人工智能時代的網絡安全新發展
高端訪談2017年11月06日
分享
現任奇虎 360 科技有限公司首席隱私官,2013 中國互聯網安全大會主席。 2009 年 7 月加盟北京奇虎科技有限公司擔任副總裁,負責公司網站技術、技術運維、數據分析與挖掘、云查殺、云存儲等業務的技術團隊管理。
1992 年畢業于西安交通大學計算機科學與工程系計算機應用專業。2003 年 1 月至今先后任 3721 技術開發總監、雅虎中國技術開發總監、雅虎中國 CTO、阿里巴巴-雅虎中國技術研發部總監。還曾任 MySpace CTO 兼任 COO。
1、人工智能被認為是下一個科技浪潮,這次的 CNCC 大會也有很多相關議題。想請問 360 在人工智能和網絡安全的結合上,有哪些可以和大家分享的呢?
好的,360 其實很早就有這方面的探索,比如 2009 年年底的時候我們就做了一個引擎,叫 QVM ,就是用機器學習的方法來判定文件或可執行程序是不是包含木馬病毒。
因為當時每天都能收到成百上千萬的木馬樣本,我們通過機器學習的方法開發了這個技術,在 2009 年年底研發成功后,在 2010 年年底就取得了非常好使用反饋。那么這些年呢,我們也在繼續地利用人工智能技術,比如協議識別、網絡攻擊判定等等特定的方面,都有很好的應用出現。
但必須要說,在整個網絡安全的領域來說,人工智能相關技術的應用還是處于比較初級的階段。就大范圍的應用來說,機器學習已經是很多領域常用的方法,但它在網絡安全這塊,比如判定網絡攻擊的種類時,準確率還可以進一步提升。
2、傳統網絡安全方法的核心是對網絡劃分邊界,但現在往往是通過內網大數據系統直接遙控終端,如何應對網絡泛化的問題呢?
網絡泛化的確是個趨勢,以往內網外網等等都有個邊界。現在呢,舉個例子來說,汽車可能在各種場合接入各種 wifi。比如說特斯拉,它除了接入 wifi,在國內還能接入聯通的 3G / 4G 網絡。那么這本身可能就有多個網絡的接口,那么泛化的確是目前網絡安全要面對的一個新的挑戰,尤其是在萬物互聯的大背景下。
3、您剛剛提到了萬物互聯,我們都知道 IoT 是個機遇,越來越多的智能設備連接入網,但這客觀上也意味著擴大了潛在的攻擊點,這個矛盾怎么解決?
這個矛盾可以說是現在這個時代,網絡安全領域的最大的問題之一,因為這意味著現在的網絡安全防線變得越來越長。既然如此,其實也沒有一個簡單解。那么大數據、人工智能相關的技術的運用可能會成為被攻擊的點,或者攻擊手段。但是反過來說,這些新技術也能作為新的防御手段。
在防御思想里,過去一般是基于邊界、基于終端做防御。現在呢,我們的防御機制已經演變成一個“云-管-端”的體系。云,就是大數據,可以認為是這個防御體系的大腦;管,就是管道,也就是過去我們說的網絡邊界;端,就是端點。所以今天的防御思想就是“云-管-端”三者結合,首先是邊界、端點上收集的信息可以在邊界、端點上先進行簡單的本地處理和分析,然后更復雜的處理在云端進行。這種復雜的處理,舉個例子來說,基于行為的分析,流量數據中是否有特定的字符串之類的信息,那么我們根據歷史上的行為記錄,可以來進行分析判斷這次的操作是不是合理的。因為云有更強的計算能力和存儲能力,所以可以進行相關的演算,之后可以把結果告訴邊界和端點該不該處理、怎么執行具體操作等等。
4、那么在人工智能的時代,我們可以怎么做呢?
人工智能時代呢,我們主要是用相關的技術來集中處理數據,讓我們的各個終端以更加智能的方式來工作。
實際上,這個“云-管-端”的模式,就是利用了云的存儲計算能力,再應用一些人工智能的算法來處理。最近很熱的一個信息安全技術叫做 UEBA,就是用戶與實體的行為分析( User and Entity Behavior Analytics )。這其中涉及到用戶行為數據的收集、存儲和分析,這里就會用到人工智能的相關技術。
另一個新的防御思想叫做 EDR( End-point Detection Response)和 NDR(Network Detection Response)。
過去呢,我們一般就在網絡邊界上放個防火墻,希望把攻擊攔在防火墻外面。現在呢,網絡的防線越來越長,漏洞越來越多,要想繼續把攻擊阻擋在防火墻之外幾乎是不可能的。那怎么辦呢?我們現在的思路是,在攻擊發生時能不能及早地發現、檢測以及進行對應處理,因為在攻擊發生的一開始,并不一定會造成非常嚴重的破壞,如果我們可以及時地阻斷攻擊,我們也能進行有效的管控。
所以 DR( Detection Response )的思想從去年到今年有開始流行起來的,主要分為 EDR 和 NDR。EDR 是在終端進行檢測與響應,比如像殺毒軟件,過去只是簡單地殺病毒,現在實際上把功能擴大了,他能收集應用程序在用戶電腦中運行時的一些行為,在響應的過程中能對不合理的行為進行阻斷。NDR 是在網絡邊界上進行檢測與響應,比如現在常說的下一代防火墻在功能上已經不僅僅是包過濾,還要求可以檢測用戶通過網絡訪問到底干了什么,在網絡上進行檢測和響應。
那么 EDR 和 NDR 也是結合云的一種防御機制,用來應對目前防御戰線越來越長的現狀,由此可見,人們的防御思想也在不斷革新。
包括可信計算現在也開始大量地應用,主要是目前的應用成本降下來了,我看到已經有把可信計算做到芯片里的產品。原來沒有普遍使用的原因主要是成本太高,現在這個問題已經解決了,相信相關的問題也會逐步得到解決。
1992 年畢業于西安交通大學計算機科學與工程系計算機應用專業。2003 年 1 月至今先后任 3721 技術開發總監、雅虎中國技術開發總監、雅虎中國 CTO、阿里巴巴-雅虎中國技術研發部總監。還曾任 MySpace CTO 兼任 COO。
目前還擔任 CCF 副秘書長,YOCSEF 主席,及今年 CNCC 前奏 Tech Frontier & Rockstar 的主席。
1、人工智能被認為是下一個科技浪潮,這次的 CNCC 大會也有很多相關議題。想請問 360 在人工智能和網絡安全的結合上,有哪些可以和大家分享的呢?
好的,360 其實很早就有這方面的探索,比如 2009 年年底的時候我們就做了一個引擎,叫 QVM ,就是用機器學習的方法來判定文件或可執行程序是不是包含木馬病毒。
因為當時每天都能收到成百上千萬的木馬樣本,我們通過機器學習的方法開發了這個技術,在 2009 年年底研發成功后,在 2010 年年底就取得了非常好使用反饋。那么這些年呢,我們也在繼續地利用人工智能技術,比如協議識別、網絡攻擊判定等等特定的方面,都有很好的應用出現。
但必須要說,在整個網絡安全的領域來說,人工智能相關技術的應用還是處于比較初級的階段。就大范圍的應用來說,機器學習已經是很多領域常用的方法,但它在網絡安全這塊,比如判定網絡攻擊的種類時,準確率還可以進一步提升。
2、傳統網絡安全方法的核心是對網絡劃分邊界,但現在往往是通過內網大數據系統直接遙控終端,如何應對網絡泛化的問題呢?
網絡泛化的確是個趨勢,以往內網外網等等都有個邊界。現在呢,舉個例子來說,汽車可能在各種場合接入各種 wifi。比如說特斯拉,它除了接入 wifi,在國內還能接入聯通的 3G / 4G 網絡。那么這本身可能就有多個網絡的接口,那么泛化的確是目前網絡安全要面對的一個新的挑戰,尤其是在萬物互聯的大背景下。
3、您剛剛提到了萬物互聯,我們都知道 IoT 是個機遇,越來越多的智能設備連接入網,但這客觀上也意味著擴大了潛在的攻擊點,這個矛盾怎么解決?
這個矛盾可以說是現在這個時代,網絡安全領域的最大的問題之一,因為這意味著現在的網絡安全防線變得越來越長。既然如此,其實也沒有一個簡單解。那么大數據、人工智能相關的技術的運用可能會成為被攻擊的點,或者攻擊手段。但是反過來說,這些新技術也能作為新的防御手段。
在防御思想里,過去一般是基于邊界、基于終端做防御。現在呢,我們的防御機制已經演變成一個“云-管-端”的體系。云,就是大數據,可以認為是這個防御體系的大腦;管,就是管道,也就是過去我們說的網絡邊界;端,就是端點。所以今天的防御思想就是“云-管-端”三者結合,首先是邊界、端點上收集的信息可以在邊界、端點上先進行簡單的本地處理和分析,然后更復雜的處理在云端進行。這種復雜的處理,舉個例子來說,基于行為的分析,流量數據中是否有特定的字符串之類的信息,那么我們根據歷史上的行為記錄,可以來進行分析判斷這次的操作是不是合理的。因為云有更強的計算能力和存儲能力,所以可以進行相關的演算,之后可以把結果告訴邊界和端點該不該處理、怎么執行具體操作等等。
4、那么在人工智能的時代,我們可以怎么做呢?
人工智能時代呢,我們主要是用相關的技術來集中處理數據,讓我們的各個終端以更加智能的方式來工作。
實際上,這個“云-管-端”的模式,就是利用了云的存儲計算能力,再應用一些人工智能的算法來處理。最近很熱的一個信息安全技術叫做 UEBA,就是用戶與實體的行為分析( User and Entity Behavior Analytics )。這其中涉及到用戶行為數據的收集、存儲和分析,這里就會用到人工智能的相關技術。
另一個新的防御思想叫做 EDR( End-point Detection Response)和 NDR(Network Detection Response)。
過去呢,我們一般就在網絡邊界上放個防火墻,希望把攻擊攔在防火墻外面。現在呢,網絡的防線越來越長,漏洞越來越多,要想繼續把攻擊阻擋在防火墻之外幾乎是不可能的。那怎么辦呢?我們現在的思路是,在攻擊發生時能不能及早地發現、檢測以及進行對應處理,因為在攻擊發生的一開始,并不一定會造成非常嚴重的破壞,如果我們可以及時地阻斷攻擊,我們也能進行有效的管控。
所以 DR( Detection Response )的思想從去年到今年有開始流行起來的,主要分為 EDR 和 NDR。EDR 是在終端進行檢測與響應,比如像殺毒軟件,過去只是簡單地殺病毒,現在實際上把功能擴大了,他能收集應用程序在用戶電腦中運行時的一些行為,在響應的過程中能對不合理的行為進行阻斷。NDR 是在網絡邊界上進行檢測與響應,比如現在常說的下一代防火墻在功能上已經不僅僅是包過濾,還要求可以檢測用戶通過網絡訪問到底干了什么,在網絡上進行檢測和響應。
那么 EDR 和 NDR 也是結合云的一種防御機制,用來應對目前防御戰線越來越長的現狀,由此可見,人們的防御思想也在不斷革新。
包括可信計算現在也開始大量地應用,主要是目前的應用成本降下來了,我看到已經有把可信計算做到芯片里的產品。原來沒有普遍使用的原因主要是成本太高,現在這個問題已經解決了,相信相關的問題也會逐步得到解決。
一周排行榜
熱門活動
工具推薦
-
工程設計計算器
-
河姆渡方案館
