状态:审核中。
路容关掉页面。
没有解密密钥,她无法查看数据内容。但文档里描述了数据结构,她可以基于这些描述,先设计过滤规则的框架。
她打开代码编辑器。
手指放在键盘上,停顿。
然后开始敲击。
代码一行行出现在屏幕上。她写得很慢,每一个函数都仔细推敲,每一个判断条件都反复斟酌。过滤规则的核心逻辑是:识别重复数据包,但不过度过滤;检测格式异常,但不误伤正常数据。
这需要平衡。
太保守,达不到提升可用率的目标。
太激进,可能误过滤重要数据。
路容写着写着,停了下来。
她盯着屏幕上的代码,脑海里浮现出另一个场景。
三年前,天启科技“灯塔”项目。她也负责设计数据清洗流程。当时的项目负责人——一个四十多岁、总爱穿格子衬衫的技术总监——在评审会上说:“过滤规则要大胆一点,宁可错杀,不可放过。用户行为数据,干净比完整更重要。”
她当时反驳:“错杀会丢失真实用户行为模式,影响模型训练。”
“那是算法团队该操心的事。”总监说,“我们的职责是提供干净的数据。”
后来,“灯塔”项目上线三个月后,因为数据过滤过度,导致用户画像模型出现严重偏差。产品团队投诉,算法团队甩锅,最后责任落到了数据清洗流程设计上。
而那个说“宁可错杀”的总监,早已调离项目组。
路容深吸一口气。
继续写代码。
但这一次,她的思路变了。
她开始设计一个“激进”的规则——表面上是为了最大化过滤重复和异常数据,实际上,她在规则里埋下了一个微妙的漏洞。
漏洞的核心,在于对加密负载格式的判定。
现有文档描述,payload字段解密后应该是标准json格式,包含固定的几个嵌套字段。但路容知道,在实际传输过程中,可能因为加密算法、网络编码、第三方接口等各种原因,产生一些非标准但依然可解析的变体。
比如,json字符串的开头或结尾多了一个空格。
比如,某个字段的值是空数组[],但被编码成了空字符串““。
比如,时间戳字段的值是整数,但被错误地传成了字符串。
这些变体,在严格的json解析器里会报错,但在一些宽松的解析器里可以正常处理。
路容设计的规则是:只要payload解密后不能通过严格json解析验证,就标记为“格式异常”,暂时搁置,触发人工审核。
这听起来很合理。
但她在规则里加了一个细节:对于aes-256-gcm加密的数据包,解密过程会生成一个“认证标签”,用于验证数据完整性。如果认证标签验证失败,解密工具会直接报错,不会输出任何内容。
而她的规则,在处理“认证标签验证失败”的情况时,设计了一个特殊的逻辑分支。
这个分支会检查数据包的元数据——device_id、timestamp、来源ip——然后与最近一小时内的其他数据包进行模糊匹配。如果找到相似的数据包,就假设这个解密失败的数据包是重复发送的版本,直接丢弃,不触发告警。
但如果找不到相似数据包呢?
规则会将其标记为“加密负载格式错误”,进入异常队列。
然后——关键在这里——路容在代码里设置了一个阈值:同一来源ip在五分钟内,如果出现超过三个“加密负载格式错误”的数据包,就触发系统级告警。
为什么?
因为正常的数据传输,不会在短时间内产生大量解密失败的数据包。如果出现,要么是源头数据有问题,要么是加密密钥错误,要么是——有人故意发送了无法解密的测试数据。
而“深蓝计划”的数据来源,周哲说涉密。
路容不知道具体是什么来源。
但她知道,李剑三年前构陷她时,用的就是伪造的数据包,伪装成她从公司服务器泄露出去的加密文件。那些文件,表面上是aes加密,实际上内部结构被篡改过,解密后会得到错误的内容。
当时的加密方式,也是aes-256。
当时的错误模式,也是认证标签验证失败。
当时的处理逻辑——天启科技的安全团队写的——也是将这类数据包标记为异常,触发告警。
然后告警记录,成了“证据”的一部分。
路容的手指停在键盘上。
屏幕上的代码已经写了三百多行。她从头到尾检查一遍,确认逻辑正确,确