CNCC 人物專訪譚曉生（下）| 人工智能時代的網絡安全新發(fā)展

本文作者： no name

2016-10-10 18:39

專題：2016中國計算機大會(CNCC 2016)

導語：全文分為上下兩篇，上篇《360 首席隱私官談大數據與個人隱私的博弈》，下篇《人工智能時代的網絡安全新發(fā)展》。

雷鋒網按：本文由雷鋒網獨家采訪整理而成，未經許可嚴禁轉載！全文分為上下兩篇，上篇《360 首席隱私官談大數據與個人隱私的博弈》，下篇《人工智能時代的網絡安全新發(fā)展》

CNCC 人物專訪譚曉生（下）| 人工智能時代的網絡安全新發(fā)展

現任奇虎 360 科技有限公司首席隱私官，2013 中國互聯網安全大會主席。 2009 年 7 月加盟北京奇虎科技有限公司擔任副總裁，負責公司網站技術、技術運維、數據分析與挖掘、云查殺、云存儲等業(yè)務的技術團隊管理。

1992 年畢業(yè)于西安交通大學計算機科學與工程系計算機應用專業(yè)。2003 年 1 月至今先后任 3721 技術開發(fā)總監(jiān)、雅虎中國技術開發(fā)總監(jiān)、雅虎中國 CTO、阿里巴巴-雅虎中國技術研發(fā)部總監(jiān)。還曾任 MySpace CTO 兼任 COO。

目前還擔任 CCF 副秘書長，YOCSEF 主席，及今年 CNCC 前奏 Tech Frontier & Rockstar 的主席。

以下為編輯整理后的采訪實錄：

1、人工智能被認為是下一個科技浪潮，這次的 CNCC 大會也有很多相關議題。想請問 360 在人工智能和網絡安全的結合上，有哪些可以和大家分享的呢？

好的，360 其實很早就有這方面的探索，比如 2009 年年底的時候我們就做了一個引擎，叫 QVM ，就是用機器學習的方法來判定文件或可執(zhí)行程序是不是包含木馬病毒。

因為當時每天都能收到成百上千萬的木馬樣本，我們通過機器學習的方法開發(fā)了這個技術，在 2009 年年底研發(fā)成功后，在 2010 年年底就取得了非常好使用反饋。那么這些年呢，我們也在繼續(xù)地利用人工智能技術，比如協(xié)議識別、網絡攻擊判定等等特定的方面，都有很好的應用出現。

但必須要說，在整個網絡安全的領域來說，人工智能相關技術的應用還是處于比較初級的階段。就大范圍的應用來說，機器學習已經是很多領域常用的方法，但它在網絡安全這塊，比如判定網絡攻擊的種類時，準確率還可以進一步提升。

2、傳統(tǒng)網絡安全方法的核心是對網絡劃分邊界，但現在往往是通過內網大數據系統(tǒng)直接遙控終端，如何應對網絡泛化的問題呢？

網絡泛化的確是個趨勢，以往內網外網等等都有個邊界?，F在呢，舉個例子來說，汽車可能在各種場合接入各種 wifi。比如說特斯拉，它除了接入 wifi，在國內還能接入聯通的 3G / 4G 網絡。那么這本身可能就有多個網絡的接口，那么泛化的確是目前網絡安全要面對的一個新的挑戰(zhàn)，尤其是在萬物互聯的大背景下。

3、您剛剛提到了萬物互聯，我們都知道 IoT 是個機遇，越來越多的智能設備連接入網，但這客觀上也意味著擴大了潛在的攻擊點，這個矛盾怎么解決？

這個矛盾可以說是現在這個時代，網絡安全領域的最大的問題之一，因為這意味著現在的網絡安全防線變得越來越長。既然如此，其實也沒有一個簡單解。那么大數據、人工智能相關的技術的運用可能會成為被攻擊的點，或者攻擊手段。但是反過來說，這些新技術也能作為新的防御手段。

在防御思想里，過去一般是基于邊界、基于終端做防御。現在呢，我們的防御機制已經演變成一個“云-管-端”的體系。云，就是大數據，可以認為是這個防御體系的大腦；管，就是管道，也就是過去我們說的網絡邊界；端，就是端點。所以今天的防御思想就是“云-管-端”三者結合，首先是邊界、端點上收集的信息可以在邊界、端點上先進行簡單的本地處理和分析，然后更復雜的處理在云端進行。這種復雜的處理，舉個例子來說，基于行為的分析，流量數據中是否有特定的字符串之類的信息，那么我們根據歷史上的行為記錄，可以來進行分析判斷這次的操作是不是合理的。因為云有更強的計算能力和存儲能力，所以可以進行相關的演算，之后可以把結果告訴邊界和端點該不該處理、怎么執(zhí)行具體操作等等。

4、那么在人工智能的時代，我們可以怎么做呢？

人工智能時代呢，我們主要是用相關的技術來集中處理數據，讓我們的各個終端以更加智能的方式來工作。

實際上，這個“云-管-端”的模式，就是利用了云的存儲計算能力，再應用一些人工智能的算法來處理。最近很熱的一個信息安全技術叫做 UEBA，就是用戶與實體的行為分析（ User and Entity Behavior Analytics ）。這其中涉及到用戶行為數據的收集、存儲和分析，這里就會用到人工智能的相關技術。

另一個新的防御思想叫做 EDR（ End-point Detection Response）和 NDR（Network Detection Response）。

過去呢，我們一般就在網絡邊界上放個防火墻，希望把攻擊攔在防火墻外面?，F在呢，網絡的防線越來越長，漏洞越來越多，要想繼續(xù)把攻擊阻擋在防火墻之外幾乎是不可能的。那怎么辦呢？我們現在的思路是，在攻擊發(fā)生時能不能及早地發(fā)現、檢測以及進行對應處理，因為在攻擊發(fā)生的一開始，并不一定會造成非常嚴重的破壞，如果我們可以及時地阻斷攻擊，我們也能進行有效的管控。

所以 DR（ Detection Response ）的思想從去年到今年有開始流行起來的，主要分為 EDR 和 NDR。EDR 是在終端進行檢測與響應，比如像殺毒軟件，過去只是簡單地殺病毒，現在實際上把功能擴大了，他能收集應用程序在用戶電腦中運行時的一些行為，在響應的過程中能對不合理的行為進行阻斷。NDR 是在網絡邊界上進行檢測與響應，比如現在常說的下一代防火墻在功能上已經不僅僅是包過濾，還要求可以檢測用戶通過網絡訪問到底干了什么，在網絡上進行檢測和響應。

那么 EDR 和 NDR 也是結合云的一種防御機制，用來應對目前防御戰(zhàn)線越來越長的現狀，由此可見，人們的防御思想也在不斷革新。

包括可信計算現在也開始大量地應用，主要是目前的應用成本降下來了，我看到已經有把可信計算做到芯片里的產品。原來沒有普遍使用的原因主要是成本太高，現在這個問題已經解決了，相信相關的問題也會逐步得到解決。

拓展知識（資料搜集自網絡）：

1、QVM 人工智能引擎

這是 Qihoo Support Vector Machine（奇虎支持向量機）的縮寫。是 360 完全自主研發(fā)的第三代引擎（具有中國的自主知識產權的引擎）。它采用人工智能算法——支持向量機，具備“自學習、自進化”能力，無需頻繁升級特征庫，就能免疫 90% 以上的加殼和變種病毒，不但查殺能力遙遙領先，而且從根本上攻克了前兩代殺毒引擎“不升級病毒庫就殺不了新病毒”的技術難題，在全球范圍內屬于首創(chuàng)。

簡單的說 360 的人工智能引擎就是在海量病毒樣本數據中歸納出一套智能算法，自己來發(fā)現和學習病毒變化規(guī)律。它無需頻繁更新特征庫、無需分析病毒靜態(tài)特征、無需分析病毒行為，但是病毒檢出率卻遠遠超過了第一、二代引擎的總和，而且查殺速度比傳統(tǒng)引擎至少快一倍。

“四核”360 殺毒的優(yōu)勢在于組合了多種安全技術，包括客戶端和云安全的結合、自主創(chuàng)新和國外殺毒技術的‘中西醫(yī)’結合、特征碼識別和人工智能算法的結合、hips（主動防御技術）和四引擎查殺的防殺結合，等等。

2、“云-管-端”

云，指業(yè)務的IT化，造成的主要矛盾是海量信息的處理問題。由此，新一代數據中心和新一代業(yè)務平臺成為關鍵。管，指網絡 IP 化，造成的主要矛盾是海量信息的傳送問題，需要運營商以 ALLIP 技術為基礎，以 HSPA/LTE、FTTx、IP + 光、NG-CDN 構建新一代的網絡基礎架構。端，指終端的智能化，關鍵是信息的多媒體呈現。只有多樣化的終端才能支撐海量的多媒體應用和行業(yè)應用。而只有實現“云-管-端”的信息服務的新架構，才能實現運營轉型。

簡單的說，云是云服務，端是智能終端，而管則是鏈接“云”和“端”之間的各種設備，“云-管-端”就是確定新一代業(yè)務平臺和應用、大容量智能化的信息管道和豐富多彩的智能終端齊頭并進的發(fā)展方針。

3、用戶與實體的行為分析（ User and Entity Behavior Analytics ，UEBA）

用戶和實體行為分析（UEBA）能夠實現廣泛的安全分析，就像是安全信息和事件管理（SIEM）能夠實現廣泛的安全監(jiān)控一樣。UEBA 提供了圍繞用戶行為的、以用戶為中心的分析，但是也圍繞其他例如端點、網絡和應用。跨不同實體分析的相關性似的分析結果更加準確，讓威脅檢測更加有效。

一旦攻擊者在企業(yè)系統(tǒng)中有了立足之地，他們通常會橫向（“東/西”）暢通無阻地移動到其他系統(tǒng)。為了解決這個問題，有一種新的需求，對企業(yè)網絡傳中東/西傳輸的“微細分”（更高顆粒度的細分）。此外，有很多解決方案提供了對通信流量的可見性和監(jiān)控?？梢暬ぞ呖梢宰尣僮骱桶踩芾韱T了解流量模式，設置細分策略，監(jiān)控偏差。最后，有很多廠商提供了工作負載之間網絡傳輸（通常是端到端的 IPsec 通道）的可選加密，用于保護動態(tài)數據，提供工作負載之間的加密隔離。

4、EDR（ End-point Detection Response）

端點檢測和響應（EDR）解決方案的市場正在快速擴張，以滿足市場對更高效的端點保護的需求，和檢測潛在漏洞的迫切需要，并做出更快速的反應。EDR 工具通常會記錄大量端點和網絡事件，把這些信息保存在端點本地，或者保存在中央數據庫中。然后使用已知的攻擊指示器（IOC）、行為分析和機器學習技術的數據庫，來持續(xù)搜索數據，在早期檢測出漏洞（包括內部威脅），并對這些攻擊做出快速響應。

5、可信計算

可信計算（Trusted Computing）是在計算和通信系統(tǒng)中廣泛使用基于硬件安全模塊支持下的可信計算平臺，以提高系統(tǒng)整體的安全性?？尚庞嬎惆?5 個關鍵技術概念，他們是完整可信系統(tǒng)所必須的，這個系統(tǒng)將遵從 TCG（Trusted Computing Group）規(guī)范。

Endorsement key 簽注密鑰
簽注密鑰是一個 2048 位的 RSA 公共和私有密鑰對，它在芯片出廠時隨機生成并且不能改變。這個私有密鑰永遠在芯片里，而公共密鑰用來認證及加密發(fā)送到該芯片的敏感數據
Secure input and output 安全輸入輸出
安全輸入輸出是指電腦用戶和他們認為與之交互的軟件間受保護的路徑。當前，電腦系統(tǒng)上惡意軟件有許多方式來攔截用戶和軟件進程間傳送的數據。例如鍵盤監(jiān)聽和截屏。
Memory curtaining 儲存器屏蔽
儲存器屏蔽拓展了一般的儲存保護技術，提供了完全獨立的儲存區(qū)域。例如，包含密鑰的位置。即使操作系統(tǒng)自身也沒有被屏蔽儲存的完全訪問權限，所以入侵者即便控制了操作系統(tǒng)信息也是安全的。
Sealed storage 密封儲存
密封存儲通過把私有信息和使用的軟硬件平臺配置信息捆綁在一起來保護私有信息。意味著該數據只能在相同的軟硬件組合環(huán)境下讀取。例如，某個用戶在他們的電腦上保存一首歌曲，而他們的電腦沒有播放這首歌的許可證，他們就不能播放這首歌。
Remote attestation 遠程認證
遠程認證準許用戶電腦上的改變被授權方感知。例如，軟件公司可以避免用戶干擾他們的軟件以規(guī)避技術保護措施。它通過讓硬件生成當前軟件的證明書。隨后電腦將這個證明書傳送給遠程被授權方來顯示該軟件公司的軟件尚未被干擾（嘗試破解）。

號外：10 月 19 日，譚曉生老師將參加 2016 中國計算機大會的安全分論壇。我們會贈送價值 2300 元的非 CCF 會員票，憑此票可以參加 19 - 22 日包括譚老師在內的 16 位嘉賓精彩的特邀報告、30 個論壇及 50 場活動（除晚宴外）。報名請掃描下面的二維碼在公眾號后臺發(fā)送“CNCC”報名，我們會每天從報名者中選出一名送出門票~~

CNCC 人物專訪譚曉生（下）| 人工智能時代的網絡安全新發(fā)展