方案呢，那用户容器的这个安全防护的也是非常关键的。大家呃，大家知道这个业务在容器里面的生命周期，跟传统啊的业务在主机上运行其实会有很大的差异啊，所以新的容器安全服务呢，也采用了这个独立的一个呃管理的控制台。那通过腾讯安全这个海量的威胁情报进行赋能。啊，我们在呃，容器节点这些机器上面呢，只需要部署我们轻量化的这个。同时也能够充分利用到底层这个原生的啊基础架构啊，集成的像入侵防护啊，啊逃逸检测呀，文件查杀呀，啊镜像扫描，配置管理，还有一些机械的巡检等等啊非常实用的一些功能，那为用户打造一个这个一体化的这种容器的解决方案。

呃，我们容器安全服务呢，也是可以嵌入到这种啊，持续开发，持续集成的这个敏捷的流程里面啊，它覆盖了容器的这个镜像生产啊，一个镜像的部署，还有容器运行时这三个阶段的一些防护。那这里可以看到我们提供给用户的呃，价值呢，是非常有特点啊，例如是一键快速启动啊，跟主机安全一样啊，集成了前面提到的这个七大的核心安全引擎，那在攻防的能力上面呢，也获得了我们呃云顶安全实验室整个这个技术专家团队的一个支持。好，那下面我们看一下呃，一个容器安全比较典型的案例啊，啊，它来自于一家金融的客户，那他的业务呢，已经大量的部署了这个容器化啊。

由于这个容器的特点呢，咱们企业原有的这个传统的安全解决方案呢，它不能很好的去覆盖这个，呃，镜像资产的安全，还有这个容器运行环境的安全等等的场景。那在没有部署这个容器安全防护之前呢，他们也进行了一些内部的这个攻防的测试。那跑容器的这个业务的安全问题呢？其实很容易就被暴露出来。呃，那采用了我们腾讯云的这个容器安全服务以后呢，客户可以建立一套比较完善的这个镜像安全，还有。这个运行时的这种准入的规范，从而也提升了他客户整体的整个业务的安全水平。好，那我今天呃这部分分享的内容呢，就到这里啊，也非常感谢大家的时间啊，如果呃大家对今天的产品希望有更加深入的了解呢，也可以关注我们屏屏幕上方的这个二维码，联系我们的产品经理来进行更加详细的一个沟通，好，那下面交回给我们的主持人，谢谢。

好的，谢谢张英总。呃，那么在我们今年和不是今年应该是去年，在去年的这个主机安全报告里面，其实我们也也也做了一些比较深度的调研，我们分析一下，其实它云主机安全这种产品，它其实是。面对一个计算环境和计算对象说的，那么它的核心安全专业技术，它其实应该就是叫做云的，基于云的his啊，主机入侵检测东西，主机入侵检测系统，那么这样的一个东西，我们评判它有三大的这样的一个核心的这种技术能力，才能做好这样的一个事情，那第一呢，就是防病毒引擎，我们认为只有做好这个跟操作系统。

比较紧密结合底层驱动比较结合的，这样的。类似于这种病毒引擎的东西，才能够很好的做好这个产品，第二个呢，就是你有大量的数据，有威胁情报啊，还有其他的这些这些恶意的东西为样本啊等等，第三一个呢，就是攻防对抗啊，这个因为你做这种检测与响应的，做这个呃，这个这个检测，呃，这个攻防的，你不可能这个对黑客对抗这方的东西不熟，那其实我们知道腾讯安全在这方面都是很强的防病毒应该是国内也就是是第一这样的一个一个地位，威胁情报更不用说了，攻防对抗我们也知道在最近的这个去年的这个演练活动当中，他们也得了第一啊，所以呢，他们推出的云主意安全产品一定是很很受到这个用户关注的。好，那呃，前面两个嘉宾演讲完之后，我们就开始我们的第一轮抽奖。

也有现在那个评论区有好多那个朋友们正在提问啊，这个我先，嗯，我们工作人员已经从这个互动里面抽取了一批幸运观众，现在呢，我这个观众的名单，中奖的名单也已经发到我们群里了，大家可以在群里看一下，我也可以稍微读一下。这个我们的工作人员是不是把名单给我发一下，我看一下过来怎么样。好，我收到这个名单了啊，第一轮的中奖名单是十张京东卡，其中有五张是100元的，五张是200元的，那么100元的京东卡。中奖者是。ID我只读ID啊，因为微信只有ID。然后小猪、芙蓉、黄埔、竹下和X。这是。100元的京东卡的获奖者，那么五张200元京东卡的获奖者的ID是神州。

爱如指尖沙。袁帆，汉语拼音的远啊，远帆有可能是远帆，然后然然后是相顾好，感谢大家的参与，我们第一轮的抽奖就到这里。嗯，没没有进群的小伙伴赶紧进群啊，还可以，还有机会得到无线耳机的这样的一个索尼的无线耳机的大奖，接下来我们就有请我们的腾讯安全联合实验室的三位专家来对刚才的主机安全这个旗舰版的技术细节啊不同的部分进行解读，那么这三位专家呢？第一位首先出场的是科恩实验室的安全专家任依琳啊，有请任总。好的，谢谢主持人，我这边先分享一下屏幕。好的，我这边屏幕是正常的对吗。

正常的，嗯，好的，嗯，那各位下午好啊啊，今天我给大家带来一个基于八点来驱动的挖孔木马检测技术这样一个议题，那近年来呢，这个挖矿嘛，可谓是大行其道，而且发展迅猛的，就是啊，俗话说就是财帛动人心呢，我们通过这组数据的对比，我们可以看出呢，随着这种虚拟货币它价格的增长啊，瓦孔木马也是呈现出了一个正相关的飞速的增长趋势。那它的存在呢，对我们的云主机资产其实带来了非常大的危害啊，比如大量的占用CPU和GPU等计算资源，那根据我们的统计呢，在公有云的攻击事件中，有超过一半的事件其实都是和挖矿相关的，那每个月呢，我们的公有云都可以捕获到超过6000多起的挖矿事件。那就我们调研呢，实际上绝大多数的挖矿木马，它都是一个组件化开发的模式，它都会用到各种各样的挖矿相关的组件，并且呢，他们都要和各自相关的挖矿相关的矿石呢，进行一个网络的通行和连接，以完成一个完整的挖矿任务。

那好，我们下面会展开的来讲一下我们是如何用AI来做挖矿木马识别这个事情的。那首先我们来了解一些传统的方法，那传统方法这一块呢，主要是分为静态检测和动态检测两个大的方向。那静态检测呢，主要基于一些文件的哈希值以及一些字符串等常量特征，类似于压规则这样一些比较简单的静态特征。那它的优点呢，就是实现起来是非常轻量化的，复杂度也比较低，但是它的缺陷在于呢，这些方案它所依赖的特征过于简单，攻击者很容易通过一些对抗的方式就绕过你的检测了。那在动态这块呢，我们所监测的一些特征呢，主要是例如网络行为以及一些计算资源的异常占用，来形成一个告警给到我们，嗯，但是形成告警这种途径，从实施性上来说，它本身就是之后的，就是你拿到这个告警，说明这个事情它已经发生了，而且在这个方案的实现上，它的复杂性啊也是比较高的，就因此在效果相同的情况下，其实我们更倾向于我能静态检测做掉，我们就更相倾向于静态检测这样一种方案，因此实际上它也是一个静态检测方，但是相比于传统的静态检测方法，我们的所依赖的这种特征呢，呃，它是更加可靠，更高级别的函数力度的语义特征。

那正如我们前面提到的就是挖矿木马，它所用的组件呢，其实从功能上主要可以分为加解密算法这种密码学算法以及矿区连接啊这两大块，那以其中最为知名的瑞这个挖矿组件为例吧，就是我们这儿也列出了一些啊加解密算法和矿池连接算法相关的啊一些函数，那其实就对于这些函数呢，我们就会将其收入到一个特征库中，也就是如这个图右侧所示的这个挖矿组件特征库。

啊，那其实我们的bar瑞I就提供了这样一种能力，它能够对一个未知样本，就是我们要待判定的未知样本，它所用到的这些函数，巴内就可以识别到这些函数，它有没有匹配到挖矿组件特征库中的啊某些函数，那如果啊，有这种匹配的出现，而且这种匹配的比例呢，达到了一个预值，我们就可以将其认定为是一个挖矿的木门啊，那其中最为核心的这一部分，也就是我们的巴，它究竟是什么呢？就巴维亚实际上它是一个深度学习的神经网络模型啊，它做的事情呢，就是将一个二进制函数通过一个神经网络啊，得到它的一个固定维度的向量，这个向量可以表示这个函数的语义信息，而且这个向量具有一个特性是相似函数向量的余弦相似度它是更高的，而两个不相似的函数，它们向量之间的余弦相似度也是比较低的。那这里我们模型呢，就是所支持的输入的特征啊，也是我们这展示了有这样五种，那其中就是最为重要的两种，就是二进制函数的反编译伪代码，以及它在汇编级别的一个控制流图，因为它的反编译伪代码和汇编的控制流图呢，是最能够原原本本还原这个二进制函数语义信息的特征。

啊。呃，那对于想进一步详细深入了解班里来原理的同学呢，就是我们可以啊，欢迎大家来参考我们之前发布的两篇论文啊，以及我们开源的一个SDK的工具，以及我们现在推出的软件组成分析平台，来了解我们这项技术。嗯，那班维它的优势在于什么呢？首先我们是拥有最全最大的训练数据啊，并且我们在这个任务上也拥有啊，面对这个任务所特有的一个效果最好的一个so的神经网络模型，那在这一块呢，我们也是取得了一个业界领先的函数相似度检索的一个效果，同时这项能力目前也是被应用到了例如恶意软件识别软件组成成分分析等多个不同的安全业务场景。

那我们首先来看我们的训练集，我们的训练呢是囊括了数百万条不同的二进制函数，并且呢，我们每一个二进制函数都是由一份源码在两种编译器，四种编译优化选项以及四种不同的CPU架构来进行一个组合，来得到一个更加丰富，更加高质量的训练集。我们再来介绍一下我们神经网络的一个结构，那以汇编级别的控制流图作为输入特征为例啊，我们会对这个控制流图的每一个基本呢啊，去给它做一个ARP模型。然后呢，我们会得到每一个基本块会有一个表示向量，之后我们会将这些基本块送入一个图，神经网络模型对整个控制流图得到一个向量，那除此之外呢，对于字符串，立计数等全局特征呢，我们也会有对应的模型去得到它们的向量，最后两部分向量做一个拼接，会作为这个函数最终的一个表示向量。

那同时我们也是采用了诸如孪生网络以及三元组训练这样一些业绩比较先进的这种神经网络的训练方法，来提高我们模型的一个准确率。啊，那还是回到我们挖矿检测这个方案。就实际上我们一个待判定的位置样本送进来以后呢，我们首先对其进行反编译，得到这个样本用到的函数的伪代码，那经过一些简单的过滤之后呢。我们会将挖矿样待待检测样本所用到的函数通过我们把这个神经网络得到其对应的向量，那同时我们收录的挖矿组件的这种特征函数库中呢，也是存储了这些函数的向量，那通过待检测向量和挖矿特征库中特征向量通过一个余弦相似度的计算来判他们是否为同一个函数，进而判定它们啊，有没有命中一些啊挖矿组件常用的一些函数来进行一个挖矿组件的定。那对于挖矿组件函数库呢，我们这里有必要提一下，实际上它是包含了啊加解密算法和矿车连接两部分，为什么要做这样一个操作，因为实际吗？实际的挖空木马它在真实场景下啊，它有可能是多阶段多文件落地的，那它在落地的多个文件中，可能某一个文件它只会啊进行一些连接的操作，有的文件可能只会进行一些密码学运算的操作，我们也是通过这样一个策略来保证我们的特征库能够单独的覆盖到每一种独立的情况啊，来减少我们的一个漏报的情形。

啊，那提到我们的这个特征函数的函数库优化，那针对场景下这种函数本身我们也是想了很多啊这种优化的策略。嗯，那为什么要做这种优化呢？对于一个挖矿函数的组件来说啊，实际上它里边的函数并不是所有的函数啊都适合去做这种特征函数啊，我这里举一个简单的例子，例如挖矿组件中经常会有一些Json字符串和J数据结构的解析以及构造啊，其实这种操作本身呢，它和挖矿是没有什么太大的直接关系的。嗯，那除此之外呢，对于一个二进制形式所收录到的组件，它还会存在很多诸如静态编译的类C以及C加加构函数，以及一些体积过小的函数啊，这些实际上他们的语义上都和挖矿没有太大的关系，因此我们把它定义为一个噪声啊。对于这些例子呢，我们就会采取一些自动化清理的方案，首先会做一个粗略清理，那同时我们还是采用了一个数据驱动的，基于统计特征的这样一个方案，去做一个更高级的自动化清理，这个我们后面也会介绍到，那在经过自动化的清理方案过滤了一部分噪声呢，对于剩下的。

一些特征函数呢，我们会继续结合我们的专家经验以及一些具体实例的分析，进行一个工的筛的操作，最终得到一个非常高质量的函函数库，来做这种挖矿特征的匹配。

那我们来介绍一下其中啊，基于数据驱动以及统计特征的这样一个自动筛选的方案，那首先呢，对于我们的挖矿组件里边都会有一批候选的函数库，那对于每一个候选的特征函数呢，我们会为其准备两个样本集，其中一个样本集全都是挖矿样本，另外一个样本集中的样本呢，都是非挖框样本，那如果一个函数库。中的函数，它对它在非挖框样本集中，它匹配上了很多的样本，那这就说明什么？这就说明这个函数它其实并不适合用来做一个特征，因为它所带来的误报率太高了。因此我们这里也是定义了一个指标叫假阳性指标，也就是它在非挖矿样板中的一个命中率。啊，那如果说一个函数，它这个命中率。假阳性的这个指标太高的话，那我们就把它给删除掉，那通过这样一个自动化的过滤方案之后呢，我们就可以得到一个啊，不太容易引起误报的这样一个优化后的特征啊，作为我们啊人工筛之前的啊一个。

各种苦。呃，那至于我们这个方案的测试结果呢，我们是分为两部分来介绍，首先是我们在实验室场景下呢，是准备了15000家来自于真实场景的人工标注的软件样本呢，其中是包括3000份各类的不同的挖矿木马，以及12000份非挖矿的软件，那这12000份非挖矿软件中呢，其中它既包含正常的软件，也包含一些灰度的啊，一些恶意的样本也是包含在里面的啊，那我们在这个数据集上是做了一个实验的测试，我们的方案对挖矿木马的召回率呢，能够达到96%，而对于非挖矿软件判定为挖矿的这样一个误报率啊，是远远低于1%的。那第二块就是在我们这个方案正式上线之后呢，我们线上试运行了一段时间啊。大概是两三个月以来，我们统计了所有我们所啊这种检测过的样本，我们的误报率大概是在万分之零点三八的一个水平，是非常低的一个误报率。

那好的，就是我今天的介绍呢，就是介绍到这里，那如果大家有什么问题，后续也是可以在提问环节啊。进行一个沟通。嗯，好的好的，嗯，任工我相信，呃，这个大家可能如果是提问的话，也愿意提问一下，到底我们这个，呃，这个二进制AI这个东西是怎么做的啊，之前我们的静态也好，动态也好，它都有自己的问题，其实安全各种检测技术也是这样子吧，黑名单有动态，有检测，但是都面临同样的问题，就是未知威胁的难以发现，那这个时候可能只能借助于AI这样的技术来做，但是如何做呢？一般都是大数据，然后就是模型，但是具体怎么训练的，这个可能也不是不是很清楚，但是这也属于很细节的技术问题了啊好，那再次感谢这个任工的分享，我们接下来还是有请腾讯安全云顶实验室的产品专家陶芬啊，他给我们讲讲在大规模的这种容器环境下去安全的这个建设和管理啊，有请有请唐女士。

谢谢主持人。嗯，稍等我共享一下我的屏幕。嗯，大家可以看到了吗？可以。嗯，大家好，我是来自于腾讯安全云顶实验室的陶芬，那我今天分享的这个主题是腾讯云的这个千万和规模的容器应用下的一个安全建设和运营，这个topic比较大，今天很难一次讲透，只能算是一个抛砖引玉，跟大家交流一下腾讯云的话，自己的一个容器安全的一个建设的历程和思路，以及近期的一些安全运营的一些实践的案例。那么云顶实验室呢，其实一直致力于这个云原生的一些攻防的研究和运营，那么我们也会持续，后续我们也会有一些攻击的威胁趋势的分析，还有这个新的威胁下的一些安全运营思的一些沉淀，会持续的分享出来，共同促进整个行业的这个容器安全和云原生安全生态的发展，那么今天的分享主要会有三个部分，第一个部分的话呢，其实是站在甲方的这个企业安全的建设的角度去看，我的企业在容器化转型下，会给我的这个安全能力，安全运营带来什么样的挑战。第二块。

的话呢，是立足于腾讯云，我的这个超大规模的容器平台下，我们的一些安全体系的架构和安全能力设计的一些经验，最后一部分的话，还是立足于腾讯云，看一下对咱们的内外部的客户，我们的实际的一些安全管理，还有一些安全运营的一些思路和一些案例，那么呃，我们先来看第一部分。呃，其实在谈企业容器化转型下面临的安全风险和挑战的时候，呃，让我们来看一下一些真实的攻击威胁的一些现状数据，这个数据是我们在二一年的十月份对几百个行业有容器应用的这个客户测一些调研的结果，可以看到近半数的企业是在其实在最近都是真实的经历过容器安全的事件的，那么二一年底的话，也持续爆出了一系列重大的漏洞，那么漏洞的爆发也带来了一波黑产的攻击，也都是在真实发生，我们在腾讯类和帮助腾讯云的客户响应和解决了多起这个容器场景下的一些入侵，一方面呢，是企业内部的安全团队，它能够真实的感受到的攻击事件，一方面也也有我们对黑产对攻击方的持续的监控和跟踪，Do hob是业内最大的最知名的一个第三方的镜像仓库的平台，那么除了黑产的镜像投毒之外，其本身也是作为黑产，它攻击得手后用于去下。

波其恶意进项的一个中转站，那么在我们二一年的八暂对外公布的一个那个黑产的进项的一个监控显示啊，单个的黑产恶意镜像的最高传播量其实已经超过了1900万次，累计传播量甚至达到了1.9亿次居多，可见这种被攻陷的容器的数量和规模是远超我们想象的安全的，从来都是一个攻防博弈的游戏，从攻击侧的话，黑产集团它已经具备了相对成熟的这个自动化的一些攻击手段，并且通过获得集群的控制权去部署挖矿容器来获利。那么当然还有来自这种红蓝演练的小伙伴，他们基于容器场景的这种渗透测试和定向攻击的手段其实也是很成熟的，大家也可以参考那个云顶实验室，九月份有发布一个云上的最新的attack的攻击矩阵，一方面呢，防守方会感受到企业容器化后，它面临的安全建设不断的一些新的挑战和不断的这种增加的真实的入侵。

威胁带来的紧迫感，让容器安全和云原生安全成为这两年的行业类的一个避谈的一个安全热点，我们也认为，站在腾讯云的角度，我们也认为容器安全它其实已经不再停留在这个卖产品和收功能的阶段了，我们觉得它已然是进入到一个安全对抗的一个实战的阶段。那么对于企业来讲，对于我们的甲方小伙伴们来讲，他们将更关心安全检测的一个防护的一个真实的效果，以及在我的企业内部的安全运营的一个成本和效率。那么简单说的就是要我们要把它用起来，还要把它用好。那么呃，要用的话，我们首先要先搞清楚，就风险是什么，问题是什么，怎么用，还有怎么解决和拿到怎么样的效果，这一页我就不再概述了，因为游戏场景下它面临的安全问题，在刚才那个呃开篇的时候，呃，信通院的专家其实也跟大家详细的分解过，我觉得这块的话，包括最近提到的像镜像投毒应用组件漏洞，还有KBUS的API serve。

权，多个API未授权访问，还有容器逃逸这类的安全事件和攻击技术，我们就不一一展开了，那么攻击面和风险面带来的是对企业的安全运营能力的一些挑战，那这个挑战我们其实这块是带来了一些安全能力建设的需求，但是我们再往前走一步，我们想知道对我们的企业真实的这个安全运营的能力挑战又有哪些呢？我们想深挖一下，那么容器安全的运营，那么它的本质问题是什么？它会带来具体的什么样的挑战和新的机会？呃，我相信大家现在已经行业是有一个共识的，第一个的话就是容器的一个短生命周期，那么到底有多短？49%是小于五分钟，74%是小于一个小时。

这是最近的一个统计的一个数据啊，那相比333天是云主机的一个平均的生命周期，而容器是只有分钟级的，这种生命周期的短会导致整个的攻防战术的一个本质的变化，那么就像大家熟知的，像容器逃逸为什么会在容器安全场景下会被反复提出，因为它的生命周期太短，那么容器逃逸就会成为它的攻击方的整个战术的一个必要的关键的步骤，那么容器逃逸和它对应的检测能力就会成为容器场景的一个关注的重点之一。那么我们认为第二个挑战点可能就是容器的密度大，那么海量的容器应用如何运营，就像刚才题目说的，那腾讯云面对的容器的应用的规模，我要解决的这个应用的规模可能是千万的这样的一个规模，那么怎么去降低我的安全运营的成本，也是我们的一个挑战，第三个的话，我觉得就是整个云原生架构下的这个de OS，我的安全能力是需要去覆盖我的开发和运营的阶段，并且去。

能够形成自动化的集成，自动化的应用和智能化的运营。那么最后一个挑战就是既然我们是面向云原生的架构做安全，那么安全能力也要去符合云原生的理念和技术趋势，安全能力本身也要云原生化去融入到基础设施里面去去云原生化的部署和应用。那么这这两年来，类似像cubless的native security，还有包括围绕着service match，围绕着A去融合去做安全的这些理念也在逐步的发展。

这是第一部分我们对整个的呃，容器这块的整个的企业面临的安全运营能力挑战的一些思考，那么呃，我们再来看啊，云顶实验室一直是以攻防实战和运营提效为客户价值，我们以行业最大规模的这个容器集群的整体的这个安全的建设，沉淀的专家服务和专家能力去获得客户的口碑，那么云顶实验室其实一直承担着整个腾讯云的容器服务的安全架构设计，帮助整个腾讯云去夯实云的基础设施和容器基础设施的安全，在咱们在二一年的11暂我们发布的云云腾讯云的容器安全的白皮书中，我们也详细去介绍了整个腾讯云的容器安全体系设计的四大原则和相应的安全能力的一个技术框架，并且呃，也参与和贡献给了行业，包括呃，最开始的信通院提到的云原生安全的架构白皮书和云原安全能力的成熟度模型，在这里我就不再去赘述了。那么。

我们相信大型的企业在全面的云原生化、容器化转型之后，同样面临着它怎么去体系化的架构和设计，去做企业内部的安全建设的需求。白皮书可以说是将腾讯云的解法去贡献给业界，也欢迎大家能够跟我们去做持续的咨询和交流。嗯，最后一趴的话也给大家分享一下，咱们立足于腾讯云，呃云顶自己在呃腾讯自己的这个腾讯云的容器安全的管理和运营方面的一些实践和思考。首先腾讯内部的容器应用的规模在行业都是顶尖，都是比最大的，我感觉得绝对是第一梯队的，而且涉及到不同的BG和不同的业务线，我们在内部的像镜像仓库的平台，CICD的平台，还有包括内部的集群的个数节点的规模都是非常庞大的。我们将内部的容器安全的建设和运营是拆分的三大部分，第一块就是整个进项维度的一个进项的安全管控，第二块是从集群层面的整体的风险管控，还有一个就是运行时的入侵检测和防护。当然最底层的支撑是整个容器场景安全运营的一个必须的就是一个资产容器安全的一个资产的大盘，能够及时定位这个对应的安全责任和安全修复人。

那么在镜像安全的管控机制上，我们有落地镜像仓库的全量的监控扫描，还有CI的这个构建容器的镜像构建阶段的去集成安全扫描制品库，去集成安全扫描，并制定相应的安全门禁，我们也协同了容器的pass团队和我们内部的操作系统团队去提供统一的安全加固后的一些基础镜像，基础的系统镜像版本，然后去规范整个业务的镜像构建的过程，需要基于安全的基础镜像，使用公司统一的CICD的平台去满足我们的安全质量门禁的要求。那么其中镜像扫描也包括大家熟知的像系统漏洞运用漏洞系统漏洞还运用组件的漏洞的扫描，敏感信息泄露的检测，还有病毒木马的检测。在集群的安全风险管控上呢，我们是进行了集群的组件的漏洞，还有风险配置的巡检，那么攻防的专家团队会运营分析那个云原生安全的一些漏洞库和我们第一手的漏洞情报，发现漏洞风险会第一时间去推休。那么也制定。

定的容器安全的一些基线策略，定期会进行基线的巡检和推休，最后是容器运行时的安全防护，默认是覆盖公司所有的自研上云的全部节点主机，我们是基于agent的去实现一个监控容器类的进程文件和网络行为，可以进行容器的逃逸检测、木马查杀、web shell检测、异常行为检测和阻断，可以说是既有左移也有右移，做到了一个全生命周期的安全检测、安全防御和一个安全管控。呃，目前的话，我们的整个的运营实践这块其实也是聚焦在漏洞的应急，集群的安全加固，容器的入侵响应等这些主要的场景来进行的。呃，首先第一个重要的场景就是漏洞，漏洞的应急场景，那么在重大的漏洞爆发的时候，容器的镜像将是安全运营的一个主要的抓手。呃，相信大家还记得像get lab前段时间也爆发了一个严重的可以C的这个漏洞，我们是第一时间检测关联到了受影响的200多个，并且关联到线上。

业务的容器以及实时的监控到了部分的用户业务容器以及在遭受攻击被入侵，那么最近连续爆发的一些重大的漏洞事件，我们是做到了行业的最早的一个漏洞情报的预警，并且由腾讯内部的安全专家去实时的跟进这个漏洞的发展趋势和修复方案，并第一时间同步给我们的内外部的客户，那么在漏洞的推休期间，将应用的组件到镜像再到容器的场景的运营方案也也服务也输出给了我们的云上的客户侧，并做好了这个高风险客户的入侵防护和应急响应，嗯。再来聊一聊在容器场景下的整个的漏洞的处置和修复会面临什么样的挑战，当然也会带来一些优势。第一个挑战的话，呃，固有的挑战就是像我们知道的像受影响的镜像的数量大，还有大量的这种僵尸镜像，这种老的旧版本的镜像的存在，以及容器的整个的不可变，就云原生的不可变基础设施的这一理念，会给我们的一些原有的漏洞缓解措施带来一些不变的这些挑战，当然有挑战也意味着会有新的优机会，在这里面也会有优势。那么云原生给整个容器场景下的漏洞处置带来的优势，我们认为是以下几个，第一个的话就是资产的可视化和快速的定位，资产问题一直是安全建设和安全运营中一个重要的问题，那么同时也是最让人头疼的问题，那么云原生架构，它其实很好的解决了这个资产的问题，我们通过Co等编排平台，还有镜像仓库这些组件可以让我们快速的去进行资产的梳理和问题的定位。

第二个是流程的自动化和快速生效。同样的Co等编排平台，它提供的一整套的业务的自动化的管理的方案，包括配置管理、服务编排、任务管理的。因此对于漏洞的修复，它可以实现快速的分发和对应的一个灰度的升级。

第三个的话呢，是安全左移和快速控制，它能够在CICD等多个环节去进行安全左移的检测，那么镜像入库前的检测，阻止包含漏洞的这个镜像推送到仓库，降低整个增量的风险，那么在运行时可以进行一个准入的检测，对于包含漏洞风险的镜像，我们可以阻止其启动和运行，去减少整个线上环境新增暴露面。最后是微服务的架构，因为应用之间是相对独立的，这会给我们的漏洞修复带来好处，一方面是针对某个镜像的，它的漏洞修复的影响范围很小，可以提高整个漏洞修复的效率，另一方面是微服务架构下，它的服务的功能是相对单一的，那么很多重复的功能可以形成独立的服务，这样也减少了整体的修复的数量。最近几次的这个重大漏洞的应急和运营，我们也沉淀了一些安全能力和相应的一些运营的管控的流程，例如开源应用的组件，一旦爆发重大漏洞，第一条线我们会先通过进项。

漏洞扫描识别出受影响的镜像和受影响的容器，然后针对镜像去定位资产信息，并推休对于容器运行时的安全去进行检测和防护。第二条就是管控线，那么我们通过CICD的平台去设立安全门禁，去阻止新增风险镜像去带入生产环境，通过这种进呃容器运行时的一些门禁。一些准入机制，通过高危镜像的阻断去禁止其高风险的容器，而且还有包括对失线的容器去进行网络隔离，防止进一步的横向渗透，这是整个我们在这个呃漏洞的爆发场景下，我们的实际的一些运营的一些思。第二个的话就是第二个典型的场景就是入侵检测和防护，这个我就不深入展开了，因为我们现在能做到深度的去感知容器类的入侵事件，能够持续的监测，实时上报被攻击的容器，并且去自动拦截视线的容器。第三类场景的话，其实是呃，整个容器场景和其他的原有的这种场景下一个不一样的就是它的整个容器的编排层面会导呃会带来一些容器的集群环境这块的一些漏洞，还有一些配置类的风险，在这块我们会需要去实施风险的检查和安全的加固，去保证容器的基础设施的安全，我们一直有监控这个黑产，针对容器场景下的这个真实的攻击路径和攻击方法。最近也分。

讲过一个team TNT的黑产集团的一个容器攻击的一个路径图，可以说目前remote remote API未授权访问，仍然是现现网的这种主要的攻击路径，那么很多云上的客户，他自建的KBUS的集群，但是安全意识和配置经验不足会导致。容器集群上线之后，很快就会被入侵，被攻击者利用进行挖矿，那么针对腾讯自研的业务，我们会定期去进行集群的安全巡检和专项的这样的一个治理的收敛，当年我们已经收录了相关的这个组件的漏洞是超过100个，在集群的pod的权限管控，还有的这个策略方面也进行了相应的一个落地的应用。

这个是我们在内部的实际的一些那个运营的一些落地的一些情况，那么最后说一下就是云顶的实验室的话，其实对容器的在野攻击的这样的一个威胁趋势，还有包括对黑产集团是建立了长期的监控和分析的机制的，呃，我们内部叫做云上的哨兵系统，也就是美国那个科幻片X战警里面那个哨兵，那么我们的黑产威胁情报都会第一时间同步给云上的容器安全产品，去帮助我们的客户第一时间去检测到黑产的攻击行为，并且可以联动腾讯云的Miss应急响应专家服务去进行一个响应和一个溯源分析。最后是一个真实的案例，就是11暂我们也帮一个重要的客户，他也经历了整个业务的多容器被入侵植入挖矿这样一个case，那么客户使用TCSS，那么产品可以快速的定位和查杀挖矿木马，并且会对整体对其容器环境的整体风险进行了一个全面的盘点和一个修复和加固。

最后未知工胭脂坊云顶实验室的话，这块一直是专从攻防的角度，一直专注于原生场景下的这个攻防的研究，还有腾讯云的安全运营，所以相信可以将我们对这种超大规模的容器集群的安全建设和运营经验可以分享给行行业，也欢迎大家那个持续的去交流和探讨，让整个安全正式的迈入云原生时代，谢谢。好的。谢谢郝总，这个是1600个机群是吧，12万个节点啊，然后抓手是进项检测响应是我们的强项，哎，听听着还是不够过瘾啊，具体这这么大的这些节点啊，是不是一个集群一个集群管的呀，是有层级的呀，还是分项分类呀，就这个还是没太过瘾，有机会的话再跟您请教啊。

好，那我们接下来有请第三位，呃，安全专家是来自于腾讯安全的反病毒实验室的毕垒啊，刚才讲了管理，还讲了这个，呃，AI的检测，我们来听听web web shell的这个实践攻防，好，有请毕磊。好的，李老师，我共享一下我的屏幕。可以看到，可以可以吧，行，好的，那我就开始我的分享，首先我简单介绍一下，我是来自于腾讯安全反病毒实验室的，我们实验室一直在做这个反病毒的相关的一些安全的一些研究，包括一些腾讯安全上面的安全产品的反病毒能力，都是由我来提供的。

那么今天呢，重点给大家介绍一下云上的检测技术。那么今天的分享呢，主要包含以下四个内容啊，首先是简单介绍一下云上的一个攻击的态势，然后会介绍一下传统的一个检测技术，以及ta在呃web检测的一个突破，最后再完整的介绍一下腾讯云主题安全的web检测能力的一个体系。首先给大家分一下web上we态势，那首先we是呢，Web其实本质还是意的脚，那么通常是PHP啊或SP，以及现在可能会有像Python啊这种脚本写出来，它的功能呢，主要是呃，包含了一些意的代理具，正常的一些外部应用。

那么。黑客是如何将web传到？注机上呢，通常是通过一些呃，利用外部的一些漏洞，比如一些这种注入的漏洞，还有一些文件包含的漏洞，以及文件上传的一些漏洞，通过这些漏洞将web上传到呃主机上，那么它能够用来干什么呢？主要是方便黑客去对云主机进行一个控制，比如它可以实现这种数据的监听。窃取、窃取、篡改恶意的行为。那么通过我们的数据也可以看到，整个腾讯云我们在上，我们每天都发现大量的这种试去上传的一些攻击活动。所以也表明这种we文件已经成为了这种黑客的一个非常普遍的一个做法，那为什web这么流行呢？实是和本的，一是有关系的，我区别于传统这种杀毒软件啊，因为我们是我是做这种传统杀毒的，因为呃，相对来说脚本就小的，难度就非常的低，而且会非常的灵活。

那实现的功能呢，也非常的强大，那么想去绕过传统的这种恶意软件检测呢，也是非常非常的简单和容易。那么我们又统计了一下云上的这种恶意的we，呃，样本的分大概的分布，发现P占非常非常大，大概占了。那么为什么这个web呃测有这么大的难度呢？Web是一个非常非常非常传统的一个安全问题啊，即使在呃这种传统的在云时代之前就已经存在，为什么到云时代之后仍然是一个呃非常非常难解决的问题呢？其实是得益于它整个检测方案的一个难度，那么我这里列举了几一个传统的一个检测方案啊。

最经典的就是规则特征码，这种检测方案就非常类似于传统的杀毒软件的一个检测方案啊，主要是通过对这个PH文件里的一些敏感的一些函数，比如一些就是系统执行的函数啊，还有一些这种还有外部变量控制的函数，以及甚至就是。一些黑客的作者，他自身写的一些注释啊，一些特征啊，当成一个特征吧，来作一个规则的检测，然后通过一些规则检测引擎，像这种规则进行一个检测。那它带来的一个问题呢，就是。本身这个脚本其实非常灵活的，可以通过这种拼接加密啊计算进行一个绕过。然后第二个的话。那就是最近几年也比较流行的，就是通过一些于数学统计的分析进行检测，那么这个方式呢，主要是通过一些对已有的样本的进行一些，呃，机器学习啊，或者一些数据分类，那它的问题呢，主要是一个是它是依赖于这种数据模型和大数据的分析啊，依赖于你的输入。

呃，它带来的呃可能性呢，就是它可能误会相对来说比较高一点，那么对抗的话，如果能出你使用哪种分类方法，也是很容易的就被滚。第三类呢，可能就是主要是通过运营来解决这个的问题，而是通过这种类似于情报，主要依赖于情报的体系。那么。呃，见于这种基哈什的这种，呃哈西的这种云查啊，它主要依靠的是整个情报体系的一个完整性，是否能够收收集到相应的这种最新的商。那么它的这个弱点呢，也很很明显啊，就是通过这种机的检测的话，是很容易通过添加一些变量啊，修改一些名字啊，就很容易被绕过。然后这里呢，我其实列举了几个比较典型的这种we的一些躲检测的一些例子，代码示例，那么第一个呃事例呢，就是呃都是以PHP为代表的，呃是通过这种或者函数名的一个替换，因为对PHP来讲的话，它的函数名是呃是可变的，就是可支持这种动态函数是非常非常灵活。

大家可以看到这个这个代码里就是看不到任何这个变量，都是通过一些这种呃计算啊来进行获取，最终实现了这个呃执行。然后第二类呢，就是右边上面的一个一个代码，一个wel代码可以看到啊，这个主要是依靠一些加密，就是PH本身是有一些加密的函数的，通过这些的一些函数进行，呃呃，反复的一个运用的话，比如用通过六四啊，通过一些这种加。然后再通过在运行的时候进行动态的一个执行恶意代码。然后第三种呢，就是利用一些各种语法的特性，比如这个就是用一个类的一个写法，那么嗯，这里的列一些代码都是通过这种混合使用多种绕过手段来实现这种绕过这种静态检测的，所以之前提到的这种纯粹的基于这种规则，或者基于这种。

代码匹配的这种方式呢，对这种这种的L是没有用的。然后这里边呃，下一页这三个web呢，主要是通过这种呃PHP的一些特性啊，因为PHP本身非常灵活的，有一些呃不为人知的一些特性，然后很多这种者呢，就会去浏览这个PHP的文档啊，去找一些这种不常见的，不不常见的使用的函数，然后通过这些调用这些函数来实现这个web。比如呃，第一个的话就是使用了一个就六四，再用一些这种符的一些拼接替换啊，这种方式来去做检测的。然后第二个的话是主要是利用了这个类的一些，呃，一些函数，就是一些特性来进行躲避检测，实际上我这里只列了三种常见的一种绕方式啊。实际上是有很多很多的这种方式，我在这里没有列。

那么传统引擎都有这么多的弱点，那么P呢，最近一两年呢，都是在智力去，呃，尝试一些新的方法去解决这个，呃，Web的一个检测。那首先做简单介绍一下，Ta擎是我们是呃，这么多年来开发的一款毒啊，是整个腾讯安全旗下的一些全产品的一个核心的杀能力的一个供者，那么最近两年我们把重点放在了整个云上的云主机安全的恶意件的检测，尤其是web的测。那么相对于传统的web检测呢，我们引擎是在主要在以下三个方向做了一些突破，那么首先呢，我们呃。为了弥补这种传统的特征码查杀的一个呃弱点呢，我们是采用了这种静态的这种污点分析的技术，类似于代码分析的，将呃整个PHP代码转为一中间，通过静的方式去判断它是不是一个。

然后第二种呢，我们是实现了一个，呃，轻量的一个PHP的，类似于虚拟的一个虚机，然后会对这种常见的一些混淆啊壳行还。然后第三种呢，我们会对整个PHP的代码的运行过程中，也会使用动态的一个误点分析的技术啊，有点类似于这种is运行时检测的运动技术，还带入了文件扫描过程中。首先呃，简单介绍一下这个静态的误点分析，呃，静态的点分析就是区别于传统的这种特码呢，我们是对呃。怎么去检测这个web呢？更多的不是在能检测，而是尝试用代码去理解这个web的语义。那么首先会对代码进行一个词法和语法的分析，转化一个语法数D，再转化为一个AR，然后通过对上的一个数据流图和控制图的进行的误点分析来实现来判断这个。

这个代码，这个PHP文件是不是一个。呃，污点分析呢，其实是呃广泛的应用到这种代码分析，漏洞分析啊，我们是把它应用到了整个这个web的一个检测的领域。然后实际的一个过程呢，就是我们呃，会有一个叫做污点源啊，污点源主要是一些外部的一些变量，外部的变量，比如这些外部的变量是工击者是可控的，比如一些这种参数啊，一些的参数，然后我们会把它视为点源。然后我们把一些险的函数，比如像呃命的函数当做一个汇聚，我们如何去判断一个web是不是呃是一个文件是不是web呢？我们就会对整个的到汇聚点的一个数据的一个控制流图进行一个定分析，就是如果这个呃物电源最终汇聚到了一个。

点的会议点，那么我们认为这个文件就是一个we，然后右边的话是一个呃，典型的一个点分析的个流程，其实web本身呢，其实就是外部用外部可变变量的一个呃控制过程，也就是工者可以控制它的一些输入，最终啊进入到一个命令执行啊，这就实现了一个呃，一个简单的一个web的一个一个个web。那么。大家可以看一下右边那个图啊，就是说我们会对一些污点源的一些变量啊，比如这里列了几个污点源的变量，然后通过对它污点的一个传播过程，污点传播就可理解为呃，比较简单的，比如变量的复制，比如A变量不给赋值给变量，或者A变量调用了一个函数，那么通过返回值赋给了B变量。那么这个就可以理解为呃，由A传到B，那么我们会对整个的一个PHP的呃这种传递进行一个呃，换成数据流图的一个分析。那最终如果这个。

用户输入的这个A变量进入到了一些呃点执行函数的变量，那么我们认为这个就是一个呃web的一个文件啊，这是区别于传统的这种呃代码分析啊，我们是用这种语义上的理解更加的准确。也绕过了一些常见的一些这种混淆。然后第二个呃，我们实现了一个功能啊，主要就是脱壳和简历啊，其实脱壳简历的话是一个，呃，非常传统的，有点类似于传统引擎，因为我们之前的D引擎呢，是一个非常非常传统的一款杀毒引擎啊，里边也有具备了一些这种壳简密的一些功能，主要当然之前主要是针对这个Windows啊，或者可执行文件的一些和解密。我we边的图呢，就是我们找到了一个就微动的一个价格的工具，那么可能呃，对于用户来讲有些呃，正常的用户也会用一些格工具啊，去加一些PHP文件啊，就用来做这种电脑保护啊。

为了防止自己的代码不被外部的人去发现，那同时呢，这些黑客或者工者也会用这种壳工具，就这种工具去加密他自己的一些web。那么如何去区分呢？那么之前的话，如果仅仅是去检测这种加密这种模式的话，可能会带来这个问题呢，就是可能会有很多正常的一些文件就会被误报了，就是说本身它其实是一个正常的一个文件，但是加了以后就被造成了外部疝。这个可能会对用户啊，对客户来讲也会带来一定的困扰么。呃，D采用对这种壳呢，D采取的方式呢，还是就是采用传统的，我们要把它这个壳外壳或者保护给脱掉。那么采取的方式呢，有两种，一种是静态啊，另一种就是通过这种虚拟执行的壳，那么静态壳的方式呢，主要是基于对一些已有的加密混条方案进行一个专项的一些处理，所以我们会收集的收集呃市面上可能大家能够拿到的一些加格工具，然后我们会对这些加工具进行一些分析，分析一下它的加密，呃，加密方式啊，比如它使用哪些加密函数，它的加密过能是什么样。

然后我们会对呃呃开发相应的一个解密的一个解密的一个技术，那么实现这对这种已有的公开的这种呃价格文件进行一个一个反向的一个解密，这样的话我们就可以对呃真正的内容进行一个检测。另一种呢，对于一些这种不是很常见的一些的话，我们可能采用的这种运行时的这种解啊，利用这种PHP的解释器啊，进行一个代码的一个混淆，代码的一个等价的一个还还原。啊，从另一种方式呢，也是实现了一个这种对代码的一个简历，也是相当于一个动态和静态一个结合，然后右面呢，就是一个例子，就是一个微顿的加密的一个PVV文件啊，经过整个V引擎的一个。

呃，这个解密的过程最终是还原出它真正的一个代码逻辑。然后这个呃，这一页的两个，呃，也是两个例子啊，第一个就是一个大家可以看到是一个加密的一个文件啊，就是正常的一个普通人可能看的这个文件，其实是不知道他是真正的是干什么。然后经过整个引擎的一个。呃，简历还原以后，其实它的代码是非常非常简单的啊，就是一个这种，然后下载了一个那个脚本。然第二类呢，下面那个也是一个通过呃，CR函数啊，就是加密的一个wel的一个L的脚本，那么通过我们引擎进行解密。大家可以看到啊，是非常非常的明显，其实就是一个一句话的一个木马。

通过这种，然后最后执行一个的一个参数。那么如果这种。呃，如如果引擎的话，没有这种脱壳能力的话，可能就会造成，呃，只要用这个加工率加一个文件就会得到，这样的话，其实是会有一些客户可能会觉得会有一些风险啊，可能呃有些客客户觉得这个风险，有些客户可能我自己去加密这个文件，为什么也会报棚呢说。是有一定的这个风险。然后。除了以上的这种，呃，方式呢，我们第三第三个我们介绍的是一个动态点静态，前面介绍的是个静态点，静态点传播主要是基于这种。呃，直接对原代码PHP代码进行一个分析的一个过程。那么呃，其实本身这种静态污点也是有一定的这个弱点呢，就是如果这个样，这个文件里边一些污点源被呃这些公益者去做了一些混淆啊，可能这个静静态的误点分析可能就没有用了。

那么为此我们又针对这种方式呢，添加了这种动态物件分析的分析技术呢，主要是监控这个。代码读取外界参数的行为。然后对这种。呃，也是对这种PHP的变量传递和复制进行一个监控，唯一区别呢，它是会真实的去做一些虚拟的执行的过程啊，就可以绕过，为了解决一些混淆的一个静态的一个混淆的问题，所以我们会复刻一些这种关键的一些外界主体的一个参数，然后还会复一些这种高危的一些函数，就像system啊这种。呃，执行的一些参数，然后通过这个对这个P代码一个模拟的一个执行，如果你是对这个行为序列啊，进行一个误点的分析，如果也是外界啊，进入到了这些误点函数。那么我们也就会判断它整个是一个。

整的。结合了这种传统的方式和开发的两种方式，然后呃，于任何一个PHP样，我们都会经过这个下的这个流程啊，首先呢，我们会对做个特征的分析，特征分析呢，就是传统的代码分析。我们呃，比如会判断一些常见的一些一句话木马呀，一些这种比较著名的一些的一些特征点，这些我们是会首先做一个特征的分析，因为这种特征分析的话，速度相对来说会比较快。然后。对这种代码再进行一个静态的一个污点分析，那如果这两个分析能得出它的一个恶意行为的话，我们就直接把它判断为一个web，如果没有的话，我们还会对呃，这种PHP代码进行一个模拟的虚拟的一个执行啊，通过这种动态的行为进行一个动态的一个污分析啊，最终也是会判断他的恶意行为。

然后最终我们会通过结合这种静态、动态种方式判断。一是。那以上就是一个整体的一个方案。然后最后呢，再介绍一下我们的web的一个能力的一个运营体系啊，因为前面介绍的都是种检测技术相关的，呃，大家也知道这个安全呢，其实是一个呃动态的过程啊，是个攻防对抗的过程，是需要一个持续的运营，持续的运营的。那么。针对这个web的话，我们也建立了一个非常完整的一个呃能力的一个运营体系啊，也是借助于整个腾讯安全的一个呃，大数据的一个呃一个积累，那么一个第一个优势呢，就是说我们拥有这种全球最全的一个恶意文件的一个库啊，包括恶意文件的。

We的一个库，然后的话，呃，对于这种云上的一些we部，我们也是非常的集的非常全，我们也建立了相应的一个完整的一个情报的体系啊，除了腾讯云上的web呢，我们也呃和这种要制定的一些安全公司啊，还有自己的一些安全渠道啊，都会有相应的这种web恶意文件的收集。所以我们的web收集能力肯定是最强的，那么除了这种体系化的we的，呃，收集的话，我们另一个非常重要的，对于安全来讲，就是一个攻防的一个一个体系啊，就是我们。持续的也在内部进行的这种，呃，黑客攻防的一个的一个运营，包括我们也邀请了前面的这种客观实验室啊，引领实验室啊，安全专家啊，持续的会我们也会做内部的一个类似于红蓝对抗的一个过程，要持续的去发现我们的ta的检测方式，有哪些问题，有哪些绕过的方式，然后我们再持续的去做一个弥补。

所以，呃。通过这以上的这个建立这个完整的安全体系呢，又实现了整个对web的一个全能力的一个覆盖，全检测的，目前呢，通过一些数据能看到我们对这种流行的web，还有的web能达到检测率达到99%。然后以上呢，就是呃。整个的一个主机安全的对web检测的一个技术上的一个分享，如果大家感兴趣的话，可以呃，下一步和我进行一些交流。好，那谢谢毕磊啊，我们可以看到今天这是一个比较技术的一个分享啊，较较之之前呢，还是关注一些技术细节，包括web share的混淆啊，脱壳呀这些东西，那么其实我们可以从中感受到这个。这些技术都检测技术，加上刚才的bary AI啊，那么综合的都运用到腾讯的这个主机安全的旗舰产品里面，那其实是在本身我们这个产品的专业名称就叫做hids，就是入侵检测是吧，那我们有大量的情报，我们有大量的这种检测能力，甚至还有AI的这种检测能力，所以肯定会对这个主机安全产品有很大的这个效果的支撑，那具体有什么样的效果啊，具体这个主机安全产品在。

在这个用户当中使用的是什么状况，我们下面就要听用户来讲一讲，首先呢，是一家教育行业的用户，豌豆思维的Co，他的安全负责人廖汉辉，我们有请廖总。那种也好像，哎，好看，能看到我的PPT吗？哎，可以的，好的，那我是我先简单介绍一下我自己，我是来自于在线教育window思维的应用安全负责人，呃，我带来我作为一个用户的角度的话，来作为给大家分享一下在一个云环境下的主机安全运营的一些实践。

那可以看到的话，第一个的话就是说利用一些我们的hid云镜去发现，就刚刚说的呃，和壁垒说的一样，就我们去查杀，还有隔离处置恶意文件，然后基于呃云进的一个ta的引擎来去对于我们的一些关键核心业务系统，或者说是一些第三方的部署在我们第三方应用上的一些系统，或者是呃CVN，就主机上部署的一些呃，我们无法去管理到的一些内部系统，或者说1333组件，它可能会存在的一些漏洞，还有一些风险概况，然后去处置他的恶意文件，然后对他的恶意文件的话，对他去进行一个实时的处置。

然后我们h hids在甲方当中的一个安全运营实践的话，它的话更多的话在第一个流程当中，就是说云镜在推送自动化告警的时候，我们就是安全部门监测的安全事件，然后我们会依据于云镜的一个它自动化判断的标准啊，去给他的安全事件进行评级，然后再去进行对他相关评级，对这些漏洞去进行一些联系相关部门负责人进行修复，再去评估事件的影响。这是我们的一个比较大的一个SOP流程。但是我们在这个SOP流程当中呢，会发现就是说在我们刚刚说的一个很关键的一个地点，就是说云原生，云原生的话，像我们一些K8SK8S这种容器当中，我们原来在一些呃实验当中分发现的话，就是说K8S的都可逃逸，或者说一些呃，一些云原生的容器的一些安全漏洞，它原来的自动化告警并不是特别快的实时响应，后面的话我们采用了一个云进的专业版，就是说也包含了一些基础的一些容器的安全的一些告警啊，对这些告警的话，它去进行实施的容器安全推进，呃告警的推送，还有一些漏洞的防护，然后特别是重要的是在豌豆思维在向云原伸，在向容器化的过程中转变的时候，对于一些正在发生或者说已经发生的一些漏洞，它会去进行实时的扫描，然后再对我们用户进行相应的实时告警，这。

是非常好的一个功能，在我们的实验当中的话，我们比较依赖于这个自动化告警和一些腾讯与主机安全的能力的一些赋能吧，我们可能说这样，然后hid云进的话，在我们豌豆思维当中的一些。嗯。His一些的一些实践过程当中的话，就是说his，例如说我们的一些会内部去采购一些，呃，红蓝对抗的一些服务啊，由我们豌豆思维的安全部门作为一些，就是我们作为蓝队，然后由乙方作为红队来对豌豆思维的一些应用进行模拟攻击，然后以达到检测我们对嗯。

豌豆思维的整个安全防御能力的一个检测，然后我们在日常安全运营工作当中的话，我们会利用hids云镜，然后包括联动腾讯的云的，然后再最后再最后再推到我们的一个云安全中心，就等等一个一系列的一个腾讯安全产品的运营回环下面我们达到了对我们部署在云上，特别是腾讯云核心业务的业务上的一些呃，风险告警，我们会。基本上也是属于实时告知，然后有一些风险漏洞，它会自动推送到相关部门负责人手机，或者是他的一些呃微信上，然后豌豆思维的架构是有比较有点比较大的特殊啊，因为豌豆思维就服务器采用的是腾讯云，然后我们自己建立了，就是说利用DS接口去推送到我们的钉钉，有个安全告警机器人群这样的一个流程，然后我们对his对外提供的一些接口也就做一些调用。

然后。我们h hi云境当中去发现入侵之后，发现入侵就是说我们一般会去判断，就是说一个是正在入侵，一个是已经入侵成功的事件，我们我印象当中比较深刻的事情的话，是有一个腾讯云的一个，我们某个应用系统受到一个。OA的一个反序列号攻击上传了一个微博渲，就刚刚呃B雷所说的微博炫，但是也是加密的微博炫是Java，属于那种比较Java加密的，那Java加密的一个微博，然后我们在hids当中发现入侵成功的告警，然后在his的一个自动化，就是我们会设置hids自动化扫描，就每天凌晨或者是在业务低峰期时进行一个全局扫描，发现了上传的恶意微博渲，然后我们的话会利用hids就云进了一个安全文件查杀，一键隔离，或者是利用自动化隔离的功能去对我们可疑的一些恶意文件进行先隔离，然后再确认，然后再查杀的一个步骤，然后再反推送到我们的一个安全运营的SSOP流程，来达到我们一个完整的漏洞处置的一个过程。

嗯。然后我们的话就是说利用HHA进行机场梳理，在豌豆思维当中的话就是说我们。比较倾向于利用云镜来去做资产梳理，因为云镜的话，它会在默认会部署，在利用默那专业版的话，它默认部署在呃所有的云服务器当中，并且每天会自动随着开通新的服务器，呃会。

更新会植入这个的话，就是说我们对呃，我们在这个过程当中发现了一些比较多的三无的服务器，然后对这些三无的服务器，就是三无服务器是指什么呢？就是无人认领，第二个无人维护，第三个无人处理，我们叫三无服务器，然后我们对这些三无服务器进行了统一的安全资产面的收敛，然后也是一个比较大的一个实践。呃，然后我们利用的话，利用了云进的一个资产指纹监控，云进的资产指纹监控当中呢，会有一个jar包或者微博站点等等这些，然后我们会对接到我们的CDP的一个资产平台上面去，我们会做两个平台的实时对比。两个平台，就是说我们运维端和我们安全部门，运维部门和安全部门两个部门的一个资产的一个理和呃收理和一个。

整理的话，会处在一个实时对比的过程当中，安全部门可能会发现一些，呃，刚刚所说的商务服务器，然后我们会通知运营部门及时去及时的去处置它，去收敛这个安全风险面，是作为云进的一部分的一个很重要的工作，然后我们的话，在那个四二当中，就是刚刚我们。近期爆发的比较多漏洞吧，那个世界二的话，我这边就是看了，我我这边是找了一个网上图案，就是说一个log世界二的漏洞攻击利用方式，其实大家不用看那么复杂，就是说一个在接日志库当中，它去处理的一个，它没有去做过滤，但是我们豌豆思维的话，它的一个整体的一个基础架构的话，是使用Java boot的一个框架，它默认里面带了XZ2。漏洞，然后我们在做紧急处理修复的时候，我们会对我们刚刚就说了一个应用，我们会利用资产指纹监控进行架包的一个呃，快速发现可能存在漏洞的第三方组件，我们去对这些和存在漏洞的一个组件的一个IP，或者说CVN吧，去快速的去拉下来它所存在的微博站点和应用，我们对这些站点去进行统一修复。

我们对进行在程序修复之后，然后这是我们的一个处置过程，但是在呃一个系统命令当中呢，就是说我们利用云镜会进行一个什么操作，利用云镜的话，我们会对我们不管是运维部门的一个高危命令，或者说呃，我们呃测试部门的，或者说我们安全部门，或者说正在可能发生的部正在可能发生的一些互渗透的一个攻击流程的话，我们会对呃所有的一个高危命令进行一个拦截审计，例如说我们做了一个高危命令拦截基线，例如I-F啊，然后下啊等等啊这种一些高危的一些可能被利用。

呃，做后渗透的一些命令，我们做了一些统一的安全机线来进行管理，我们在这个过程当中的话，就是拦截了一些LOGO42，正在利用LOG42去进行命令执行的一些高危命令，然后主云镜的话，会帮助我们也会去自动化拦截这个命令，嗯，这个也是比较好的一点。然后这个的话就是我们豌豆思维在呃云环境，腾讯云环境下，对云境的一些安全应用实践的一些分享。哎，我讲完了。有点快是吧，我还没有反应过来呢，有点快是吧，因为我感觉咱们现在其实主要是讲了一个一个资产管理的这样的一个事情，包括资产管理和一个LOGO4Z2的一个应急处置吧，应该是这样说，因为我们在利用h hids的时候，我们很多企业并没有去很完善的有一些我们所谓的D过程中的sca，就我们的一个快速的一个反应过程的话，就是说我们先利用云镜的一个资产指纹监控的一个功能，去把我们可能存在的一个logo c2的一些漏洞的一些应用，或者微博站点或者程序去快速梳理。

梳理完之后，我们对这些可能存在漏洞的一些应用去进行一个快速修复和禁止它的一个在云防火墙，腾讯云防火墙当中禁止他出入，就是东西向流量，或者说禁止出网等等这样一些操作。然后我们会对用云镜发现并处置一些会议文件的话，就是说已经去处置的，已经成功利用的一些呃微博渲，就是说或者说以前并没有去就要过了TV引擎的一些微波券，或者说是对呃我们已经发现了，但是没有去及时处置的一些呃恶意文件去进行一个详细的分析，我们是主要是利用云镜去进行一些安全运营的实践分享，是这这样的一个过程。

好的，明白啊感嗯，非常感谢廖总，那么这也是非常实际的，这应用案例，不仅仅是我们刚像刚才谈技术谈什么呢？我们具体怎么用，你会发现啊，资产管理，呃，漏漏洞的发现检测，并且解决了这个响应储值的问题，嗯嗯，这这其实我们也知道，在这个运营里面，资产管理是第一步，因为你不知道你的保护对象在哪里，你谈什么保护，对说刚刚说的话，就是说在云环境下的一个主机安全运营实践的话，我们首先这样的话，是利用云进去做一个资产的安全风险面收敛，是的是的。

而且还能部分的代代替的一些SSC想做的事情是吧，因为我觉得软件成本分析我没上或者版本不对，这个时候本身哎，我们的主机也可以做这样的一个事情，对，所以说呃，云镜的一个功能，功能和一个细致划分的话，在用户来体验来说，在豌豆思维的用户体验来说还是比较满意的，然后第二个的话就是说云进在快速或者在我们的一些攻击事件就成功入侵以后，我们。对，有用户的一个实时告警，呃，我印象最深刻的就是就是说呃，云静在凌晨四点的时候还会给我发送告警信息，就是说我会去及时的处置他这个告警。然后去保护我们豌豆思维的一个应用程序的安全性。好的，廖总好，感谢廖总的分享，也感谢廖总的设身处地带来的这个实践的这个经验，好谢谢大家，诶好谢谢，嗯，那么接下来呢，我们邀请我们的第二位，呃，用户是小花科技的C罗丁华啊罗总有请。

可以听到我说话吗？可以听到，也可以看到啊。首先我很感很感谢有幸过来这个腾讯主机安全旗舰版。产品的发布会，然后呃，我我作为甲方主要是想在这次发布会上讲一下我们公司是怎么样使用那个腾讯主机安全产品。还有那个容器安全的产品。以及我们以我们一个甲方的视角，我们平时比较注重哪方面。

然后我讲的主题是0DAY跟day，漏洞防护与响响应实战。然后这这是我讲的那个目录。呃，我我先讲第一部分零带漏洞的防护挑战，现在我们面我们甲方主要是面临面临的什么的困难。然后首先是现在就是随着这个互联网应用的普及。然后互联网上的漏洞爆发的越来越多，而而而且黑客的攻击手段也越来越简单化。还还有他们的攻击数量也很多，我们就从这个2020年C统计的那个软硬件漏洞说起吧，2020年。

总计通用软硬件漏洞有差不多两万多个，这这些只是通用，通用的漏洞还还没有那些，呃，比较少的，其中高危漏洞是有六千六千九百。900个，然后中危漏洞是一万多个，我们可以从这个数据里面看得出，中高中高危漏洞是占比比较多的。基本上达到了85%以上，而且它较之前2019年的漏洞收入总数是增长了百分之。24、所以现在我们甲方面临的那些安全环境实际上很严峻。然然后再说一下，就是面临这样严严重的环境下，我们是我们甲方企业比较关注哪些，就是呃，一个是怎么样快速响应这些零贷跟贷的漏洞。

呃，我们都知道，就是说因为软件或者是系统都是由人编写出来的，就是说人人的操作或者错误是不可避免的，从那个。程序员写写的系统软件或者那个应用出来的时候，漏洞就存在了，然后我们甲甲方比较关注什么呢？就是怎么样快速响应这些0DAY或者one day的漏洞。在在在我看来啊，嗯，平均响应时间跟。平均检测时间。这个是检测一个企业对零代漏洞跟漏洞。的那个防护能力的一个重要指标，然后如如果一个漏洞爆发的比较爆发比较快，比如说。

呃，在凌晨爆发出来，如果我们没检测到，或者是响应的速度比较慢，比如说隔一天或者第二天你睡觉起来。的话，这已经很很晚了，因为呃，我们都知道，就是说黑客黑客黑客的攻击你，或者是恶意攻击者攻击你，扫描你的时候，他根本是不管白天黑夜的，而且我本身我作为一个甲方工作人员，而且我也是一个白帽子。呃，我们都知道，呃，一般黑客或者白帽子都喜欢在凌晨就是非非工作时间进行扫描的，所以在在凌晨的时候扫描的时候，我们没有检测或响应的时候，这对一个企业来说是。很大的风险。

然后我现在主要讲第二部分，就是我们怎么样利用腾讯的云上的那个产品进行漏洞响应的实践。呃，我们先说一下，就是2021年的时候，呃，爆发了一些。几个比较高位的漏洞吧。像这个远程代码执行漏洞，还有十月，十月份爆发了的远程命令执行漏洞，还12月份就是爆发了那个阿帕奇44G的远程代码执行漏洞。而且而这个。这个视觉漏洞的话，怎么说呢，它基本上是呃安全，安全人员跟运维人员，还有开发人员比较头痛的吧。

这个应用应用，而且使用量大。漏洞利用简单，在那天的时候，我记得当初是在晚上吧。晚上是在12号。12月9号晚上爆发的，然后我看到很多，因为我是一个白帽子，很多公司的应应急响应中心，有些是凌晨三四点还在发布那个停止接收这个漏洞的公告，但是我看到了很多公司，其实还有很多公司的应急响应中心其实是没有任何回复的，这是说明我们有一大部分的企业在这些高危漏洞爆发的时候，响应跟检测速度其实是比较慢的。因为对于一个。对于有目的的一个攻击黑客来说，你隔了一个晚上，他有可能他什么什么事情已经做完了。

然后呃，这这是当初我们呃爆发这个漏洞的截图，呃，我们那时候。呃，我们平，因为我平时作为一个白帽子，又作为一个甲方人员，我会关注很多那那个。公众号，或者是关注一些资讯，同时同时腾讯云的主机安全上也会有告警，当初这个漏洞爆发的时候，呃，腾讯云是很早的时候就出了告警，然后。就作为一般的甲方人员呢，嗯，如果没有腾讯云这种的话，肯定是收到这些资讯，肯定会排查自己的资产，然后进行扫描，但是如果我们使用了腾讯云主机的安全产品的话，我们可以直接用那个。主机安全产品的一键扫描就可以在几分五分钟之内就可以完完成全量资产的漏洞检测。同时，如如果。

大家怕这个会会有漏或少的的情况下，也可以通过主机安全上的那个资产可以分析出。那个你用了哪些版本的jar包？还有另一个就是。我呃，腾讯云安全。云容器安全，然后我我们我们在甲方的时候，以我们公司举例，我们公司大概有两万多个容器镜像，然后如果是自建产品的话，这会很耗时，而且而且对我们日常运营来说也很难维护，因为这个容器镜像迭代非常快，而且数量多，所以我我们在综合考虑了以后使用的腾讯云容器安全的这样一个产品，它同样也也跟那个主机安全产品一样。

我们可以选择所有的扫描镜像，然后授权进在五分钟之内进行扫描。然后。说之前几位腾讯的老师也介绍了那个。腾讯云主机的一些产品的功能，还有一些检测的技术细节，这里我我作为一个用户我就不不细说了，然后我再说一下我们平时如果面对一些零代跟代漏洞的话，我们应该怎么样去响应，然后大家可以多关注一下，比如说腾讯云的一些。公众号或者是其他安全产品的公众号，在响应的时候会然第一时间响应，在收到告警的时候，然后要核对自己的资产，比如说像腾讯云主机上，它的资产就很详细，可以看到开放了哪些端口，或者是开放了哪些服务这些。

然后我们这样的话做到对对对对。了解，然后对自己也也知道，这样我们才会比较好的检测跟响应，这样的话我们就不不怕，当这些在漏洞爆发时候，我们在一个晚上的时间就被攻破了，然后我的分享到这里，谢谢大家。好的，感谢罗总。那么呃，其实罗总讲的这个零的也好，温的也好，我们还有N的，还有一些常用的这些漏洞啊。我注意注意到您，您的PPT里面有一句话，就是从第一个应用程序，从第一个系统有这个的时候，漏洞就就存在了，所以漏洞是永远不可避免的，是吧？就就像我们现在新冠疫情的这种，我我讲究安全，要有个新的理念，什么理念叫做以毒共存？

我们不可避免的会被攻击，不可避免的会会中毒啊，你你说天花没有了，还有这个埃博拉，然后我们现在前一段的非典没有了，我们有这个新的这个新冠病毒。这个东西是不可避免的，我们做到的不是说把所有的漏洞消灭，把所有的病毒消灭，我们需要做到的就是在有毒这个不可避免的现实之下，我们怎么更好的去工作啊，所以呢，我们应该是主要是怎么样去发现，然后和解决它去响应，对，所以你强调这个MTTD啊，这个检测时间和响应时间是最重要的，不是要消灭漏洞，而是说有漏洞了，有攻击了，我们在这种情况下最快的把这个事情解决，让它不影响，就跟我现在疫情一样，我们现在也可以去去各个地方吃饭啊，去去交流，而而不是说完全的封城封住，什么都不管了。所以既然攻击不可避免，漏洞不可避免，那最重要的就是我们如何更快的去响应这样的事情，以减少我们的损失。

嗯，好的，然后呢，我们今天的所有的演讲环节就完了，接下来呢，我们还有两个流程，一个是抽奖，另外一个就是观众提了好多问题，待会我会把这个问题呃一逐逐步的去问嘉宾，那么首先呢，还是抽奖，我们要发这个五个京东卡和五个耳机的无线耳机。我念一下名单啊，大家请请请注意五张100元的京东卡。是五个人，岂无他人？小郭、立新、梦月天、陈琴，恭喜你们，然后还有五个索尼无机，是平乐。龙零落。

好，然后祝贺你们幸幸运的中了这个大奖，好，接下来呢，我们就把。这个每好多观众提的问题啊，不能每问题的每位提的问题那就太多了啊，我大概我这边收到了是五个比较集中的问题，我问一下，嗯，第一道问题呢，是。针对科恩实验室的任一林啊，任总他的这个问题的题目是自定义算法加密，怎么去自定义算法加密的怎么去分析啊，就是自定义算法加密的怎么去分析，这个引擎开源了没有？呃，好的，这个问题我来回答一下，呃就首先我认为这个自定义算法，这个自定义是怎么样去自定义的，我认为可以分为两种情况吧，第一种就是虽然呃，就是他说的这个自定义算法，有可能是一些呃实际上是现成的算法，但是我们重新去实现，就而不是采用一些第三方库，其实这种的话，只要他重新实现这个算号没有收入的话，那其实也是呃可以检出的，嗯，那如果说真的就是完完全全的从头到尾自己重新实现了一个啊这样一个密码学的运算算法的话呢，嗯。

这种情况呃在实际场景中肯定是占比比较少的，但是如果说我们发现这种情况的话，可以通过我们啊运营侧的一些工作，对孝现的这种算法，我们可以随时去提取它的特征函数，然后对它做一个入库啊，以增加对孝现这种加密算法的一个啊一个补充，呃那第二个问题就是我们这个引擎是否开源，目前是这样，呃，这个引擎的代码本身是没有开源的，但是我们也是之前是呃发布过两篇论文，然后这个模型的具体细节和原理呢？呃，这个论文中其实介绍的还是比较详细的，有感兴趣的同学呢，其实呃建议还是去。

可以参考一下我们。原本的这个论文去做一些。嗯，好的主持人。好的啊，嗯，谢谢任总，嗯，我也听明白了，首先这种自定义算法是肯定少的，嗯，然后呢，如果是有了新的，我们监测到了，我们赶紧去去做相应的工作，再把它加进来。啊好感感谢感谢任依林，第二个问题是问腾讯安全产品专家张英总的。它的问题是云上的什么场景可以可以用到啊，这个挺简单的，云上的什么场景可以用到，主机安全就问我们的应用场景。呃，其实现在咱们在公云上这个啊，满足客户的这个安全的场景，还是啊通用的，呃，那呃主要呃现在看起来主要有两点吧，一点呢是呃是风险驱动的场景，就是说呃，因为刚刚也讲到了，咱们主题安全实际上是在人类最后一道防线，对吧？那从这个角度来讲，我们首先是需要一个啊资产的清点啊，还有一些。

啊，漏洞的管理啊，机械的发现啊，这一类啊，可以提前去做一些事前的动作啊，那另外一个呢，就是呃，类似啊这种合规啊，满足等保合规，那这一类也是一个非常刚需的需啊诉求吧，那主机安全啊，技术安全，还有这个防病毒啊等等啊，实际上都会放到这个整保合规的这些场景里面去啊，还有一些就是啊，我们。未来会看到其实有很多多云的这种管理场景，包括呢，可能以呢专业的这一类的话啊，其实现在都是啊在呃用户来讲啊，非常常见的一些诉求，我们啊通过一个安全防护产品，可以满足他记在门上的资产，我们在门外的事上啊，这些场景，其实话我们取地安全都是可以覆盖的。我不知道，回答这个问题没有是一个决定。

好的好的，其实嗯，其实这样想就行，你只要有主机的地方就会用到主机安全嘛，是吧，这是首先这些环境，再一个我们从功能上来讲，你主机安全都有什么，什么加固了，呃呃，入侵检测啦，防病毒了，资产管理啦，什么还有合规极限呀，漏洞啊，日志啊，应用程序啊，白名单呀，完完整性检测，还有什么，哎，还有微尼罐这个这个CWPP，我们提的这些东西，其实都是主机安全包含的范围，它它挺挺广的，如果我们可以看那个CWPP那个框架，你会发现从底底层的这个物理一直到层的应用和数据层，其实都有它的相关关系。好嘞，呃，然后第三个问题是张还还是问你的张总，他问我们这个稳定性如何，主机安全的稳定性，以及是否支撑混合云架构。啊，那个混合云的架构呢，刚刚也讲了，实际上啊，我们已经支持了，就是在我们用相相当于我们在云上的这个统一的呃，管理控制台，那我们只是下层的这个呃，防护的这个能力啊，在云上面呢，这个呃本身呢，可以一键去开启这个agent，它本身是已经跟我们的云主机做了一个很完整的结合，那如果云外的话，实际上是通过我们的控制台上面可以针对你云外的资产。

啊，你可以下载相应的一些啊，它的呃适配的这个agent啊，可以进行一个本地安装，它就可以去啊引到我们这个公云的控制台，那就实现了这个平台性的管理，呃这个稳定性的话呢，呃我们其实也做了大量的优化工作啊，其实它现在主要有有几方面的一些呃维度，我们会一直去呃优化，例如他对呃这个系统的。一个内存啊，CPU占用率啊，这种我们都有实时的监控啊，能够保尽量啊，对用户的这个业务来讲，会有一个非常低的一个消耗跟呃，那个那个食盐这一类的，嗯。

啊，这个问题其实我们一直都会在优化，现在其实来讲啊，大部分的用户用我们这个主机安全啊，即使在很繁忙的这个主机上面呢，都看不到有一些影响的问题，所以我们觉得这块还是挺有信心，做的挺好的。嗯，好的，也就是说不管是从我们的占用资源的这种耗耗资源的上面，还是这是性能的，以及兼容性方面，我们现在主机安全这个产品应该是比较成熟的了。好，那第四个问题是问云顶的陶芬女士的。的问题是镜像扫描会做镜像大小的控制吗？然后他有好几个问题我一起回答了吧，好好，你有这个问题列表吗？你要有的话，呃，我能看到，对，好嘞好嘞，嗯，那个呃，首先第一个问题是那个镜像安全的扫描的那个镜像大小控制，这个是一定会有的，对，因为从单从技术实现上来讲，一定会有那个就是有一些边界条件的处理嘛，那么我们目前的话，对那个镜像的分层扫描，单个层最大支持是4G，但这个问题本质上我理解还是说我们现在这个生产环境的这个镜像啊越来越大，这个我们也在实际看到过，就包括虽然说平均的镜像大小大概是几百兆，但是我们在生产环境也看到过这种构建出来的几个G的这种镜像也都存在，我觉得这个还是需要去规范一下咱们的业务的这个镜像的构建过程的，尽量去这个控制这个镜像的大小。因为。

这个大的镜像其实某种程度也是对整个的一个资源的浪费，特别是还涉及到很多这种历史版本的这种僵尸镜像的管理，对然后第二个问题的话，就是TCSS现在支持容器和pod隔离吗？呃，目前的话我们的新版本会支持这个功能，新版本在不久之后会会发布，会把这个新的功能给给提供给客户去使用，对然后第三个问题的话，就是镜像的CI阻断是订阅多ER，呃，CI的话是这样子，就是我们现在每个公司的CI的平台，常见的像呃持续集成这块主要用的是，然后我们内部也有一些基于去做的一些自研的平台，我们现在是提供这种，呃，这种CI的插件，然后在镜像的构建的插件里面去集成的镜像扫描的能力，然后包括在这里会去做一些那个检测，还有包括去设立一些那个安全的一些那个基线的要求，对是这样子的，对，然后另外一个的话就是呃，CI。

这段是这样子啊。我理解是就是这个问题，对，如果是运行时的话，那种准入控制的话，会有Co，还有那个多客本身的一些，呃，原有的一些安全管控的机制，其实是也是可以实现这个能力的啊。好的好的，谢谢曹森啊，这个这些问题问的都很专业了，应该就是直接就干我们这件事的人去问的好，那第五个也就是我们今天的最后一个问题是问用户的豌豆思维廖总问您的就是。

你们是如何做告警集成管理的啊？我们做告警集成管理的话，我们的就豌豆思维，它的一个架构比较特殊，就例如我们腾讯云的核心业务，它的一个业务日志，就是说业务日志是打到阿里云的SLS日志服务的，所以我们做了一个统一监控的中台。我们做统一监控中台的话，但是安全的话是我们自己另外做的，就安全的话，我们会利用一个腾讯的云监控的一个安全能力。就是云监控可以把呃一些告警信息去推送到我们的一些微信上，然后和一些手机短信上，然后第二个的话就是说在云进的，当云进的安全产品当中，它会有对外提供的API，但这些API的话，呃，作为如果不是做一些安全开发类的工作的话，一般是很少有用户会注意到云镜，它其实是向用户开放的一些关于告警和推送的API，就用户可以利用这些API做一些统一的告警推送的功能。

我们是利用这个API的。去做统一告警推送。好的，是利用API来做这个统一告警，利用云进的API做统一告警推送OK接收也是是吧，推送接收都是是吧，呃推呃接收的话，接收的话，呃怎么说呢，接收告警信息的话呢，我们也是用的云监控的功能，但是云进的话，目前的话我们没有去做接收的功能，因为云进的话会根据他他接收是他自己本身在接收，然后云进的话，我们更多的是告警和一些安全风险推送，例如说成功攻击事件，或者是入侵事件，或者是恶意文件事件等等这些会。

通过API推送到我们的手机上，或者推送到我们的微信上。你其实你那你接收方式很多，那推送方就就是你这一个引镜对吧，所以啊对，所以说我们豌度的一个统一的话，呃，日记监控平台的话，我们会比较复杂一点，就说我们在做一个业务日志，或者说在做一些我们做，例如说我们做统一的S，或者上我们会采取统一的利用一些。就是把接口打通，然后利用协议来做分析。所做消费。好的好的，嗯嗯嗯，那我们今天的这个观众问题，也就问答环节就结束了，也也意味着我们今天的整个发布会就要结束了，我稍微的总结一下，嗯，我们今天谈的是云主机安全那。之前在会议开场我也说过了，我们的这个云主机市场的三大驱动力，那么具体还有一些市场方面调研数字我也说一下，大概我们现在的服务器保量国内大概是在2000万台左右，那么我们之前的主主机安全渗透率是只有10%，但是现在已经到了40%左右，我认为未来这个渗透率会到了90%，呃，还还要多这样的一个一个。

111个趋势，那么这样来看的，主机安全一定会会成为一个标配，是我们安全的一个基础设施的一个标配，之前其实大家都是只是做了边界，真的没有往端点上做，那么现在大家都开始重视这个这个主机了，呃，然后还担心自己的业务跑不起来，刚才一看有客有人就在问，就是是否你这个稳定性如何，他其实关心的是否影响我们的业务嘛，之前确确实实不会接受，但是这两年我们已经明确的感受到客户都是在在在装主机安全的产品了，好，那这个市场其实未来又是一个几十亿到到到百亿级的一个大的一个市场啊，这是作为一个市场调研机构我们的这个观察，好，那我们再次感谢现在屏幕面前的所有的观众，以及我们今天的这几位技术嘉宾，嗯，还有信通院的这这这个杜所，就我们真的是这一下午很辛苦，然后也始终在屏幕上盯着，不过我想这也是很好的学习机会，我最起码通过这个会，我又非常了解了腾讯的这个主权安权产品的一些细节。

啊，那这样的机会也是很好的，哎，感谢腾讯的安全给了这个平台，也感谢我们下午在休息日参加这个这次活动，以及听我们做技术分享和提问的观众们啊，祝你们在新的一年里2022年工作顺利啊，鹏程万里，谢谢大家，再见。嗯，好，谢谢大家。