CNCC 人物專訪譚曉生（下）| 人工智能時代的網(wǎng)絡(luò)安全新發(fā)展

本文作者： no name

2016-10-10 18:39

專題：2016中國計算機大會(CNCC 2016)

導(dǎo)語：全文分為上下兩篇，上篇《360 首席隱私官談大數(shù)據(jù)與個人隱私的博弈》，下篇《人工智能時代的網(wǎng)絡(luò)安全新發(fā)展》。

雷鋒網(wǎng)按：本文由雷鋒網(wǎng)獨家采訪整理而成，未經(jīng)許可嚴禁轉(zhuǎn)載！全文分為上下兩篇，上篇《360 首席隱私官談大數(shù)據(jù)與個人隱私的博弈》，下篇《人工智能時代的網(wǎng)絡(luò)安全新發(fā)展》

CNCC 人物專訪譚曉生（下）| 人工智能時代的網(wǎng)絡(luò)安全新發(fā)展

現(xiàn)任奇虎 360 科技有限公司首席隱私官，2013 中國互聯(lián)網(wǎng)安全大會主席。 2009 年 7 月加盟北京奇虎科技有限公司擔(dān)任副總裁，負責(zé)公司網(wǎng)站技術(shù)、技術(shù)運維、數(shù)據(jù)分析與挖掘、云查殺、云存儲等業(yè)務(wù)的技術(shù)團隊管理。

1992 年畢業(yè)于西安交通大學(xué)計算機科學(xué)與工程系計算機應(yīng)用專業(yè)。2003 年 1 月至今先后任 3721 技術(shù)開發(fā)總監(jiān)、雅虎中國技術(shù)開發(fā)總監(jiān)、雅虎中國 CTO、阿里巴巴-雅虎中國技術(shù)研發(fā)部總監(jiān)。還曾任 MySpace CTO 兼任 COO。

目前還擔(dān)任 CCF 副秘書長，YOCSEF 主席，及今年 CNCC 前奏 Tech Frontier & Rockstar 的主席。

以下為編輯整理后的采訪實錄：

1、人工智能被認為是下一個科技浪潮，這次的 CNCC 大會也有很多相關(guān)議題。想請問 360 在人工智能和網(wǎng)絡(luò)安全的結(jié)合上，有哪些可以和大家分享的呢？

好的，360 其實很早就有這方面的探索，比如 2009 年年底的時候我們就做了一個引擎，叫 QVM ，就是用機器學(xué)習(xí)的方法來判定文件或可執(zhí)行程序是不是包含木馬病毒。

因為當(dāng)時每天都能收到成百上千萬的木馬樣本，我們通過機器學(xué)習(xí)的方法開發(fā)了這個技術(shù)，在 2009 年年底研發(fā)成功后，在 2010 年年底就取得了非常好使用反饋。那么這些年呢，我們也在繼續(xù)地利用人工智能技術(shù)，比如協(xié)議識別、網(wǎng)絡(luò)攻擊判定等等特定的方面，都有很好的應(yīng)用出現(xiàn)。

但必須要說，在整個網(wǎng)絡(luò)安全的領(lǐng)域來說，人工智能相關(guān)技術(shù)的應(yīng)用還是處于比較初級的階段。就大范圍的應(yīng)用來說，機器學(xué)習(xí)已經(jīng)是很多領(lǐng)域常用的方法，但它在網(wǎng)絡(luò)安全這塊，比如判定網(wǎng)絡(luò)攻擊的種類時，準確率還可以進一步提升。

2、傳統(tǒng)網(wǎng)絡(luò)安全方法的核心是對網(wǎng)絡(luò)劃分邊界，但現(xiàn)在往往是通過內(nèi)網(wǎng)大數(shù)據(jù)系統(tǒng)直接遙控終端，如何應(yīng)對網(wǎng)絡(luò)泛化的問題呢？

網(wǎng)絡(luò)泛化的確是個趨勢，以往內(nèi)網(wǎng)外網(wǎng)等等都有個邊界。現(xiàn)在呢，舉個例子來說，汽車可能在各種場合接入各種 wifi。比如說特斯拉，它除了接入 wifi，在國內(nèi)還能接入聯(lián)通的 3G / 4G 網(wǎng)絡(luò)。那么這本身可能就有多個網(wǎng)絡(luò)的接口，那么泛化的確是目前網(wǎng)絡(luò)安全要面對的一個新的挑戰(zhàn)，尤其是在萬物互聯(lián)的大背景下。

3、您剛剛提到了萬物互聯(lián)，我們都知道 IoT 是個機遇，越來越多的智能設(shè)備連接入網(wǎng)，但這客觀上也意味著擴大了潛在的攻擊點，這個矛盾怎么解決？

這個矛盾可以說是現(xiàn)在這個時代，網(wǎng)絡(luò)安全領(lǐng)域的最大的問題之一，因為這意味著現(xiàn)在的網(wǎng)絡(luò)安全防線變得越來越長。既然如此，其實也沒有一個簡單解。那么大數(shù)據(jù)、人工智能相關(guān)的技術(shù)的運用可能會成為被攻擊的點，或者攻擊手段。但是反過來說，這些新技術(shù)也能作為新的防御手段。

在防御思想里，過去一般是基于邊界、基于終端做防御?，F(xiàn)在呢，我們的防御機制已經(jīng)演變成一個“云-管-端”的體系。云，就是大數(shù)據(jù)，可以認為是這個防御體系的大腦；管，就是管道，也就是過去我們說的網(wǎng)絡(luò)邊界；端，就是端點。所以今天的防御思想就是“云-管-端”三者結(jié)合，首先是邊界、端點上收集的信息可以在邊界、端點上先進行簡單的本地處理和分析，然后更復(fù)雜的處理在云端進行。這種復(fù)雜的處理，舉個例子來說，基于行為的分析，流量數(shù)據(jù)中是否有特定的字符串之類的信息，那么我們根據(jù)歷史上的行為記錄，可以來進行分析判斷這次的操作是不是合理的。因為云有更強的計算能力和存儲能力，所以可以進行相關(guān)的演算，之后可以把結(jié)果告訴邊界和端點該不該處理、怎么執(zhí)行具體操作等等。

4、那么在人工智能的時代，我們可以怎么做呢？

人工智能時代呢，我們主要是用相關(guān)的技術(shù)來集中處理數(shù)據(jù)，讓我們的各個終端以更加智能的方式來工作。

實際上，這個“云-管-端”的模式，就是利用了云的存儲計算能力，再應(yīng)用一些人工智能的算法來處理。最近很熱的一個信息安全技術(shù)叫做 UEBA，就是用戶與實體的行為分析（ User and Entity Behavior Analytics ）。這其中涉及到用戶行為數(shù)據(jù)的收集、存儲和分析，這里就會用到人工智能的相關(guān)技術(shù)。

另一個新的防御思想叫做 EDR（ End-point Detection Response）和 NDR（Network Detection Response）。

過去呢，我們一般就在網(wǎng)絡(luò)邊界上放個防火墻，希望把攻擊攔在防火墻外面?，F(xiàn)在呢，網(wǎng)絡(luò)的防線越來越長，漏洞越來越多，要想繼續(xù)把攻擊阻擋在防火墻之外幾乎是不可能的。那怎么辦呢？我們現(xiàn)在的思路是，在攻擊發(fā)生時能不能及早地發(fā)現(xiàn)、檢測以及進行對應(yīng)處理，因為在攻擊發(fā)生的一開始，并不一定會造成非常嚴重的破壞，如果我們可以及時地阻斷攻擊，我們也能進行有效的管控。

所以 DR（ Detection Response ）的思想從去年到今年有開始流行起來的，主要分為 EDR 和 NDR。EDR 是在終端進行檢測與響應(yīng)，比如像殺毒軟件，過去只是簡單地殺病毒，現(xiàn)在實際上把功能擴大了，他能收集應(yīng)用程序在用戶電腦中運行時的一些行為，在響應(yīng)的過程中能對不合理的行為進行阻斷。NDR 是在網(wǎng)絡(luò)邊界上進行檢測與響應(yīng)，比如現(xiàn)在常說的下一代防火墻在功能上已經(jīng)不僅僅是包過濾，還要求可以檢測用戶通過網(wǎng)絡(luò)訪問到底干了什么，在網(wǎng)絡(luò)上進行檢測和響應(yīng)。

那么 EDR 和 NDR 也是結(jié)合云的一種防御機制，用來應(yīng)對目前防御戰(zhàn)線越來越長的現(xiàn)狀，由此可見，人們的防御思想也在不斷革新。

包括可信計算現(xiàn)在也開始大量地應(yīng)用，主要是目前的應(yīng)用成本降下來了，我看到已經(jīng)有把可信計算做到芯片里的產(chǎn)品。原來沒有普遍使用的原因主要是成本太高，現(xiàn)在這個問題已經(jīng)解決了，相信相關(guān)的問題也會逐步得到解決。

拓展知識（資料搜集自網(wǎng)絡(luò)）：

1、QVM 人工智能引擎

這是 Qihoo Support Vector Machine（奇虎支持向量機）的縮寫。是 360 完全自主研發(fā)的第三代引擎（具有中國的自主知識產(chǎn)權(quán)的引擎）。它采用人工智能算法——支持向量機，具備“自學(xué)習(xí)、自進化”能力，無需頻繁升級特征庫，就能免疫 90% 以上的加殼和變種病毒，不但查殺能力遙遙領(lǐng)先，而且從根本上攻克了前兩代殺毒引擎“不升級病毒庫就殺不了新病毒”的技術(shù)難題，在全球范圍內(nèi)屬于首創(chuàng)。

簡單的說 360 的人工智能引擎就是在海量病毒樣本數(shù)據(jù)中歸納出一套智能算法，自己來發(fā)現(xiàn)和學(xué)習(xí)病毒變化規(guī)律。它無需頻繁更新特征庫、無需分析病毒靜態(tài)特征、無需分析病毒行為，但是病毒檢出率卻遠遠超過了第一、二代引擎的總和，而且查殺速度比傳統(tǒng)引擎至少快一倍。

“四核”360 殺毒的優(yōu)勢在于組合了多種安全技術(shù)，包括客戶端和云安全的結(jié)合、自主創(chuàng)新和國外殺毒技術(shù)的‘中西醫(yī)’結(jié)合、特征碼識別和人工智能算法的結(jié)合、hips（主動防御技術(shù)）和四引擎查殺的防殺結(jié)合，等等。

2、“云-管-端”

云，指業(yè)務(wù)的IT化，造成的主要矛盾是海量信息的處理問題。由此，新一代數(shù)據(jù)中心和新一代業(yè)務(wù)平臺成為關(guān)鍵。管，指網(wǎng)絡(luò) IP 化，造成的主要矛盾是海量信息的傳送問題，需要運營商以 ALLIP 技術(shù)為基礎(chǔ)，以 HSPA/LTE、FTTx、IP + 光、NG-CDN 構(gòu)建新一代的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。端，指終端的智能化，關(guān)鍵是信息的多媒體呈現(xiàn)。只有多樣化的終端才能支撐海量的多媒體應(yīng)用和行業(yè)應(yīng)用。而只有實現(xiàn)“云-管-端”的信息服務(wù)的新架構(gòu)，才能實現(xiàn)運營轉(zhuǎn)型。

簡單的說，云是云服務(wù)，端是智能終端，而管則是鏈接“云”和“端”之間的各種設(shè)備，“云-管-端”就是確定新一代業(yè)務(wù)平臺和應(yīng)用、大容量智能化的信息管道和豐富多彩的智能終端齊頭并進的發(fā)展方針。

3、用戶與實體的行為分析（ User and Entity Behavior Analytics ，UEBA）

用戶和實體行為分析（UEBA）能夠?qū)崿F(xiàn)廣泛的安全分析，就像是安全信息和事件管理（SIEM）能夠?qū)崿F(xiàn)廣泛的安全監(jiān)控一樣。UEBA 提供了圍繞用戶行為的、以用戶為中心的分析，但是也圍繞其他例如端點、網(wǎng)絡(luò)和應(yīng)用。跨不同實體分析的相關(guān)性似的分析結(jié)果更加準確，讓威脅檢測更加有效。

一旦攻擊者在企業(yè)系統(tǒng)中有了立足之地，他們通常會橫向（“東/西”）暢通無阻地移動到其他系統(tǒng)。為了解決這個問題，有一種新的需求，對企業(yè)網(wǎng)絡(luò)傳中東/西傳輸?shù)摹拔⒓毞帧保ǜ哳w粒度的細分）。此外，有很多解決方案提供了對通信流量的可見性和監(jiān)控?？梢暬ぞ呖梢宰尣僮骱桶踩芾韱T了解流量模式，設(shè)置細分策略，監(jiān)控偏差。最后，有很多廠商提供了工作負載之間網(wǎng)絡(luò)傳輸（通常是端到端的 IPsec 通道）的可選加密，用于保護動態(tài)數(shù)據(jù)，提供工作負載之間的加密隔離。

4、EDR（ End-point Detection Response）

端點檢測和響應(yīng)（EDR）解決方案的市場正在快速擴張，以滿足市場對更高效的端點保護的需求，和檢測潛在漏洞的迫切需要，并做出更快速的反應(yīng)。EDR 工具通常會記錄大量端點和網(wǎng)絡(luò)事件，把這些信息保存在端點本地，或者保存在中央數(shù)據(jù)庫中。然后使用已知的攻擊指示器（IOC）、行為分析和機器學(xué)習(xí)技術(shù)的數(shù)據(jù)庫，來持續(xù)搜索數(shù)據(jù)，在早期檢測出漏洞（包括內(nèi)部威脅），并對這些攻擊做出快速響應(yīng)。

5、可信計算

可信計算（Trusted Computing）是在計算和通信系統(tǒng)中廣泛使用基于硬件安全模塊支持下的可信計算平臺，以提高系統(tǒng)整體的安全性?？尚庞嬎惆?5 個關(guān)鍵技術(shù)概念，他們是完整可信系統(tǒng)所必須的，這個系統(tǒng)將遵從 TCG（Trusted Computing Group）規(guī)范。

Endorsement key 簽注密鑰
簽注密鑰是一個 2048 位的 RSA 公共和私有密鑰對，它在芯片出廠時隨機生成并且不能改變。這個私有密鑰永遠在芯片里，而公共密鑰用來認證及加密發(fā)送到該芯片的敏感數(shù)據(jù)
Secure input and output 安全輸入輸出
安全輸入輸出是指電腦用戶和他們認為與之交互的軟件間受保護的路徑。當(dāng)前，電腦系統(tǒng)上惡意軟件有許多方式來攔截用戶和軟件進程間傳送的數(shù)據(jù)。例如鍵盤監(jiān)聽和截屏。
Memory curtaining 儲存器屏蔽
儲存器屏蔽拓展了一般的儲存保護技術(shù)，提供了完全獨立的儲存區(qū)域。例如，包含密鑰的位置。即使操作系統(tǒng)自身也沒有被屏蔽儲存的完全訪問權(quán)限，所以入侵者即便控制了操作系統(tǒng)信息也是安全的。
Sealed storage 密封儲存
密封存儲通過把私有信息和使用的軟硬件平臺配置信息捆綁在一起來保護私有信息。意味著該數(shù)據(jù)只能在相同的軟硬件組合環(huán)境下讀取。例如，某個用戶在他們的電腦上保存一首歌曲，而他們的電腦沒有播放這首歌的許可證，他們就不能播放這首歌。
Remote attestation 遠程認證
遠程認證準許用戶電腦上的改變被授權(quán)方感知。例如，軟件公司可以避免用戶干擾他們的軟件以規(guī)避技術(shù)保護措施。它通過讓硬件生成當(dāng)前軟件的證明書。隨后電腦將這個證明書傳送給遠程被授權(quán)方來顯示該軟件公司的軟件尚未被干擾（嘗試破解）。

號外：10 月 19 日，譚曉生老師將參加 2016 中國計算機大會的安全分論壇。我們會贈送價值 2300 元的非 CCF 會員票，憑此票可以參加 19 - 22 日包括譚老師在內(nèi)的 16 位嘉賓精彩的特邀報告、30 個論壇及 50 場活動（除晚宴外）。報名請掃描下面的二維碼在公眾號后臺發(fā)送“CNCC”報名，我們會每天從報名者中選出一名送出門票~~

CNCC 人物專訪譚曉生（下）| 人工智能時代的網(wǎng)絡(luò)安全新發(fā)展