http://p3.qhimg.com/t015153bb8f1cfa0263.png

前言

忽如一夜春风来!本周有一个王健林的采访视频刷爆了朋友圈,无独有偶,他谈小目标的话音还未落,同一天360网神集团总裁吴云坤,也定了一个小目标,一个能达到的小目标:“让网络安全具有智能”!

其实提起“智能”,大家肯定不会陌生,谷歌人工智能机器人AlphaGo大胜韩国棋手李世石的爆炸性新闻,你一定还记忆犹新。但是你是否听说过网络安全的智能呢?网络安全如何运用智能?网络安全具有智能,可以怎样影响我们的生活?8月29日,业界一流安全公司——360网神举办的“协同安全理念及产品创新媒体会”上,《安全智库》作为受邀媒体,有幸采访到其集团总裁吴云坤,近距离听他谈自己定的小目标。

PS:《安全智库》先后与吴总相约数次,奈何吴总工作繁忙,突发性事情不断,一直没能采访到。今日终于得见,暗爽!但又暗自忖度,吴总作为安全领域的顶级专家,负责整个360网神集团业务,办事严谨。想必其是一个威严、不苟言笑的技术大咖。然见面后,吴总笑容可掬,有问必答,还不忘照顾我们茶水、座席,俨然一个“邻居大叔”。

吴云坤,曾任国内知名安全公司副总裁,其一向以对网络安全独到的前瞻性视角,在业内获得广泛赞誉。在2015年互联网安全大会(ISC)分析论坛中,就做过题为“从微观到宏观—大数据如何改变安全”的演讲而广受好评。

https://static.jiayezz.com/e2/a184e7e684ba284733f7fecec426e7

网络安全目标

Intelligence,具有几种含义,在国外还有威胁情报的意思,这里是指智能的含义。从智能角度而言,由于智能跟数据处理技术非常相关,所以过去大家有个误区,只要用到大数据就有了智能,这其实不对。因为大数据只是存数据的地方,数据处理技术才是关键,现在把数据处理技术的智能分为三个类型。


第一类智能

解决关联分析的可视化问题,数据的关联分析非常重要,举个简单例子,我们曾经帮别人找间谍(这是个涉密话题),当发现他乘坐了一个航班,就研究他一个月之内乘坐过的所有航班,把这些订票号都找出来,我们想知道跟他具有同样订票号的某一个人是谁。比如一张订票号订了两张机票,一个给你,一个给我,这样可以找出一堆可能跟他相关的人员,如果确定他有问题,我们就再进一步看他们的住址信息有没有关联关系。

再比如通过护照号各种各样关系查找,这是典型的关联分析能力,但这种关联分析能力如果数据在excel里就疯了,所以关联分析往往跟可视化分析非常相关,这种关联分析叫可视化分析技术,可视化分析解决关联分析问题的可视化,是很重要的技术。现在这个领域中经常出现叫可视化分析技术的大会,或者学术论坛,还有参加这类竞赛做完的很多可视化分析的东西,很多用于找到谁是绑架犯,谁是抢劫犯等等。


第二类智能

解决识别问题,识别问题一般采用机器学习,过去用SVM (Support Vector Machine,支持向量机)是传统的机器学习,现在用深度学习去做,有很多种方式。其实识别人脸和识别恶意软件,原理非常像,都是通过训练的方式,但深度学习不一定要有前期的训练集,可能更多想做聚类分类的内容。

我们经常提到机器学习方法中,包括过去的机器学习与现在的深度学习,这是第二类智慧,用于个类识别,就是判黑判白,比如我们来判断是好人,还是坏人;是好样本,还是坏样本;是好域名,还是坏域名。解决各类识别问题,包括样本识别问题、域名识别问题、IP识别问题、邮箱识别问题等等。


第三类智能

解决的问题是关联问题,上面说可视化分析解决关联问题,机器学习也能解决关联问题,举个简单问题,我在公司里走一天,就知道哪些员工是同样的部门,但我什么都没做,这是因为员工的访问行为可以聚类、分类。以前我们做不到,现在的确可以做到这些,比如发邮件,把所有邮件关系拓扑拿出来,用机器学习,一下就可以找出来,这不是通过可视化分析找出来,是通过机器学习。再比如转帐,转帐网络数据一看,谁是中心转帐人,等等,这些数据都可以算出来,都是用机器学习解决的关联问题,这是机器学习常用的一些做法。

把以上这些技术用在一起,应用领域会非常多。


如何体现智能

一说到识别,人脸可以识别,样本也可以识别,这些在安全里都可以用到,我们常见的技术,可视化分析和机器学习技术解决的是关联的问题,还有对象判定问题,这是我们常见的安全做的一些事情。比如像威胁情报技术,就是典型的用关联技术和识别以后的结果。

假如一个威胁情报是美国打我们的,那做的第一步是头源性分析,找出跟这个情报相关的所有样本。机器学习或者可视化关联分析都可以解决这样的关联性问题,找出一堆信息。然后进入第二步是识别,这些样本到底是好的还是坏的,就开始用机器学习做,进入识别过程。在安全行业里研究的,基本就是用显微镜去看一个东西进行识别,要么就是用望远镜研究关联关系。显微镜,就是看单体的对象,比如看一个人好和坏。

“那么智能怎么体现出来?”吴云坤讲到这里,突然发问,这一问,像针对在场人员,又似乎是在问自己。他环视会议室一周,顿了一下,接着说:“在安全里面常见的就是用显微镜看个体,再用望远镜看群体,这里会产生很多决策链条的问题,如果把这两件事情做好,剩下要解决的问题反倒简单了。以前没有机器学习、没有可视化分析的时候,研究所有的东西也基本考虑单体、个体问题和群体问题,但是做的会非常痛苦,因为第一数据量少,第二没有机器学习与可视化分析。”


总结

拨开云雾见天日,守得云开见月明!吴云坤作为网络安全业界的老兵,对于行业的理解,自然也做到了先人一步。他拨开网络安全纷繁复杂的表象,感慨说:“其实网络安全本质从没变过,跟破案子一样,永远是在研究嫌疑犯与跟他周围的社交关系,网络安全永远也是这样。”

文章原文链接:https://www.anquanke.com/post/id/84492