代码，变形！网络安全初创企业Shape以其人之道对付网站攻击

一直以来，安全界都在玩一场猫捉老鼠的游戏，因为恶意软件往往会试图通过不断变形来逃避安全监测。现在，一家网络安全初创企业决定以其人之道还治其人之身。用攻击者的关键战略之一来保护自己，对付网站攻击。其方法是通过对网站的可见代码不断变形让攻击者找不着北，从而构筑起一道“僵尸墙（botwall）”。

Shape Security是一家由前Google员工参与创办的网络安全初创企业，成立于2010年，总部亦位于山景城，现有员工58人。该公司推出的ShapeShifter利用了多态性，实时动态地对网站中的用户界面代码进行变形，变形后的代码会变成一些随机的字符串（参见下图），但是仍能正常执行HTML、CSS及Javascript等功能。对于实施自动攻击的恶意行为来说，变形后的网站代码无异于变成一个活动目标，从而攻击者丧失了与web应用的交互能力。这种办法可以阻止若干类型的攻击行为，包括账号接管、应用DDoS（分布式拒绝服务）攻击以及浏览器中间者攻击等。

目前ShapeShifter是以硬件设备的形式提供，是一个1U高的设备，带4个GE口。不过云端版服务也正在开发当中。

Shape Security 负责策略的副总裁，曾在google对付点击欺诈的Shuman Ghosemajumder称，ShapeSifter的多态性在基础理念上跟恶意软件攻击的多态性一致，差别出在实现上。ShapeSifter的变形是实时进行的，而恶意软件则是在安装时为了更改签名而改变代码。

那么这种实时变形的行为会不会影响网站性能呢？Ghosemajumder称对网站的时延影响很小，并强调说该过程对于网站管理是透明的，而最终用户看到的还是原来的用户界面。

ShapeSifter的目标用户是金融服务、医疗保健、重要的电子商务网站等，目前已有20多个客户在测试该产品。预计2014年预订收入在千万美元左右。不过该公司计划正式推出产品后将服务定价为每客户每年100万美元以上。

目前Shape的总融资额为2600万美元，投资者包括KPCB、Venrock及Google Ventures。