?

網(wǎng)絡(luò)安全技術(shù)創(chuàng)新進(jìn)入第三代——訪360企業(yè)安全集團(tuán)董事長(zhǎng)齊向東

記者：“齊總您好，很高興見到您，作為中國(guó)互聯(lián)網(wǎng)安全的領(lǐng)軍人物，請(qǐng)問您如何看待現(xiàn)在的網(wǎng)絡(luò)安全環(huán)境？”

齊向東：“自互聯(lián)網(wǎng)出現(xiàn)時(shí)起，就伴隨著網(wǎng)絡(luò)攻擊?？偨Y(jié)互聯(lián)網(wǎng)過去三十多年的發(fā)展，我把網(wǎng)絡(luò)攻擊的浪潮分為了三個(gè)階段。

第一次浪潮從1985年開始，個(gè)人電腦PC的普及，推動(dòng)了信息化和工業(yè)自動(dòng)化，引發(fā)網(wǎng)絡(luò)攻擊的浪潮。比如1988年，我國(guó)出現(xiàn)的第一例電腦病毒“小球病毒”，還有德國(guó)的“救護(hù)車病毒”。這些病毒是早期病毒的典型代表，但并沒有那么大的傷害力和危害性，反而更像是搞笑的惡作劇。

第二次浪潮從2000年開始，這個(gè)時(shí)候互聯(lián)網(wǎng)逐漸普及，攻擊網(wǎng)民帶來切實(shí)利益，引發(fā)第二次網(wǎng)絡(luò)攻擊浪潮。這次攻擊浪潮中，流氓軟件成災(zāi)，有用戶的電腦中了十幾款流氓軟件，開機(jī)就要半個(gè)小時(shí)，開機(jī)后鼠標(biāo)還不能正常工作。網(wǎng)絡(luò)欺詐也開始流行，不法分子通過網(wǎng)絡(luò)攻擊掌握了大量網(wǎng)民的真實(shí)信息，對(duì)他們實(shí)施精準(zhǔn)詐騙，成功率很高。

第三次浪潮從2015年開始，一直持續(xù)到現(xiàn)在，這個(gè)時(shí)期的網(wǎng)絡(luò)攻擊和以往完全不同。以前的網(wǎng)絡(luò)攻擊是偷隱私、偷錢財(cái)，現(xiàn)在主要是針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)起攻擊。我總結(jié)了第三次網(wǎng)絡(luò)攻擊浪潮的三大特征：

第一，關(guān)鍵信息基礎(chǔ)設(shè)施全面網(wǎng)絡(luò)化，網(wǎng)絡(luò)戰(zhàn)可能取代傳統(tǒng)戰(zhàn)爭(zhēng)。關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，一旦被攻擊，就可能導(dǎo)致交通中斷、金融紊亂、電力癱瘓等問題，帶來災(zāi)難性的后果；第二，網(wǎng)絡(luò)攻擊成為企業(yè)競(jìng)爭(zhēng)手段。一些行業(yè)競(jìng)爭(zhēng)者為了利益不擇手段，通過DDoS攻擊妨礙競(jìng)爭(zhēng)對(duì)手的業(yè)務(wù)活動(dòng)，打擊對(duì)手的聲譽(yù)，從中獲取競(jìng)爭(zhēng)優(yōu)勢(shì)；第三，網(wǎng)絡(luò)攻擊成為政治競(jìng)爭(zhēng)的重要手段。2016年發(fā)生的希拉里“郵件門”是一個(gè)代表性事件，是導(dǎo)致希拉里由盛轉(zhuǎn)衰的拐點(diǎn)，直接影響了2016年美國(guó)大選結(jié)果。

隨著第四次工業(yè)革命的到來，人類社會(huì)步入人工智能時(shí)代。工業(yè)互聯(lián)網(wǎng)、產(chǎn)業(yè)互聯(lián)網(wǎng)、萬物互聯(lián)網(wǎng)高速發(fā)展，網(wǎng)絡(luò)安全不僅僅關(guān)系到信息安全、財(cái)產(chǎn)安全，更關(guān)系到國(guó)家安全、社會(huì)安全、人身安全?！?/p>

記者：“謝謝齊總，讓我們系統(tǒng)地理解了現(xiàn)在的網(wǎng)絡(luò)安全環(huán)境。那么在目前的網(wǎng)絡(luò)安全形勢(shì)下，我們應(yīng)該如何應(yīng)對(duì)呢？”

齊向東：我們認(rèn)為，網(wǎng)絡(luò)安全防御現(xiàn)在必須進(jìn)入到“查行為”的第三代核心技術(shù)體系。為什么叫第三代呢？因?yàn)樵诰W(wǎng)絡(luò)攻擊的三次浪潮中，也隨之誕生了三代網(wǎng)絡(luò)安全技術(shù)。

第一代網(wǎng)絡(luò)安全技術(shù)是“查黑”。網(wǎng)絡(luò)攻擊的第一次浪潮中，木馬病毒數(shù)量有限、技術(shù)單一，所以主要是基于病毒庫來進(jìn)行查殺，也就是俗稱的“黑名單”機(jī)制。進(jìn)入網(wǎng)絡(luò)攻擊的第二次浪潮后，第一代網(wǎng)絡(luò)安全技術(shù)變得力不從心。主要原因是木馬病毒開始呈指數(shù)級(jí)爆發(fā)，樣本海量化，第一代網(wǎng)絡(luò)安全技術(shù)效率低下的弊端凸顯，并且病毒還在不斷進(jìn)化，“黑名單”機(jī)制逐漸失效。

所以，我們首次把互聯(lián)網(wǎng)技術(shù)應(yīng)用于安全領(lǐng)域，創(chuàng)新推出了以“查白”為核心的第二代網(wǎng)絡(luò)安全技術(shù)。我們應(yīng)用了搜索引擎、云技術(shù)、人工智能等互聯(lián)網(wǎng)技術(shù)，解決了白名單樣本收集、樣本快速識(shí)別、海量病毒分析等問題。這一代創(chuàng)新技術(shù)很好地解決了第二次網(wǎng)絡(luò)攻擊浪潮中的安全問題。微軟每年發(fā)布的全球安全報(bào)告中，中國(guó)連續(xù)五年排名第一，惡意軟件感染率僅為全球平均的六分之一。

現(xiàn)在，網(wǎng)絡(luò)攻擊進(jìn)入第三次浪潮，各種已知、未知的漏洞防不勝防，好比我們守著正門，但是黑客采用其他方法走側(cè)門。在這樣的背景下，我們創(chuàng)新了第三代網(wǎng)絡(luò)安全技術(shù)。

從2015年開始，我們就判斷網(wǎng)絡(luò)安全技術(shù)進(jìn)入一個(gè)創(chuàng)新顛覆期。傳統(tǒng)的圍墻式防護(hù)體系過時(shí)了，新的安全體系正在成長(zhǎng)中。我們?cè)?015年到2017年連續(xù)三年的ISC大會(huì)上，提出了“數(shù)據(jù)驅(qū)動(dòng)安全”、“協(xié)同聯(lián)動(dòng)，共建安全+命運(yùn)共同體”和“人是安全的尺度”，強(qiáng)調(diào)數(shù)據(jù)、威脅情報(bào)和人的重要性。我們認(rèn)為，新安全體系應(yīng)該是數(shù)據(jù)分析驅(qū)動(dòng)+威脅情報(bào)+網(wǎng)絡(luò)安全人才。

為了推動(dòng)新安全理念能得到廣泛普及，我從去年開始，在多個(gè)場(chǎng)合反復(fù)提到網(wǎng)絡(luò)安全的“四個(gè)假設(shè)”：假設(shè)系統(tǒng)一定有未被發(fā)現(xiàn)的漏洞，一定有已發(fā)現(xiàn)但仍未修補(bǔ)的漏洞，系統(tǒng)已經(jīng)被滲透，和內(nèi)部人員不可靠。

這四個(gè)假設(shè)充分表明，以往靠“黑名單”、“白名單”的安全防御手段都失效了。網(wǎng)絡(luò)安全技術(shù)不能再絕對(duì)信任白名單，現(xiàn)在必須進(jìn)入到第三代。

第三代網(wǎng)絡(luò)安全技術(shù)是“查行為”。以盡可能全面地采集大數(shù)據(jù)為基礎(chǔ)，以機(jī)器學(xué)習(xí)、人工智能的行為分析為核心，以威脅檢測(cè)和應(yīng)急響應(yīng)為關(guān)鍵?！安樾袨椤敝饕譃槿齻€(gè)方面的內(nèi)容：第一，通過威脅情報(bào)，確定攻擊行為；第二，通過機(jī)器學(xué)習(xí)，建立行為基線；第三，對(duì)超出基線的可疑行為，進(jìn)行響應(yīng)?！?/p>

記者：“能和我們具體闡述下第三代網(wǎng)絡(luò)安全技術(shù)嗎？”

齊向東：“第三代網(wǎng)絡(luò)安全技術(shù)的關(guān)鍵是威脅檢測(cè)與應(yīng)急響應(yīng)。在進(jìn)行威脅檢測(cè)時(shí)，首先要盡可能全面地采集大數(shù)據(jù)，“以空間換時(shí)間”。網(wǎng)絡(luò)滲透和攻擊都會(huì)留下痕跡，在無法判斷哪些行為是攻擊的情況下，盡量多的對(duì)行為和數(shù)據(jù)進(jìn)行記錄。數(shù)據(jù)掌握的越多，檢測(cè)的信息就越全，發(fā)現(xiàn)攻擊的速度就會(huì)越快，這就是“以空間換時(shí)間”。

第二，用機(jī)器學(xué)習(xí)、人工智能的行為分析，建立三條基線。如果通過大數(shù)據(jù)獲取到一個(gè)人在相當(dāng)長(zhǎng)一段時(shí)間的數(shù)據(jù)，就可以給這個(gè)人設(shè)立行為基線。同時(shí)，把曾經(jīng)出現(xiàn)在黑名單上的電腦、IP地址、用戶等數(shù)據(jù)，建立一條黑基線，把從來沒有出現(xiàn)在黑名單的行為，再建一條白基線。通過建立這三條基線，我們就能實(shí)現(xiàn)最快速的威脅檢測(cè)、最準(zhǔn)確地告警和最及時(shí)地采取措施。這套體系很復(fù)雜，人腦肯定無法計(jì)算。所以，必須以機(jī)器學(xué)習(xí)、人工智能的行為分析為核心。

第三，以威脅情報(bào)為重要支撐，準(zhǔn)確判定狀態(tài)。360利用機(jī)器學(xué)習(xí)、人工智能的行為分析，從每天新增的海量數(shù)據(jù)資源中，形成了超過百份的威脅情報(bào)。這些情報(bào)能準(zhǔn)確提供狀態(tài)判定，用C&C域名匹配流量數(shù)據(jù)，確定失陷主機(jī)。還能損失評(píng)估，用后門程序同源樣本，查更多失陷主機(jī)。同時(shí)，還能支持追蹤溯源，比如從源頭魚叉郵件，找到更多中招郵箱和受感染設(shè)備。

在進(jìn)行應(yīng)急響應(yīng)時(shí)，一定要以人為核心，這也是第三代網(wǎng)絡(luò)安全技術(shù)的最終落腳點(diǎn)?！?/p>

記者：“去年的中國(guó)互聯(lián)網(wǎng)安全大會(huì)（ISC）的主題就是“人是安全的尺度”，您剛剛又提到，人是第三代網(wǎng)絡(luò)安全技術(shù)的最終落腳點(diǎn)，能具體談?wù)勀睦斫鈫幔俊?/p>

齊向東：“大數(shù)據(jù)、人工智能、機(jī)器學(xué)習(xí)、威脅情報(bào)等技術(shù)要素在服務(wù)威脅情報(bào)與應(yīng)急響應(yīng)時(shí)，最終都離不開人。第一，再聰明的機(jī)器，都無法替代人。機(jī)器人很熱，人機(jī)大戰(zhàn)也有很多傳奇，但網(wǎng)絡(luò)安全對(duì)抗是“不走尋常路”的智慧對(duì)抗。機(jī)器人的特長(zhǎng)是對(duì)人類套路的模仿，靠超大計(jì)算能力。網(wǎng)絡(luò)安全人才是特殊人才，是實(shí)力和計(jì)謀的融合。在近幾年的RSA大會(huì)上，都有公司展示用人工智能識(shí)別網(wǎng)絡(luò)攻擊的技術(shù)，但還處于非常初級(jí)的水平，專家普遍認(rèn)為它在未來也不會(huì)超過人類。

第二，人+機(jī)器，能極大提高戰(zhàn)斗力。未來，漏洞數(shù)量會(huì)越來越多，危害越來越大。如果單純靠人工、高手的手工作業(yè)，找出網(wǎng)絡(luò)攻擊就像大海撈針，是辦不到的。所以，只能借助大數(shù)據(jù)、人工智能，掃描、辨識(shí)和阻斷網(wǎng)絡(luò)攻擊的讓機(jī)器做，而應(yīng)對(duì)0Day、1Day等未知漏洞，或者其他新的攻擊方法，需要用“人+機(jī)器”的方法，并且人起到關(guān)鍵性作用。

第三，機(jī)器輔助運(yùn)營(yíng)，需要更多干“臟活、累活”的人。安全運(yùn)營(yíng)不僅需要高大上的安全分析，更需要打補(bǔ)丁、配置安全策略、做基礎(chǔ)架構(gòu)、被動(dòng)防御等干“臟活累活”的人。數(shù)據(jù)顯示，我國(guó)最近三年培養(yǎng)的安全專業(yè)人才僅有3萬人，不足70萬需求的3%，預(yù)計(jì)到2020年，需求量將達(dá)到140萬人。

360一直非常重視網(wǎng)絡(luò)安全人才培養(yǎng)。我們?cè)谒拇ňd陽建設(shè)了網(wǎng)絡(luò)安全人才培養(yǎng)綿陽基地，還和一些校企組建了360網(wǎng)絡(luò)空間安全學(xué)院，希望能盡快填補(bǔ)這個(gè)缺口。”

記者：“目前，第三代網(wǎng)絡(luò)安全的核心技術(shù)體系已經(jīng)發(fā)展成熟了嗎？能談?wù)?60在這方面的布局嗎？”

齊向東：“經(jīng)過三年努力，360目前已建成了比較完備的第三代“查行為”的核心技術(shù)體系，推出了態(tài)勢(shì)感知系統(tǒng)、威脅情報(bào)分析、安全運(yùn)營(yíng)平臺(tái)等一系列解決方案。

比如我們的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，已經(jīng)廣泛運(yùn)用到了公安、網(wǎng)信等行業(yè)監(jiān)管和央企、部委的運(yùn)營(yíng)監(jiān)管中，尤其在“十九大”、“兩會(huì)”等重大會(huì)議期間，被有關(guān)部門選用于網(wǎng)絡(luò)安全保衛(wèi)工作的應(yīng)急指揮技術(shù)系統(tǒng)。在去年爆發(fā)的5·12“永恒之藍(lán)”勒索病毒事件中，這個(gè)系統(tǒng)也為公安、網(wǎng)信等領(lǐng)導(dǎo)部門指揮全國(guó)應(yīng)急發(fā)揮了重要作用。”

記者：“謝謝齊總，非常感謝您今天能接受采訪。面臨日益嚴(yán)峻的網(wǎng)絡(luò)空間安全形勢(shì)，希望360的這套體系能引領(lǐng)未來信息革命的發(fā)展，提升我國(guó)網(wǎng)絡(luò)安全防護(hù)水平。”

齊向東，內(nèi)蒙古赤峰人，360公司創(chuàng)始人，360企業(yè)安全集團(tuán)董事長(zhǎng)，正高級(jí)工程師，長(zhǎng)期從事網(wǎng)絡(luò)空間安全領(lǐng)域的先進(jìn)理論、技術(shù)研究工作，牽頭開展了十余項(xiàng)國(guó)家、地市級(jí)網(wǎng)絡(luò)安全重大課題研究。他領(lǐng)導(dǎo)創(chuàng)造了360殺毒的整體技術(shù)體系，主導(dǎo)了云防護(hù)、人工智能殺毒引擎等突破性技術(shù)問世，為保衛(wèi)國(guó)家安全做出重大貢獻(xiàn)。 2015年，他帶領(lǐng)360企業(yè)安全集團(tuán)進(jìn)軍企業(yè)安全領(lǐng)域，建設(shè)了一支能打硬仗的隊(duì)伍，為我國(guó)網(wǎng)絡(luò)安全提供了重要支撐。他創(chuàng)新提出“數(shù)據(jù)驅(qū)動(dòng)安全”理念，在態(tài)勢(shì)感知、追蹤溯源等領(lǐng)域?qū)崿F(xiàn)突破，成為我國(guó)安全產(chǎn)業(yè)的引領(lǐng)者。

相繼榮獲“2010年中關(guān)村高端領(lǐng)軍人才”、“2012中國(guó)互聯(lián)網(wǎng)年度經(jīng)濟(jì)人物”、“2013北京市百名科技領(lǐng)軍人才”、“2013科技部創(chuàng)新人才”、“2013年全國(guó)關(guān)愛員工優(yōu)秀企業(yè)家”、“2014年北京市優(yōu)秀社會(huì)主義建設(shè)者”、“2014全國(guó)優(yōu)秀社會(huì)主義建設(shè)者”、“2014全國(guó)優(yōu)秀科技建設(shè)者”、”2015年北京市勞?！?、“2016年國(guó)家‘萬人計(jì)劃’科技創(chuàng)新領(lǐng)軍人才”等榮譽(yù)稱號(hào)。

目前是全國(guó)工商聯(lián)執(zhí)委、北京市工商聯(lián)副主席、北京市政協(xié)委員、北京市西城區(qū)人大代表、中國(guó)民營(yíng)科技實(shí)業(yè)家協(xié)會(huì)常務(wù)理事長(zhǎng)、中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)副理事長(zhǎng)，同時(shí)擔(dān)任大數(shù)據(jù)協(xié)同安全技術(shù)國(guó)家工程實(shí)驗(yàn)室主任，并受聘為國(guó)家計(jì)算機(jī)應(yīng)急處理中心反病毒聯(lián)盟專家等。