网络安全技术创新进入第三代——访360企业安全集团董事长齐向东



网络安全技术创新进入第三代——访360企业安全集团董事长齐向东

记者：“齐总您好，很高兴见到您，作为中国互联网安全的领军人物，请问您如何看待现在的网络安全环境？”

齐向东：“自互联网出现时起，就伴随着网络攻击。总结互联网过去三十多年的发展，我把网络攻击的浪潮分为了三个阶段。

第一次浪潮从1985年开始，个人电脑PC的普及，推动了信息化和工业自动化，引发网络攻击的浪潮。比如1988年，我国出现的第一例电脑病毒“小球病毒”，还有德国的“救护车病毒”。这些病毒是早期病毒的典型代表，但并没有那么大的伤害力和危害性，反而更像是搞笑的恶作剧。

第二次浪潮从2000年开始，这个时候互联网逐渐普及，攻击网民带来切实利益，引发第二次网络攻击浪潮。这次攻击浪潮中，流氓软件成灾，有用户的电脑中了十几款流氓软件，开机就要半个小时，开机后鼠标还不能正常工作。网络欺诈也开始流行，不法分子通过网络攻击掌握了大量网民的真实信息，对他们实施精准诈骗，成功率很高。

第三次浪潮从2015年开始，一直持续到现在，这个时期的网络攻击和以往完全不同。以前的网络攻击是偷隐私、偷钱财，现在主要是针对关键信息基础设施发起攻击。我总结了第三次网络攻击浪潮的三大特征：

第一，关键信息基础设施全面网络化，网络战可能取代传统战争。关键信息基础设施是经济社会运行的神经中枢，一旦被攻击，就可能导致交通中断、金融紊乱、电力瘫痪等问题，带来灾难性的后果；第二，网络攻击成为企业竞争手段。一些行业竞争者为了利益不择手段，通过DDoS攻击妨碍竞争对手的业务活动，打击对手的声誉，从中获取竞争优势；第三，网络攻击成为政治竞争的重要手段。2016年发生的希拉里“邮件门”是一个代表性事件，是导致希拉里由盛转衰的拐点，直接影响了2016年美国大选结果。

随着第四次工业革命的到来，人类社会步入人工智能时代。工业互联网、产业互联网、万物互联网高速发展，网络安全不仅仅关系到信息安全、财产安全，更关系到国家安全、社会安全、人身安全。”

记者：“谢谢齐总，让我们系统地理解了现在的网络安全环境。那么在目前的网络安全形势下，我们应该如何应对呢？”

齐向东：我们认为，网络安全防御现在必须进入到“查行为”的第三代核心技术体系。为什么叫第三代呢？因为在网络攻击的三次浪潮中，也随之诞生了三代网络安全技术。

第一代网络安全技术是“查黑”。网络攻击的第一次浪潮中，木马病毒数量有限、技术单一，所以主要是基于病毒库来进行查杀，也就是俗称的“黑名单”机制。进入网络攻击的第二次浪潮后，第一代网络安全技术变得力不从心。主要原因是木马病毒开始呈指数级爆发，样本海量化，第一代网络安全技术效率低下的弊端凸显，并且病毒还在不断进化，“黑名单”机制逐渐失效。

所以，我们首次把互联网技术应用于安全领域，创新推出了以“查白”为核心的第二代网络安全技术。我们应用了搜索引擎、云技术、人工智能等互联网技术，解决了白名单样本收集、样本快速识别、海量病毒分析等问题。这一代创新技术很好地解决了第二次网络攻击浪潮中的安全问题。微软每年发布的全球安全报告中，中国连续五年排名第一，恶意软件感染率仅为全球平均的六分之一。

现在，网络攻击进入第三次浪潮，各种已知、未知的漏洞防不胜防，好比我们守着正门，但是黑客采用其他方法走侧门。在这样的背景下，我们创新了第三代网络安全技术。

从2015年开始，我们就判断网络安全技术进入一个创新颠覆期。传统的围墙式防护体系过时了，新的安全体系正在成长中。我们在2015年到2017年连续三年的ISC大会上，提出了“数据驱动安全”、“协同联动，共建安全+命运共同体”和“人是安全的尺度”，强调数据、威胁情报和人的重要性。我们认为，新安全体系应该是数据分析驱动+威胁情报+网络安全人才。

为了推动新安全理念能得到广泛普及，我从去年开始，在多个场合反复提到网络安全的“四个假设”：假设系统一定有未被发现的漏洞，一定有已发现但仍未修补的漏洞，系统已经被渗透，和内部人员不可靠。

这四个假设充分表明，以往靠“黑名单”、“白名单”的安全防御手段都失效了。网络安全技术不能再绝对信任白名单，现在必须进入到第三代。

第三代网络安全技术是“查行为”。以尽可能全面地采集大数据为基础，以机器学习、人工智能的行为分析为核心，以威胁检测和应急响应为关键。“查行为”主要分为三个方面的内容：第一，通过威胁情报，确定攻击行为；第二，通过机器学习，建立行为基线；第三，对超出基线的可疑行为，进行响应。”

记者：“能和我们具体阐述下第三代网络安全技术吗？”

齐向东：“第三代网络安全技术的关键是威胁检测与应急响应。在进行威胁检测时，首先要尽可能全面地采集大数据，“以空间换时间”。网络渗透和攻击都会留下痕迹，在无法判断哪些行为是攻击的情况下，尽量多的对行为和数据进行记录。数据掌握的越多，检测的信息就越全，发现攻击的速度就会越快，这就是“以空间换时间”。

第二，用机器学习、人工智能的行为分析，建立三条基线。如果通过大数据获取到一个人在相当长一段时间的数据，就可以给这个人设立行为基线。同时，把曾经出现在黑名单上的电脑、IP地址、用户等数据，建立一条黑基线，把从来没有出现在黑名单的行为，再建一条白基线。通过建立这三条基线，我们就能实现最快速的威胁检测、最准确地告警和最及时地采取措施。这套体系很复杂，人脑肯定无法计算。所以，必须以机器学习、人工智能的行为分析为核心。

第三，以威胁情报为重要支撑，准确判定状态。360利用机器学习、人工智能的行为分析，从每天新增的海量数据资源中，形成了超过百份的威胁情报。这些情报能准确提供状态判定，用C&C域名匹配流量数据，确定失陷主机。还能损失评估，用后门程序同源样本，查更多失陷主机。同时，还能支持追踪溯源，比如从源头鱼叉邮件，找到更多中招邮箱和受感染设备。

在进行应急响应时，一定要以人为核心，这也是第三代网络安全技术的最终落脚点。”

记者：“去年的中国互联网安全大会（ISC）的主题就是“人是安全的尺度”，您刚刚又提到，人是第三代网络安全技术的最终落脚点，能具体谈谈您的理解吗？”

齐向东：“大数据、人工智能、机器学习、威胁情报等技术要素在服务威胁情报与应急响应时，最终都离不开人。第一，再聪明的机器，都无法替代人。机器人很热，人机大战也有很多传奇，但网络安全对抗是“不走寻常路”的智慧对抗。机器人的特长是对人类套路的模仿，靠超大计算能力。网络安全人才是特殊人才，是实力和计谋的融合。在近几年的RSA大会上，都有公司展示用人工智能识别网络攻击的技术，但还处于非常初级的水平，专家普遍认为它在未来也不会超过人类。

第二，人+机器，能极大提高战斗力。未来，漏洞数量会越来越多，危害越来越大。如果单纯靠人工、高手的手工作业，找出网络攻击就像大海捞针，是办不到的。所以，只能借助大数据、人工智能，扫描、辨识和阻断网络攻击的让机器做，而应对0Day、1Day等未知漏洞，或者其他新的攻击方法，需要用“人+机器”的方法，并且人起到关键性作用。

第三，机器辅助运营，需要更多干“脏活、累活”的人。安全运营不仅需要高大上的安全分析，更需要打补丁、配置安全策略、做基础架构、被动防御等干“脏活累活”的人。数据显示，我国最近三年培养的安全专业人才仅有3万人，不足70万需求的3%，预计到2020年，需求量将达到140万人。

360一直非常重视网络安全人才培养。我们在四川绵阳建设了网络安全人才培养绵阳基地，还和一些校企组建了360网络空间安全学院，希望能尽快填补这个缺口。”

记者：“目前，第三代网络安全的核心技术体系已经发展成熟了吗？能谈谈360在这方面的布局吗？”

齐向东：“经过三年努力，360目前已建成了比较完备的第三代“查行为”的核心技术体系，推出了态势感知系统、威胁情报分析、安全运营平台等一系列解决方案。

比如我们的网络安全态势感知系统，已经广泛运用到了公安、网信等行业监管和央企、部委的运营监管中，尤其在“十九大”、“两会”等重大会议期间，被有关部门选用于网络安全保卫工作的应急指挥技术系统。在去年爆发的5·12“永恒之蓝”勒索病毒事件中，这个系统也为公安、网信等领导部门指挥全国应急发挥了重要作用。”

记者：“谢谢齐总，非常感谢您今天能接受采访。面临日益严峻的网络空间安全形势，希望360的这套体系能引领未来信息革命的发展，提升我国网络安全防护水平。”

齐向东，内蒙古赤峰人，360公司创始人，360企业安全集团董事长，正高级工程师，长期从事网络空间安全领域的先进理论、技术研究工作，牵头开展了十余项国家、地市级网络安全重大课题研究。他领导创造了360杀毒的整体技术体系，主导了云防护、人工智能杀毒引擎等突破性技术问世，为保卫国家安全做出重大贡献。 2015年，他带领360企业安全集团进军企业安全领域，建设了一支能打硬仗的队伍，为我国网络安全提供了重要支撑。他创新提出“数据驱动安全”理念，在态势感知、追踪溯源等领域实现突破，成为我国安全产业的引领者。

相继荣获“2010年中关村高端领军人才”、“2012中国互联网年度经济人物”、“2013北京市百名科技领军人才”、“2013科技部创新人才”、“2013年全国关爱员工优秀企业家”、“2014年北京市优秀社会主义建设者”、“2014全国优秀社会主义建设者”、“2014全国优秀科技建设者”、”2015年北京市劳模”、“2016年国家‘万人计划’科技创新领军人才”等荣誉称号。

目前是全国工商联执委、北京市工商联副主席、北京市政协委员、北京市西城区人大代表、中国民营科技实业家协会常务理事长、中国网络空间安全协会副理事长，同时担任大数据协同安全技术国家工程实验室主任，并受聘为国家计算机应急处理中心反病毒联盟专家等。