雷鋒網(wǎng)按：本文由雷鋒網(wǎng)獨(dú)家采訪整理而成，未經(jīng)許可嚴(yán)禁轉(zhuǎn)載！全文分為上下兩篇，上篇《360 首席隱私官談大數(shù)據(jù)與個(gè)人隱私的博弈》，下篇《人工智能時(shí)代的網(wǎng)絡(luò)安全新發(fā)展》

現(xiàn)任奇虎 360 科技有限公司首席隱私官，2013 中國(guó)互聯(lián)網(wǎng)安全大會(huì)主席。 2009 年 7 月加盟北京奇虎科技有限公司擔(dān)任副總裁，負(fù)責(zé)公司網(wǎng)站技術(shù)、技術(shù)運(yùn)維、數(shù)據(jù)分析與挖掘、云查殺、云存儲(chǔ)等業(yè)務(wù)的技術(shù)團(tuán)隊(duì)管理。

1992 年畢業(yè)于西安交通大學(xué)計(jì)算機(jī)科學(xué)與工程系計(jì)算機(jī)應(yīng)用專業(yè)。2003 年 1 月至今先后任 3721 技術(shù)開發(fā)總監(jiān)、雅虎中國(guó)技術(shù)開發(fā)總監(jiān)、雅虎中國(guó) CTO、阿里巴巴-雅虎中國(guó)技術(shù)研發(fā)部總監(jiān)。還曾任 MySpace CTO 兼任 COO。

目前還擔(dān)任 CCF 副秘書長(zhǎng)，YOCSEF 主席，及今年 CNCC 前奏 Tech Frontier & Rockstar 的主席。

以下為編輯整理后的采訪實(shí)錄：

1、人工智能被認(rèn)為是下一個(gè)科技浪潮，這次的 CNCC 大會(huì)也有很多相關(guān)議題。想請(qǐng)問(wèn) 360 在人工智能和網(wǎng)絡(luò)安全的結(jié)合上，有哪些可以和大家分享的呢？

好的，360 其實(shí)很早就有這方面的探索，比如 2009 年年底的時(shí)候我們就做了一個(gè)引擎，叫 QVM ，就是用機(jī)器學(xué)習(xí)的方法來(lái)判定文件或可執(zhí)行程序是不是包含木馬病毒。

因?yàn)楫?dāng)時(shí)每天都能收到成百上千萬(wàn)的木馬樣本，我們通過(guò)機(jī)器學(xué)習(xí)的方法開發(fā)了這個(gè)技術(shù)，在 2009 年年底研發(fā)成功后，在 2010 年年底就取得了非常好使用反饋。那么這些年呢，我們也在繼續(xù)地利用人工智能技術(shù)，比如協(xié)議識(shí)別、網(wǎng)絡(luò)攻擊判定等等特定的方面，都有很好的應(yīng)用出現(xiàn)。

但必須要說(shuō)，在整個(gè)網(wǎng)絡(luò)安全的領(lǐng)域來(lái)說(shuō)，人工智能相關(guān)技術(shù)的應(yīng)用還是處于比較初級(jí)的階段。就大范圍的應(yīng)用來(lái)說(shuō)，機(jī)器學(xué)習(xí)已經(jīng)是很多領(lǐng)域常用的方法，但它在網(wǎng)絡(luò)安全這塊，比如判定網(wǎng)絡(luò)攻擊的種類時(shí)，準(zhǔn)確率還可以進(jìn)一步提升。

2、傳統(tǒng)網(wǎng)絡(luò)安全方法的核心是對(duì)網(wǎng)絡(luò)劃分邊界，但現(xiàn)在往往是通過(guò)內(nèi)網(wǎng)大數(shù)據(jù)系統(tǒng)直接遙控終端，如何應(yīng)對(duì)網(wǎng)絡(luò)泛化的問(wèn)題呢？

網(wǎng)絡(luò)泛化的確是個(gè)趨勢(shì)，以往內(nèi)網(wǎng)外網(wǎng)等等都有個(gè)邊界?，F(xiàn)在呢，舉個(gè)例子來(lái)說(shuō)，汽車可能在各種場(chǎng)合接入各種 wifi。比如說(shuō)特斯拉，它除了接入 wifi，在國(guó)內(nèi)還能接入聯(lián)通的 3G / 4G 網(wǎng)絡(luò)。那么這本身可能就有多個(gè)網(wǎng)絡(luò)的接口，那么泛化的確是目前網(wǎng)絡(luò)安全要面對(duì)的一個(gè)新的挑戰(zhàn)，尤其是在萬(wàn)物互聯(lián)的大背景下。

3、您剛剛提到了萬(wàn)物互聯(lián)，我們都知道 IoT 是個(gè)機(jī)遇，越來(lái)越多的智能設(shè)備連接入網(wǎng)，但這客觀上也意味著擴(kuò)大了潛在的攻擊點(diǎn)，這個(gè)矛盾怎么解決？

這個(gè)矛盾可以說(shuō)是現(xiàn)在這個(gè)時(shí)代，網(wǎng)絡(luò)安全領(lǐng)域的最大的問(wèn)題之一，因?yàn)檫@意味著現(xiàn)在的網(wǎng)絡(luò)安全防線變得越來(lái)越長(zhǎng)。既然如此，其實(shí)也沒有一個(gè)簡(jiǎn)單解。那么大數(shù)據(jù)、人工智能相關(guān)的技術(shù)的運(yùn)用可能會(huì)成為被攻擊的點(diǎn)，或者攻擊手段。但是反過(guò)來(lái)說(shuō)，這些新技術(shù)也能作為新的防御手段。

在防御思想里，過(guò)去一般是基于邊界、基于終端做防御?，F(xiàn)在呢，我們的防御機(jī)制已經(jīng)演變成一個(gè)“云-管-端”的體系。云，就是大數(shù)據(jù)，可以認(rèn)為是這個(gè)防御體系的大腦；管，就是管道，也就是過(guò)去我們說(shuō)的網(wǎng)絡(luò)邊界；端，就是端點(diǎn)。所以今天的防御思想就是“云-管-端”三者結(jié)合，首先是邊界、端點(diǎn)上收集的信息可以在邊界、端點(diǎn)上先進(jìn)行簡(jiǎn)單的本地處理和分析，然后更復(fù)雜的處理在云端進(jìn)行。這種復(fù)雜的處理，舉個(gè)例子來(lái)說(shuō)，基于行為的分析，流量數(shù)據(jù)中是否有特定的字符串之類的信息，那么我們根據(jù)歷史上的行為記錄，可以來(lái)進(jìn)行分析判斷這次的操作是不是合理的。因?yàn)樵朴懈鼜?qiáng)的計(jì)算能力和存儲(chǔ)能力，所以可以進(jìn)行相關(guān)的演算，之后可以把結(jié)果告訴邊界和端點(diǎn)該不該處理、怎么執(zhí)行具體操作等等。

4、那么在人工智能的時(shí)代，我們可以怎么做呢？

人工智能時(shí)代呢，我們主要是用相關(guān)的技術(shù)來(lái)集中處理數(shù)據(jù)，讓我們的各個(gè)終端以更加智能的方式來(lái)工作。

實(shí)際上，這個(gè)“云-管-端”的模式，就是利用了云的存儲(chǔ)計(jì)算能力，再應(yīng)用一些人工智能的算法來(lái)處理。最近很熱的一個(gè)信息安全技術(shù)叫做 UEBA，就是用戶與實(shí)體的行為分析（ User and Entity Behavior Analytics ）。這其中涉及到用戶行為數(shù)據(jù)的收集、存儲(chǔ)和分析，這里就會(huì)用到人工智能的相關(guān)技術(shù)。

另一個(gè)新的防御思想叫做 EDR（ End-point Detection Response）和 NDR（Network Detection Response）。

過(guò)去呢，我們一般就在網(wǎng)絡(luò)邊界上放個(gè)防火墻，希望把攻擊攔在防火墻外面。現(xiàn)在呢，網(wǎng)絡(luò)的防線越來(lái)越長(zhǎng)，漏洞越來(lái)越多，要想繼續(xù)把攻擊阻擋在防火墻之外幾乎是不可能的。那怎么辦呢？我們現(xiàn)在的思路是，在攻擊發(fā)生時(shí)能不能及早地發(fā)現(xiàn)、檢測(cè)以及進(jìn)行對(duì)應(yīng)處理，因?yàn)樵诠舭l(fā)生的一開始，并不一定會(huì)造成非常嚴(yán)重的破壞，如果我們可以及時(shí)地阻斷攻擊，我們也能進(jìn)行有效的管控。

所以 DR（ Detection Response ）的思想從去年到今年有開始流行起來(lái)的，主要分為 EDR 和 NDR。EDR 是在終端進(jìn)行檢測(cè)與響應(yīng)，比如像殺毒軟件，過(guò)去只是簡(jiǎn)單地殺病毒，現(xiàn)在實(shí)際上把功能擴(kuò)大了，他能收集應(yīng)用程序在用戶電腦中運(yùn)行時(shí)的一些行為，在響應(yīng)的過(guò)程中能對(duì)不合理的行為進(jìn)行阻斷。NDR 是在網(wǎng)絡(luò)邊界上進(jìn)行檢測(cè)與響應(yīng)，比如現(xiàn)在常說(shuō)的下一代防火墻在功能上已經(jīng)不僅僅是包過(guò)濾，還要求可以檢測(cè)用戶通過(guò)網(wǎng)絡(luò)訪問(wèn)到底干了什么，在網(wǎng)絡(luò)上進(jìn)行檢測(cè)和響應(yīng)。

那么 EDR 和 NDR 也是結(jié)合云的一種防御機(jī)制，用來(lái)應(yīng)對(duì)目前防御戰(zhàn)線越來(lái)越長(zhǎng)的現(xiàn)狀，由此可見，人們的防御思想也在不斷革新。

包括可信計(jì)算現(xiàn)在也開始大量地應(yīng)用，主要是目前的應(yīng)用成本降下來(lái)了，我看到已經(jīng)有把可信計(jì)算做到芯片里的產(chǎn)品。原來(lái)沒有普遍使用的原因主要是成本太高，現(xiàn)在這個(gè)問(wèn)題已經(jīng)解決了，相信相關(guān)的問(wèn)題也會(huì)逐步得到解決。

拓展知識(shí)（資料搜集自網(wǎng)絡(luò)）：

1、QVM 人工智能引擎

這是 Qihoo Support Vector Machine（奇虎支持向量機(jī)）的縮寫。是 360 完全自主研發(fā)的第三代引擎（具有中國(guó)的自主知識(shí)產(chǎn)權(quán)的引擎）。它采用人工智能算法——支持向量機(jī)，具備“自學(xué)習(xí)、自進(jìn)化”能力，無(wú)需頻繁升級(jí)特征庫(kù)，就能免疫 90% 以上的加殼和變種病毒，不但查殺能力遙遙領(lǐng)先，而且從根本上攻克了前兩代殺毒引擎“不升級(jí)病毒庫(kù)就殺不了新病毒”的技術(shù)難題，在全球范圍內(nèi)屬于首創(chuàng)。

簡(jiǎn)單的說(shuō) 360 的人工智能引擎就是在海量病毒樣本數(shù)據(jù)中歸納出一套智能算法，自己來(lái)發(fā)現(xiàn)和學(xué)習(xí)病毒變化規(guī)律。它無(wú)需頻繁更新特征庫(kù)、無(wú)需分析病毒靜態(tài)特征、無(wú)需分析病毒行為，但是病毒檢出率卻遠(yuǎn)遠(yuǎn)超過(guò)了第一、二代引擎的總和，而且查殺速度比傳統(tǒng)引擎至少快一倍。

“四核”360 殺毒的優(yōu)勢(shì)在于組合了多種安全技術(shù)，包括客戶端和云安全的結(jié)合、自主創(chuàng)新和國(guó)外殺毒技術(shù)的‘中西醫(yī)’結(jié)合、特征碼識(shí)別和人工智能算法的結(jié)合、hips（主動(dòng)防御技術(shù)）和四引擎查殺的防殺結(jié)合，等等。

2、“云-管-端”

云，指業(yè)務(wù)的IT化，造成的主要矛盾是海量信息的處理問(wèn)題。由此，新一代數(shù)據(jù)中心和新一代業(yè)務(wù)平臺(tái)成為關(guān)鍵。管，指網(wǎng)絡(luò) IP 化，造成的主要矛盾是海量信息的傳送問(wèn)題，需要運(yùn)營(yíng)商以 ALLIP 技術(shù)為基礎(chǔ)，以 HSPA/LTE、FTTx、IP + 光、NG-CDN 構(gòu)建新一代的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。端，指終端的智能化，關(guān)鍵是信息的多媒體呈現(xiàn)。只有多樣化的終端才能支撐海量的多媒體應(yīng)用和行業(yè)應(yīng)用。而只有實(shí)現(xiàn)“云-管-端”的信息服務(wù)的新架構(gòu)，才能實(shí)現(xiàn)運(yùn)營(yíng)轉(zhuǎn)型。

簡(jiǎn)單的說(shuō)，云是云服務(wù)，端是智能終端，而管則是鏈接“云”和“端”之間的各種設(shè)備，“云-管-端”就是確定新一代業(yè)務(wù)平臺(tái)和應(yīng)用、大容量智能化的信息管道和豐富多彩的智能終端齊頭并進(jìn)的發(fā)展方針。

3、用戶與實(shí)體的行為分析（ User and Entity Behavior Analytics ，UEBA）

用戶和實(shí)體行為分析（UEBA）能夠?qū)崿F(xiàn)廣泛的安全分析，就像是安全信息和事件管理（SIEM）能夠?qū)崿F(xiàn)廣泛的安全監(jiān)控一樣。UEBA 提供了圍繞用戶行為的、以用戶為中心的分析，但是也圍繞其他例如端點(diǎn)、網(wǎng)絡(luò)和應(yīng)用?？绮煌瑢?shí)體分析的相關(guān)性似的分析結(jié)果更加準(zhǔn)確，讓威脅檢測(cè)更加有效。

一旦攻擊者在企業(yè)系統(tǒng)中有了立足之地，他們通常會(huì)橫向（“東/西”）暢通無(wú)阻地移動(dòng)到其他系統(tǒng)。為了解決這個(gè)問(wèn)題，有一種新的需求，對(duì)企業(yè)網(wǎng)絡(luò)傳中東/西傳輸?shù)摹拔⒓?xì)分”（更高顆粒度的細(xì)分）。此外，有很多解決方案提供了對(duì)通信流量的可見性和監(jiān)控?？梢暬ぞ呖梢宰尣僮骱桶踩芾韱T了解流量模式，設(shè)置細(xì)分策略，監(jiān)控偏差。最后，有很多廠商提供了工作負(fù)載之間網(wǎng)絡(luò)傳輸（通常是端到端的 IPsec 通道）的可選加密，用于保護(hù)動(dòng)態(tài)數(shù)據(jù)，提供工作負(fù)載之間的加密隔離。

4、EDR（ End-point Detection Response）

端點(diǎn)檢測(cè)和響應(yīng)（EDR）解決方案的市場(chǎng)正在快速擴(kuò)張，以滿足市場(chǎng)對(duì)更高效的端點(diǎn)保護(hù)的需求，和檢測(cè)潛在漏洞的迫切需要，并做出更快速的反應(yīng)。EDR 工具通常會(huì)記錄大量端點(diǎn)和網(wǎng)絡(luò)事件，把這些信息保存在端點(diǎn)本地，或者保存在中央數(shù)據(jù)庫(kù)中。然后使用已知的攻擊指示器（IOC）、行為分析和機(jī)器學(xué)習(xí)技術(shù)的數(shù)據(jù)庫(kù)，來(lái)持續(xù)搜索數(shù)據(jù)，在早期檢測(cè)出漏洞（包括內(nèi)部威脅），并對(duì)這些攻擊做出快速響應(yīng)。

5、可信計(jì)算

可信計(jì)算（Trusted Computing）是在計(jì)算和通信系統(tǒng)中廣泛使用基于硬件安全模塊支持下的可信計(jì)算平臺(tái)，以提高系統(tǒng)整體的安全性?？尚庞?jì)算包括 5 個(gè)關(guān)鍵技術(shù)概念，他們是完整可信系統(tǒng)所必須的，這個(gè)系統(tǒng)將遵從 TCG（Trusted Computing Group）規(guī)范。

• Endorsement key 簽注密鑰

  簽注密鑰是一個(gè) 2048 位的 RSA 公共和私有密鑰對(duì)，它在芯片出廠時(shí)隨機(jī)生成并且不能改變。這個(gè)私有密鑰永遠(yuǎn)在芯片里，而公共密鑰用來(lái)認(rèn)證及加密發(fā)送到該芯片的敏感數(shù)據(jù)

• Secure input and output 安全輸入輸出

  安全輸入輸出是指電腦用戶和他們認(rèn)為與之交互的軟件間受保護(hù)的路徑。當(dāng)前，電腦系統(tǒng)上惡意軟件有許多方式來(lái)攔截用戶和軟件進(jìn)程間傳送的數(shù)據(jù)。例如鍵盤監(jiān)聽和截屏。

• Memory curtaining 儲(chǔ)存器屏蔽

  儲(chǔ)存器屏蔽拓展了一般的儲(chǔ)存保護(hù)技術(shù)，提供了完全獨(dú)立的儲(chǔ)存區(qū)域。例如，包含密鑰的位置。即使操作系統(tǒng)自身也沒有被屏蔽儲(chǔ)存的完全訪問(wèn)權(quán)限，所以入侵者即便控制了操作系統(tǒng)信息也是安全的。

• Sealed storage 密封儲(chǔ)存

  密封存儲(chǔ)通過(guò)把私有信息和使用的軟硬件平臺(tái)配置信息捆綁在一起來(lái)保護(hù)私有信息。意味著該數(shù)據(jù)只能在相同的軟硬件組合環(huán)境下讀取。例如，某個(gè)用戶在他們的電腦上保存一首歌曲，而他們的電腦沒有播放這首歌的許可證，他們就不能播放這首歌。

• Remote attestation 遠(yuǎn)程認(rèn)證

  遠(yuǎn)程認(rèn)證準(zhǔn)許用戶電腦上的改變被授權(quán)方感知。例如，軟件公司可以避免用戶干擾他們的軟件以規(guī)避技術(shù)保護(hù)措施。它通過(guò)讓硬件生成當(dāng)前軟件的證明書。隨后電腦將這個(gè)證明書傳送給遠(yuǎn)程被授權(quán)方來(lái)顯示該軟件公司的軟件尚未被干擾（嘗試破解）。

號(hào)外：10 月 19 日，譚曉生老師將參加 2016 中國(guó)計(jì)算機(jī)大會(huì)的安全分論壇。我們會(huì)贈(zèng)送價(jià)值 2300 元的非 CCF 會(huì)員票，憑此票可以參加 19 - 22 日包括譚老師在內(nèi)的 16 位嘉賓精彩的特邀報(bào)告、30 個(gè)論壇及 50 場(chǎng)活動(dòng)（除晚宴外）。報(bào)名請(qǐng)掃描下面的二維碼在公眾號(hào)后臺(tái)發(fā)送“CNCC”報(bào)名，我們會(huì)每天從報(bào)名者中選出一名送出門票~~

想?yún)⒓拥男』锇橐部梢渣c(diǎn)擊 CNCC 大會(huì)報(bào)名鏈接進(jìn)行報(bào)名喲~~

推薦閱讀：

《CNCC 人物專訪 譚曉生（上）| 360 首席隱私官談大數(shù)據(jù)與個(gè)人隱私的博弈》

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。