CNCC 人物专访 谭晓生（下）| 人工智能时代的网络安全新发展

雷锋网按：本文由雷锋网(搜索“雷锋网”公众号关注)独家采访整理而成，未经许可严禁转载！全文分为上下两篇，上篇《360 首席隐私官谈大数据与个人隐私的博弈》，下篇《人工智能时代的网络安全新发展》

现任奇虎 360 科技有限公司首席隐私官，2013 中国互联网安全大会主席。 2009 年 7 月加盟北京奇虎科技有限公司担任副总裁，负责公司网站技术、技术运维、数据分析与挖掘、云查杀、云存储等业务的技术团队管理。

1992 年毕业于西安交通大学计算机科学与工程系计算机应用专业。先后工作于西安交通大学凯特新技术公司，西安博通资讯有限责任公司，北京北大方正电子有限公司信息系统工程分公司，深圳市现代计算机有限公司，深圳市豪信科技有限公司；先后任程序员、总经理技术助理、技术支持工程师、系统集成事业部副总经理、研发中心主任，副总工程师，技术副总裁等职务，参与汉字操作系统、图书储运管理信息系统、邮政综合网项目经理、电信计费营帐系统系统、深圳高交会信息系统、移动通信网管系统的设计、开发、项目管理；2003 年 1 月至今先后任 3721 技术开发总监、雅虎中国技术开发总监、雅虎中国 CTO、阿里巴巴-雅虎中国技术研发部总监。还曾任MySpace CTO 兼任 COO。

以下为编辑整理后的采访实录：

1、人工智能被认为是下一个科技浪潮，这次的 CNCC 大会也有很多相关议题。想请问 360 在人工智能和网络安全的结合上，有哪些可以和大家分享的呢？

好的，360 其实很早就有这方面的探索，比如 2009 年年底的时候我们就做了一个引擎，叫 QVM ，就是用机器学习的方法来判定文件或可执行程序是不是包含木马病毒。

因为当时每天都能收到成百上千万的木马样本，我们通过机器学习的方法开发了这个技术，在 2009 年年底研发成功后，在 2010 年年底就取得了非常好使用反馈。那么这些年呢，我们也在继续地利用人工智能技术，比如协议识别、网络攻击判定等等特定的方面，都有很好的应用出现。

但必须要说，在整个网络安全的领域来说，人工智能相关技术的应用还是处于比较初级的阶段。就大范围的应用来说，机器学习已经是很多领域常用的方法，但它在网络安全这块，比如判定网络攻击的种类时，准确率还可以进一步提升。

2、传统网络安全方法的核心是对网络划分边界，但现在往往是通过内网大数据系统直接遥控终端，如何应对网络泛化的问题呢？

网络泛化的确是个趋势，以往内网外网等等都有个边界。现在呢，举个例子来说，汽车可能在各种场合接入各种 wifi。比如说特斯拉，它除了接入 wifi，在国内还能接入联通的 3G / 4G 网络。那么这本身可能就有多个网络的接口，那么泛化的确是目前网络安全要面对的一个新的挑战，尤其是在万物互联的大背景下。

3、您刚刚提到了万物互联，我们都知道 IoT 是个机遇，越来越多的智能设备连接入网，但这客观上也意味着扩大了潜在的攻击点，这个矛盾怎么解决？

这个矛盾可以说是现在这个时代，网络安全领域的最大的问题之一，因为这意味着现在的网络安全防线变得越来越长。既然如此，其实也没有一个简单解。那么大数据、人工智能相关的技术的运用可能会成为被攻击的点，或者攻击手段。但是反过来说，这些新技术也能作为新的防御手段。

在防御思想里，过去一般是基于边界、基于终端做防御。现在呢，我们的防御机制已经演变成一个“云-管-端”的体系。云，就是大数据，可以认为是这个防御体系的大脑；管，就是管道，也就是过去我们说的网络边界；端，就是端点。所以今天的防御思想就是“云-管-端”三者结合，首先是边界、端点上收集的信息可以在边界、端点上先进行简单的本地处理和分析，然后更复杂的处理在云端进行。这种复杂的处理，举个例子来说，基于行为的分析，流量数据中是否有特定的字符串之类的信息，那么我们根据历史上的行为记录，可以来进行分析判断这次的操作是不是合理的。因为云有更强的计算能力和存储能力，所以可以进行相关的演算，之后可以把结果告诉边界和端点该不该处理、怎么执行具体操作等等。

4、那么在人工智能的时代，我们可以怎么做呢？

人工智能时代呢，我们主要是用相关的技术来集中处理数据，让我们的各个终端以更加智能的方式来工作。

实际上，这个“云-管-端”的模式，就是利用了云的存储计算能力，再应用一些人工智能的算法来处理。最近很热的一个信息安全技术叫做 UEBA，就是用户与实体的行为分析（ User and Entity Behavior Analytics ）。这其中涉及到用户行为数据的收集、存储和分析，这里就会用到人工智能的相关技术。

另一个新的防御思想叫做 EDR（ End-point Detection Response）和 NDR（Network Detection Response）。

过去呢，我们一般就在网络边界上放个防火墙，希望把攻击拦在防火墙外面。现在呢，网络的防线越来越长，漏洞越来越多，要想继续把攻击阻挡在防火墙之外几乎是不可能的。那怎么办呢？我们现在的思路是，在攻击发生时能不能及早地发现、检测以及进行对应处理，因为在攻击发生的一开始，并不一定会造成非常严重的破坏，如果我们可以及时地阻断攻击，我们也能进行有效的管控。所以 DR（Detection Response ）的思想从去年到今年有开始流行起来的，主要分为 EDR 和 NDR。EDR 是在终端进行检测与响应，比如像杀毒软件，过去只是简单地杀病毒，现在实际上把功能扩大了，他能收集应用程序在用户电脑中运行时的一些行为，在响应的过程中能对不合理的行为进行阻断。NDR 是在网络边界上进行检测与响应，比如现在常说的下一代防火墙在功能上已经不仅仅是包过滤，还要求可以检测用户通过网络访问到底干了什么，在网络上进行检测和响应。

那么 EDR 和 NDR 也是结合云的一种防御机制，用来应对目前防御战线越来越长的现状，由此可见，人们的防御思想也在不断革新。

包括可信计算现在也是大量的应用，主要是目前的应用成本降下来了，我看到已经有把可信计算做到芯片里的产品。原来没有普遍使用的元婴主要是成本太高，现在这个问题已经解决了，相信相关的问题也会逐步得到解决。

拓展知识（资料搜集自网络）：

1、QVM 人工智能引擎

这是 Qihoo Support Vector Machine（奇虎支持向量机）的缩写。是 360 完全自主研发的第三代引擎（具有中国的自主知识产权的引擎）。它采用人工智能算法——支持向量机，具备“自学习、自进化”能力，无需频繁升级特征库，就能免疫 90% 以上的加壳和变种病毒，不但查杀能力遥遥领先，而且从根本上攻克了前两代杀毒引擎“不升级病毒库就杀不了新病毒”的技术难题，在全球范围内属于首创。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!