CNCC 人物专访 谭晓生（下）| 人工智能时代的网络安全新发展

本篇文章4270字，读完约11分钟

雷锋。这篇文章是由雷锋专访编辑的。搜索“雷锋”。com "公共号码)。未经允许禁止转载！全文分为两个部分。第一部分是“360首席隐私官谈大数据与个人隐私的博弈”，下一部分是“人工智能时代网络安全的新发展”

他目前是奇虎360科技有限公司的首席隐私官，也是2013年中国互联网安全会议的主席。2009年7月，他加入北京奇虎科技有限公司担任副总裁，负责公司网站技术的技术团队管理、技术运维、数据分析与挖掘、云杀、云存储等业务。

1992年毕业于Xi交通大学计算机科学与工程系。曾在Xi交通大学凯特新技术公司、Xi安博通信息有限公司、北京大学方正电子有限公司信息系统工程分公司、深圳现代计算机有限公司、深圳浩鑫科技有限公司工作；曾担任程序员、总经理技术助理、技术支持工程师、系统集成部副总经理、R&D中心主任、副总工程师、技术副总裁，参与汉字操作系统、图书储运管理信息系统、邮政综合网络项目经理、电信计费帐务系统、深圳高交会信息系统、移动通信网络管理系统的设计、开发和项目管理；自2003年1月起，他先后担任3721技术开发总监、雅虎中国技术开发总监、雅虎中国首席技术官和阿里巴巴-雅虎中国技术R&D部总监。他还担任过MySpace的首席技术官和首席运营官。

以下是编辑后的采访记录:

1.人工智能被认为是下一波科学技术，在这次会议上有许多相关的话题。我想问360在人工智能和网络安全的结合上能和你分享什么。

360实际上很早就探索了这一方面。例如，在2009年底，我们制作了一个名为qvm的引擎，它使用机器学习来确定文件或可执行程序是否包含木马病毒。

因为当时每天都收到数百万个木马样本，所以我们通过机器学习的方式开发了这项技术。经过2009年底的成功研发，我们在2010年底得到了非常好的反馈。这些年来，我们继续使用人工智能技术，如协议识别、网络攻击判断等具体方面，它们都有很好的应用。

但是，必须说，在整个网络安全领域，人工智能相关技术的应用还处于相对早期的阶段。对于广泛的应用，机器学习已经成为许多领域中常用的方法，但是在网络安全方面，如判断网络攻击的类型，机器学习的准确性还可以进一步提高。

2.传统网络安全方法的核心是划分网络边界，但现在往往是通过内部网大数据系统直接远程控制终端。如何处理网络泛化问题？

网络泛化的确是一种趋势。过去，内联网和外联网之间是有界限的。例如，现在汽车可以在各种场合接入各种无线网络。例如，特斯拉可以接入中国联通的3g/4g网络以及wifi。那么可能会有多个网络接口，所以泛化的确是目前网络安全面临的一个新挑战，尤其是在物联网的背景下。

3.你刚才提到了物联网。我们都知道物联网是一个机会。越来越多的智能设备连接到网络，但这客观上意味着潜在攻击点的扩大。如何解决这个矛盾？

这一矛盾可以说是这个时代网络安全领域最大的问题之一，因为它意味着网络安全的防线越来越长。在这种情况下，实际上没有简单的解决方案。那么大数据和人工智能相关技术的应用可能成为攻击点或攻击手段。但恰恰相反，这些新技术也可以用作新的防御手段。

在防御思想中，过去，防御一般是以边界和终点为基础的。现在，我们的防御机制已经演变成一个“云管理端”系统。云是大数据，可以被认为是这个防御系统的大脑；管理是管道，也就是我们常说的网络边界；结束，是终点。因此，今天的防御理念是“云管理端”的结合。首先，可以在本地处理和分析在边界和端点收集的信息，然后可以在云中进行更复杂的处理。例如，这种复杂的处理是基于行为分析的，并且在交通数据中是否存在诸如特定字符串之类的信息，然后我们可以根据历史行为记录来分析和判断操作是否合理。因为云具有更强的计算能力和存储能力，它可以执行相关的计算，然后告诉边界和端点是否应该处理它，如何执行特定的操作，等等。

4.在人工智能时代，我们能做什么？

在人工智能时代，我们主要使用相关技术来集中处理数据，以便我们的终端能够以更智能的方式工作。

事实上，这种“云管理端”模型利用了云的存储和计算能力，然后应用一些人工智能算法来处理它。最近，一种热门的信息安全技术被称为ueba，即用户和实体行为分析。这涉及到用户行为数据的收集、存储和分析，这里将使用人工智能的相关技术。

另一种新的防御思想叫做edr(端点检测响应)和ndr(网络检测响应)。

过去，我们通常在网络边界设置防火墙，希望能阻挡防火墙外的攻击。现在，网络的防线越来越长，漏洞越来越多。将攻击挡在防火墙之外几乎是不可能的。那我们该怎么办？我们现在考虑的是我们是否能在攻击发生时尽快发现、发现和处理它，因为在攻击开始时，它不一定会造成非常严重的损害。如果我们能及时阻止攻击，我们也能进行有效的控制。因此，从去年到今年，dr(检测响应)的概念开始流行，主要分为edr和ndr。Edr在终端进行检测和响应，如反病毒软件。过去，它只是简单地杀死病毒，但现在它的功能实际上已经扩展了。EDR可以收集用户计算机上运行的应用程序的一些行为，并在响应过程中阻止不合理的行为。Ndr是在网络边界进行检测和响应。例如，人们常说，下一代防火墙的功能不仅仅是包过滤，还需要能够检测用户通过网络访问做了什么，并在网络上进行检测和响应。

edr和ndr也是一种结合云的防御机制，用于应对防御战线越来越长的现状。因此，人们的国防观念在不断创新。

包括可信计算在内，现在有大量的应用程序，主要是因为目前的应用程序成本已经下降，我看到有一些产品可以将可信计算变成芯片。过去没有被广泛使用的人民币，主要是因为它的高成本。现在这个问题已经解决了，我相信相关的问题也会逐步解决。

扩展知识(从网络收集的数据):

1.人工智能引擎

这是奇虎支持向量机的缩写。这是360自主开发的第三代发动机(在中国拥有自主知识产权的发动机)。它采用人工智能算法——支持向量机，具有“自学习、自进化”的能力。它可以免疫90%以上的带壳病毒和变异病毒，而无需频繁升级特征数据库。它不仅带来了查杀能力，而且从根本上克服了前两代杀毒引擎不升级病毒数据库就无法查杀新病毒的技术难题。它是世界上第一个。

简而言之，360人工智能引擎就是从大量的病毒样本数据中总结出一套智能算法，并自行发现和学习病毒的变化规律。它不需要频繁更新特征数据库，分析病毒静态特征和病毒行为，但病毒检测率远远超过第一代和第二代引擎之和，查杀速度至少是传统引擎的两倍。

“四核”360杀毒的优势在于各种安全技术的结合，包括客户端和云安全的结合、自主创新和国外杀毒技术的结合、特征码识别和人工智能算法的结合、hips(主动防御技术)和四引擎杀伤的结合等。

2.“云-管端”

云指的是面向it的业务，主要矛盾是对海量信息的处理。因此，新一代数据中心和新一代业务平台成为关键。管理指的是基于ip的网络。主要矛盾是海量信息的传输。运营商需要建立基于allip技术、hspa/lte、fttx、ip+光和ng-cdn的新一代网络基础设施。终端是指终端的智能化，关键是信息的多媒体呈现。只有多样化的终端才能支持大规模的多媒体应用和工业应用。只有实现“云管理端”信息服务的新架构，才能实现运营转型。

简单地说，云就是云服务，终端就是智能终端，而管理就是一种连接“云”和“终端”的设备。“云管理端”是决定新一代业务平台和应用、大容量智能信息管道和多彩智能终端的发展方针。

3.用户和实体行为分析(ueba)

用户和实体行为分析(ueba)可以实现广泛的安全分析，就像安全信息和事件管理(siem)可以实现广泛的安全监控一样。Ueba围绕用户行为提供以用户为中心的分析，但也围绕其他端点、网络和应用程序。跨不同实体的相关性分析结果更加准确，这使得威胁检测更加有效。

一旦攻击者在企业系统中站稳脚跟，他们通常会不受阻碍地横向(“东/西”)移动到其他系统。为了解决这一问题，对面向中东/西方的企业网络传输提出了“微细分”(更高粒度细分)的新要求。此外，还有许多解决方案可以提供通信流量的可见性和监控。可视化工具可以让运营和安全管理员了解交通模式，设置细分策略和监控偏差。最后，许多供应商提供工作负载之间网络传输的可选加密(通常是端到端ipsec通道)，以保护动态数据并提供工作负载之间的加密隔离。

4、edr(终点检测响应)

端点检测和响应(edr)解决方案市场正在迅速扩大，以满足市场对更高效端点保护的需求，以及检测潜在漏洞和更快速响应的迫切需求。Edr工具通常会记录大量端点和网络事件，并将信息保存在本地端点或中央数据库中。然后，利用已知攻击指标(ioc)数据库、行为分析和机器学习技术不断搜索数据，在早期阶段检测漏洞(包括内部威胁)，并对这些攻击做出快速响应。

5.可信计算

可信计算是由硬件安全模块支持的可信计算平台，广泛应用于计算和通信系统中，以提高系统的整体安全性。可信计算包括五个关键的技术概念，这是一个完整的可信系统所必需的，它将符合tcg(可信计算组)规范。

背书密钥

背书密钥是一个2048位的rsa公钥和私钥对，它是在芯片出厂时随机生成的，不能更改。该私钥始终在芯片中，而公钥用于验证和加密发送到芯片的敏感数据

安全输入和输出安全输入和输出

安全输入/输出指的是计算机用户和他们认为与之交互的软件之间受保护的路径。目前，计算机系统上的恶意软件有多种方式拦截用户和软件进程之间传输的数据。比如键盘监控和屏幕截图。

内存屏蔽

存储屏蔽扩展了一般的存储保护技术，并提供了一个完全独立的存储区域。例如，包含密钥的位置。甚至操作系统本身也没有完全的访问权限来屏蔽和存储，所以即使入侵者控制了操作系统信息，他们也是安全的。

密封储存

密封存储通过将私有信息与所用软件和硬件平台的配置信息绑定在一起来保护私有信息。这意味着只能在相同的软件和硬件组合环境中读取数据。例如，如果用户在他们的计算机上保存了一首歌曲，而他们的计算机没有播放该歌曲的许可证，他们就不能播放该歌曲。

远程证明远程认证

远程身份验证允许授权方感知用户计算机上的更改。例如，软件公司可以避免用户干扰他们的软件，以避免技术保护措施。它允许硬件生成当前软件的证书。然后，计算机将此证书发送给远程被许可方，以表明软件公司的软件没有被干扰(尝试破解)。

否:10月21日，谭先生将出席2016中国计算机大会安全分论坛。从20日至22日，我们将赠送一张价值2300元人民币的非ccf会员券，届时包括谭先生在内的15位嘉宾将出席精彩的特别邀请报告、30场论坛和50场活动(晚餐除外)。请扫描下面的二维码，在公共号码的背景下发送“cncc”注册。我们将每天从申请者中挑选一个来发票~ ~

如果你想参加，你也可以点击cncc会议注册链接进行注册~ ~

推荐阅读:

中国网通人物(一)|360首席隐私官谭谈大数据与个人隐私的博弈