系统模拟

AlphaGo在代表最高水平的智力游戏围棋与人类顶尖选手对决，但凡虚心一点的科学家都明白，这不过是个100万美金的超值广告。

而从媒体到普通民众，都担心某一天AI具备自我意识后，在高速进化中全面超越人类。

这根本是孤陋寡闻的恐慌。

哲学上有一个悬而未决的问题，意识和智能产生自大脑，但是意识和智能能够理解大脑本身吗?

索罗斯在他著名的通俗著作《金融炼金术》开篇提到了一个问题，所有能被人类主观意识影响的东西，都不具备“客观性”(这句话请读三遍想三遍)，因为“反身性”原理，所有有人类参与和影响的活动，从金融投机所属的经济学到预测社会发展的历史和人文类科学，都不具备真正的规律。某种程度上它们本质上都是伪科学。

这句论断让笔者印象尤其深刻。从量子力学主宰的微观世界被验证了无数次的“不确定性原理”，到索罗斯的“反身性”原理，背后揭示了一个深刻的规则：人不能跳出“人的视角”去验证人。

“不畏浮云遮望眼，只缘身在此山中”

人工智能大家都在追风谈deeplearning，也就是程序员设计算法，训练计算机群从海量数据中习得 “特征”，也是这次AlphaGo不同以往围棋软件的地方，它能够与顶尖高手的大量切磋练习中“自动学习”提高技术。但是AlphaGo习得的那点“人工智能”与人类所真正代表的强人工智能相比，还有两个巨大的门槛。

第一个问题，归根结底，人是不是一部自动反应的机器?

《生活大爆炸》里有一个男主角叫SheldonCooper，他很萌，但却是对情境感知能力较差，并伴随着严重强迫症。

社交困难、沟通困难、固执或狭窄兴趣。类似SheldonCooper的人，在幼年时，会经常遇到这样的尴尬：

–孩子没有交作业，老师很生气，便讽刺地说道：

–老师：“狗把你的作业吃掉了吗?”

–孩子：“老师的狗会吃掉纸?”

孩童是因为不能理解老师的提问而保持沉默，并会认为老师有养狗、而且狗会吃纸。但老师想要表达的其实是“你忘记交作业了”，而孩童本身没有办法了解这类的隐喻。

世界上真实存在着这样一群人。现代精神病学指出，这是一种温和的自闭症叫阿斯伯格综合症(Aspergersyndrome)，不同于一般自闭症， Aspergersyndrome保有社交的意愿却缺乏相关的能力，他们看起来像“机器人”，但大多心智正常。

Aspergersyndrome 从某种程度上反映了人类心智并不神圣，是有迹可循的。而认知心理学的发展，却越来越向人们揭示一个可能的结论，无论是自闭症患者、阿斯伯格综合症患者、还是普通人，实际上都是基本自动的机器。

神经科学家安东尼奥·R。达马西奥所著述《SelfComestoMind》(自我在大脑当中是怎么生成的)中认为，通常人们混淆了 emotion(直觉情绪)和feeling(感受)。“我觉得怎么样，我觉得受委屈了，我觉得被尊重了”，这种“我的feeling”是杜撰的、虚假的。

一个比较典型的例子，这也是原来心理学经常引用的故事，在加拿大做的实验。在一个石桥上和一个铁桥上招募一帮人去谈恋爱，随机抽取一对一对去谈。石桥因为很坚固，有风也不会晃。铁桥是铁索桥，是吊桥，有风就会晃。因为一晃就会紧张，紧张恐惧是一个 emotion，恐惧来的时候又带来什么呢，内部是肾上腺素分泌;外部的表现，比如瞳孔放大，面部会发红，鼻孔会扩张，有各种各样的表现。

但是很有意思是，紧张的外在表现和爱情出现的外在表现是一致的。理论上讲，环境不应该对你是不是对对方有好感能够产生影响，不管你是在石桥上跟人谈恋爱，还是在晃动的铁桥跟人谈恋爱，理论上讲，你爱上对方的几率是差不多的。但一个很有意思的现象是，在晃动的铁桥上爱上对方的几率大大超过在一个稳定的石桥上，因为刚才讲的 feeling部分，就是这个自我部分，它不知道emotion 出了什么事儿，它只是去读取。它读取的数据是，原来所有的征兆，所有的征兆符合谈恋爱的特征，我就一定爱上对方了，我既然爱上对方了，我就一定要真的去爱她，因为如果我觉得我是，而又没有真的去爱的时候，又会出现另一个，叫做认知失调。这样的话，他就以为自己是这样的，就那样去做了。这是真实研究的成果。

之前人们认为emotion就是 feeling，达马西奥研究发现不是，emotion不能改变，见到什么样的情况你就会产生怎样的反应，是下意识的，是不能控制的。而feeling是“我” 在作怪，受这个所谓的“我”来控制的，它首先读取emotion的数据，经过处理之后告诉“我”，我感受到了什么。

“处理”的过程十分关键，它能否被模拟，与实现真正的人工智能息息相关，这是人工智能已有部分答案(比如deeplearning )的第一个重大问题。而所谓的“我”，自我意识甚至自由意志都是幻觉，是假的，不存在。我们实际上是个基本自动的机器，99.9% 自动处理的机器，只不过这个机器有一个特别特殊的软件，就监控这个机器本身的“我”。

身体是遍布传感器(耳鼻口舌目身体，听觉嗅觉味觉触觉视觉)的硬件，又运行着一个产生“自我”的软件，从某种程度上来说，我们确实只是机器人。

但“自我意识”是如何产生的，目前还没有彻底搞清楚，也是人工智能最重要的、且尚无头绪的问题。

第二个问题，100%的正确诞生不了真正的智能

所见与真实有很大的狭隘和偏差。

普通人的视力系统就是一种用于获取和分析可见光的信息接收系统，倘若缺少一类，或是性能不足，就会发生：盲人无法感知光线、色盲缺乏分辨色彩的能力、健全人的眼睛看不见紫外线、红外线，分辨不出偏振光……但真正的，健全人看待世界的方式其实与盲人摸象别无二致。

一个已知的事实是地球面向太阳的区域每平方厘米每秒会穿过大约650亿个来自太阳的中微子，然而由于缺乏感知能力，不仅人类自身无法察觉。比如我们所谓的 “错觉”，错觉是在已获取信息的基础上，进行额外加工所获得的认知，有一个非常著名的例子就是卡尼萨三角形错觉;错误则是计划之外发生的随机突变。一些特殊的神经性疾病将使得我们感知到与常人完全不同的世界，例如拥有断续影像视觉(Cinematographic vision，一种罕见的精神异常现象)体验的人，大概会认同芝诺关于飞矢不动的论断所言非虚。

我们所谓的存在皆由我们的观察而得，而我们的观察方式存在先天性的漏洞。但奇妙的是，从感知、观察、形成概念、到逻辑推理均存在缺陷的人类，实现了真正的智能。

图灵开创了现代意义上的计算机科学，几乎同时代，美妙而强大的人工智能其实早在50、60 年代就开始研究了，但一直没有大的进展。之前的研究重点是精确的数理统计与创新算法，直到人们把眼光从线性系统放到非线性系统，从逻辑编排到混沌系统，从机器到人。才取得了一些有限的进展。比如模仿大脑神经元多层链路循环递进处理信息的方式，诞生了时下火热的深度学习。

计算机的发展，核心是逻辑门的堆叠带来的超高效率和超高准确性。100% 正确却诞生不了智能。非线性系统、混沌理论指导下，即使目前流行的分布式计算、并行计算，还没有真正有 “容错”的能力。模拟错误的信息输入，输出错误的模型，能在下一次模型实践中发现模型本身的错误或局限，在没有程序员没有旁人主动干扰指出中习得 “错误”，并从中学习进化。这需要部分抛弃冰冷的逻辑和理性，一场真正的哲学革命。

生命体是各种不同细胞的堆叠，涌现了意识、智能、情感、道德、乃至今天人类的一切，以至于反作用于现实世界本身。计算机实现强人工智能的一天，必然也具备意识、情感、道德等表面上与 “智能”无关的东西，那时候恐怕就不是一种机器和工具，变成活生生的生命体，而我们成为了造物主，成为了上帝。

宇宙的图像和大脑神经元的图像何其相似，真正人工智能的问世，笔者深信，那就是另一种创世。

作者：青山

DDoS攻击素来以成本低廉（相比防御）、效果显著、影响深远为攻击者所青睐，经过长时间的发展，DDoS攻击方式有很多种，最基本的DoS攻击利用单个合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。DoS攻击通常采用一对一的方式，在目标系统带宽、内存、CPU等各项性能指标都不高时，具有明显的效果。随着网络技术的发展，计算机的处理能力迅速增长，内存大大增加，千兆级别的网络出现，目标系统的“消化能力”倍增，这时候，分布式的拒绝服务攻击手段——DDoS就出现了。

利用网络上已被攻陷的电脑作为“肉鸡”，通过一定方式组合形成数量庞大的“僵尸网络”，采用一对多的方式进行控制，向目标系统同时提出服务请求，杀伤力大幅度增加。DDoS攻、防对抗多年，从DoS到DDoS，从以流量取胜到以技巧取胜，从单一攻击到混合攻击，攻击手段正不断进化，本文将一一介绍最常见、最具代表性的攻击方式，企业运营者做到知己知彼，才能有备无患。

一、攻击带宽：以力取胜

如同城市堵车一样，当数据包超过带宽上限，就会出现网络拥堵、响应缓慢的情况。流量型DDoS攻击就是如此，发送海量数据包，顷刻占满目标系统的全部带宽，正常请求被堵在门外，拒绝服务的目的达成。

ICMPFlood

ICMP（Internet控制报文协议）用于在IP主机、路由器之间传递控制消息，控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息，虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。通过对目标系统发送海量数据包，就可以令目标主机瘫痪，如果大量发送就成了洪水攻击。

UDPFlood

UDP协议是一种无连接的服务，在UDPFlood中，攻击者通常发送大量伪造源IP地址的小UDP包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100kbps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。

上述传统的流量型攻击方式技术含量较低，伤人一千自损八百，攻击效果通常依赖受控主机本身的网络性能，而且容易被查到攻击源头，单独使用的情况已不常见。于是，具有四两拔千斤效果的反射型放大攻击就出现了。

NTPFlood

NTP是标准的基于UDP协议传输的网络时间同步协议，由于UDP协议的无连接性，方便伪造源地址。攻击者使用特殊的数据包，也就是IP地址指向作为反射器的服务器，源IP地址被伪造成攻击目标的IP，反射器接收到数据包时就被骗了，会将响应数据发送给被攻击目标，耗尽目标网络的带宽资源。一般的NTP服务器都有很大的带宽，攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器，就可给目标服务器带来几百上千Mbps的攻击流量。

因此，“问-答”方式的协议都可以被反射型攻击利用，将质询数据包的地址伪造为攻击目标地址，应答的数据包就会都被发送至目标，一旦协议具有递归效果，流量就被显著放大了，堪称一种“借刀杀人”的流量型攻击。

面对洪水般的流量，花高价进行抗D带宽扩容和多运营商链路冗余，虽一定程度可提升抗D能力，但面对大量攻击仍旧于事无补，而且浪费资源。知道创宇旗下抗DDoS云防御平台——抗D保，横跨全国的分布式数据中心，600G以上带宽抗DDoS，并可随时应急调用腾讯自有带宽1.5Tb，这使得抗D保拥有超过2个Tb的防御能力。 

二、攻击系统/应用：以巧取胜

这类型的DDoS攻击走的是巧劲，利用各种协议的行为特性、系统的缺陷、服务的脆弱性、软件的漏洞等等发起攻击，不断占用目标系统的资源以阻止它们处理正常事务和请求。

SYNFlood

这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。建立TCP连接，需要三次握手——客户端发送SYN报文，服务端收到请求并返回报文表示接受，客户端也返回确认，完成连接。

SYNFlood就是用户向服务器发送报文后突然死机或掉线，那么服务器在发出应答报文后就无法收到客户端的确认报文（第三次握手无法完成），这时服务器端一般会重试并等待一段时间后再丢弃这个未完成的连接。一个用户出现异常导致服务器的一个线程等待一会儿并不是大问题，但恶意攻击者大量模拟这种情况，服务器端为了维护数以万计的半连接而消耗非常多的资源，结果往往是无暇理睬客户的正常请求，甚至崩溃。从正常客户的角度看来，网站失去了响应，无法访问。

CC 攻击

CC攻击是目前应用层攻击的主要手段之一，借助代理服务器生成指向目标系统的合法请求，实现伪装和DDoS。我们都有这样的体验，访问一个静态页面，即使人多也不需要太长时间，但如果在高峰期访问论坛、贴吧等，那就很慢了，因为服务器系统需要到数据库中判断访问者否有读帖、发言等权限。访问的人越多，论坛的页面越多，数据库压力就越大，被访问的频率也越高，占用的系统资源也就相当可观。

CC攻击就充分利用了这个特点，模拟多个正常用户不停地访问如论坛这些需要大量数据操作的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的请求，网络拥塞，正常访问被中止。这种攻击技术性含量高，见不到真实源IP，见不到特别大的异常流量，但服务器就是无法进行正常连接。

之所以选择代理服务器是因为代理可以有效地隐藏自己的身份，也可以绕开防火墙，因为基本上所有的防火墙都会检测并发的TCP/IP连接数目，超过一定数目一定频率就会被认为是Connection-Flood。当然也可以使用肉鸡来发动CC攻击，攻击者使用CC攻击软件控制大量肉鸡发动攻击，肉鸡可以模拟正常用户访问网站的请求伪造成合法数据包，相比前者来说更难防御。

CC攻击是针对Web服务在第七层协议发起的攻击，在越上层协议上发动DDoS攻击越难以防御，上层协议与业务关联愈加紧密，防御系统面临的情况也会更复杂。比如CC攻击中最重要的方式之一HTTPFlood，不仅会直接导致被攻击的Web前端响应缓慢，对承载的业务造成致命的影响，还可能会引起连锁反应，间接攻击到后端的Java等业务层逻辑以及更后端的数据库服务。

由于CC攻击成本低、威力大，知道创宇安全专家组发现80%的DDoS攻击都是CC攻击。带宽资源严重被消耗，网站瘫痪；CPU、内存利用率飙升，主机瘫痪；瞬间快速打击，无法快速响应。知道创宇顶级安全研究团队为抗D保自主研发的Anti-CC防护引擎可以根据访问者的URL、频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。

抗D保-抗CC攻击数据（监控）

DNSQueryFlood

DNS作为互联网的核心服务之一，自然也是DDoS攻击的一大主要目标。DNSQueryFlood采用的方法是操纵大量傀儡机器，向目标服务器发送大量的域名解析请求。服务器在接收到域名解析请求时，首先会在服务器上查找是否有对应的缓存，若查找不到且该域名无法直接解析时，便向其上层DNS服务器递归查询域名信息。

通常，攻击者请求解析的域名是随机生成或者是网络上根本不存在的域名，由于在本地无法查到对应的结果，服务器必须使用递归查询向上层域名服务器提交解析请求，引起连锁反应。解析过程给服务器带来很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。

根据微软的统计数据，一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而一台P3的PC机上可以轻易地构造出每秒钟几万个域名解析请求，足以使一台硬件配置极高的DNS服务器瘫痪，由此可见DNS服务器的脆弱性。

抗D保在全国多个城市采用分布式集群方式部署了上千台高效DNS服务器，从而保证各个地区的查询响应速度。抗D保的高防DNS服务，可有效解决突发的上亿级别的随机HOSTA记录查询攻击、递归DNS穿透攻击、DNS流量攻击等多种针对域名解析的攻击请求。

抗D保防御DNS攻击效果示意

三、混合攻击：流量与技巧并用

在实际情况中，攻击者只求达到打垮对方的目的，发展到现在，高级攻击者已经不倾向使用单一的攻击手段作战了，而是根据目标系统的具体环境灵动组合，发动多种攻击手段，既具备了海量的流量，又利用了协议、系统的缺陷，尽其所能地展开攻势。

对于被攻击目标来说，需要面对不同协议、不同资源的分布式的攻击，分析、响应和处理的成本就会大大增加。

抗D保拥有国内最大的抗D集群，使用腾讯宙斯盾流量清洗设备并结合由知道创宇研发的Anti-DDoS引擎，5秒发现恶意攻击，10秒快速阻断，2T带宽储备，通过多种防御手段，防御各种类型、形态的DDoS攻击，包括基于网络层的攻击，如TCPFlood、UDPFlood、ICMPFlood，以及应用层攻击，类似HTTPFlood这种试图耗尽服务器资源的攻击，同时可以有效防御各种反射攻击和僵尸网络攻击。

面对一次次攻击，即使是去年10月让美国半个互联网瘫痪的DDoS攻击事件，也只是让很多人小心脏稍微颤抖了几下，在大家的印象中，DDoS只是一阵海啸，很快就能恢复了往日的平静。但是，DDoS在互联网发展进程中已经留下了太多不可磨灭的破坏，许多企业就此一蹶不振。而且随着互联网+的不断推进，商业竞争的愈演愈烈，它的危害越来越大，任何企业组织都应该考虑自己的DDoS防护方案，而不是成为攻击的炮灰，也尽量避免遭受攻击后再亡羊补牢。

相关新闻

2016-12-20

2017-03-06

2017-07-28

2017-08-17

2017-09-04