用AI模拟黑客攻击，墨云获数千万元A轮融资

日前，安全公司“墨云科技”已完成数千万元A轮融资，投资方为蓝驰创投。此前，公司于2017年12月，获得联想之星、金色种子基金等投资的Pre-A轮融资，金额不便透露。

安全分为防御市场、攻击市场，攻击是指检测类、溯源类产品，发现被攻击并找到攻击源头，防御类产品则大多指传统的防火墙、杀毒软件等。根据Gartner的报告显示，安全市场已从防御型转为检测分析类，而墨云就算此赛道上的一员。

墨云的核心产品是一款名为“Vackbot”的“虚拟黑客机器人”。该机器人通过AI，将网络安全验证的方式，从当前以“人工为主”转变为以“机器人服务”为主。

互联网时代，黑客攻击的目的是获取有价值的信息资源。比如，靠正常推广获客成本较高，于是黑产开始去网站后端截获注册用户的数据，再贩卖获利。只要网页上有程序，黑客就能通过其漏洞一步一步延伸到后端。而此前要解决这类问题，都是根据安全人员的经验来检测。但安全事件较多，人才较少，往往供需不匹配，以及人员水平不一，能力不能提升为产品标准化复制。

既然墨云的思路是用机器替代人力，那么不妨看一下黑客的攻击逻辑。

如上图所示，企业往往有一台Admin Node的服务器，控制企业资源的所有权限，找到它就能获取一切数据。对黑客来说，最初接触到企业的是一堆IP地址，可能是电脑、手机、可能是交换机，他只能先入侵一个，通过这个再继续入侵。也有一些判断逻辑，当所有设备都在跟一个IP地址通信，那么该地址不是网关，就是Admin Node。在确定Admin Node之后，只要有端口，就能“不择手段”的破解。当然，网络攻击不会一簇而就，而是一个持续的过程，往往需要半年甚至更久。

同理，墨云的Vackbot“虚拟黑客机器人”就是在模拟黑客攻击的过程。

首先，墨云将攻击手段分类，比如有SQL注入、XSS攻击，等等。然后，在各种场景中攻击训练，让机器人不断学习其过程。服务企业时，在客户授权的情况下，Vackbot便能在真实环境中利用“黑客剧本”动态生成攻击路径链，主动、持续地进行模拟入侵，从而在真正黑客入侵之前发现漏洞及攻击手法。

在模拟攻击的过程中，墨云Vackbot会严格按照客户授权范围进行，同时支持攻击溯源，从而确保行为及数据的可控性。

不过，机器人只是“点到为止的找到问题”，至于“问题有多严重”、“怎样解决”就需要后续人工介入。

墨云创始人兼CEO刘兵强调：“Vackbot追求的并不是漏洞扫描工具所关注的发现漏洞的数量，而是找到那些会被攻击者利用，并借此进一步入侵的关键漏洞。实现的关键点在于Vackbot背后的安全大脑攻击知识图谱。”而未来，网络安全攻防局面一定会是AI vs. AI，墨云科技发展目标就是以AI模拟的“攻”促进AI真实的“防”。

据悉，墨云目前按照项目制进行，支持私有部署和共有云方式。已经在金融、运营商、互联网、制造业、区块链等行业落地。

团队现在有30多人，CEO刘兵拥有15年网络安全行业经验，曾担任神州数码安全事业部总经理、安全产品线总经理等职务，所负责业务年销售额在5亿元。CSO谢鑫曾为百度高级安全专家，擅长在智能渗透、黑产溯源攻击、打击黑产自动化挖洞等领域。CTO赵岱翀曾为百度云安全部门资深架构师，负责开发百度威胁感知平台、百度漏洞扫描平台、百度分布式扫描平台、智能渗透平台。

至于本次的投资逻辑，蓝驰创投管理合伙人陈维广表示：“随着更多的企业接入互联网、物联网、区块链和智能硬件，传统的防御性安全措施会面临极大的挑战和复杂性。企业需要主动的通过更智能有深度学习能力的方式去事前预判现有IT架构的安全风险，这也是我们投资墨云的主要原因。”