360谭晓生：安全大脑演绎上帝视角

在生产力提高，成本降低的“诱惑”下，没有人能拒绝一个万物互联的当下和未来，即便我们清楚地知道它的危险所在。

“世界上只有两种网络，一种是已经被攻破的，另一种是还不知道自己被攻破的。”2015年中国互联网安全大会（ISC 2015）上，曾经的美军网络司令部司令基斯·亚历山大言之凿凿。

360集团技术总裁兼首席安全官 谭晓生

现在，伴随着云计算、移动互联与物联网等技术的演进，网络空间的安全威胁更已今非昔比——它已不是偷盗网络资产的间接伤害。穿透网络空间和物理世界的边界，造成现实世界的物理损害，在今天都已不是耸人听闻的谈资。

“关键基础设施、工业系统、智能汽车、数以亿计的各类智能设备，都可以被攻击，造成物理和人身伤害。”谭晓生说，这是“大安全”时代面临的一些典型的安全挑战。谭晓生是360集团技术总裁兼首席安全官。

在5月16日召开的第二届世界智能大会上，360集团董事长兼CEO周鸿祎首次提出了“安全大脑”的概念；次日，谭晓生解读了它。

多重因素加深了网络安全威胁的严重程度。

网络是一个整体，任何一个薄弱点发起的攻击都可能引发灾难——万物互联的美丽新世界更是让这个整体趋于无边无界；同时，深度学习和人工智能等技术的演进，让这个世界变得更为智能，但同时让也网络攻击走向了自动化和智能化。

谭晓生拿DBIR（Verizon发布的《数据泄露调查报告》）2018年与2015年报告对比，得出了一个好消息，和一个坏消息。

好消息是，3年过去了，攻击检测发现的时间比之前稍微早了一些，人们作出反应的时间也稍微提前了一些。

坏消息是，大趋势并没有改变。攻击者在秒和分钟级得手，防御者则仍以月为单位进行着响应——面对海量安全事件，人力已经无法及时有效分析处理。

一组调研数据显示，网络安全人员在2017年的缺口是70万人，预计到2020年，这一缺口将达到140万人；而目前，我国每年培养的网络安全人员目前仅3万人左右。

人力缺口促成了互联互通背景下对智能型安全大脑的刚需。效率的提升只能依靠第一生产力——科学技术。

尤其是类似于一些威胁着国家安全的高级持续性威胁APT，其攻击越来越隐蔽，也越来越难以从局部被发现。“这就更加要求安全领域必须谋求建立一个全局视角。”谭晓生说，类似于“上帝的视角”。

9年前，一款智能查杀引擎QVM，开启了360基于人工智能产品的自主研发进程。这款全球首个采用人工智能和机器学习技术的反病毒引擎，今天处理的样本量达到了180亿。

借助人工智能等技术，QVM基于180亿样本持续自学习。目前，其未知恶意软件检出率超过99%，误报率已做到了小于0.01%.

2017年，WannaCry勒索蠕虫爆发后，QVM在1个多小时内便找出了它的数百个变种——这显然只能依靠人工智能算法进行匹配，人力早已望尘莫及。

智能查杀引擎QVM，是360安全大脑的一个典型应用场景。它指向了一个问题的两个方面，即升级的网络安全威胁，和同样需要升级的网络安全防护理念与技术。

现在，QVM已经成为新发布360安全大脑的一个典型应用场景，与网络安全态势感知能力、APT溯源分析、Mirai物联网僵尸网络攻击预警，和AI辅助决策等，共构成了目前安全大脑五大主要应用场景。

与QVM取得的“战绩”相仿，在这些应用场景中，360安全大脑发布前就已表现出了令全球同行刮目相看的能力。

美国东部断网事件中，360提前45天监测到Mirai僵尸网络扫描，并提前6天发布了预警报告。

一些明确的荣誉佐证了360当下的技术能力。

2016年，360安全团队获得包括苹果、谷歌和微软等公司的致谢共计408次，相应排名升至全球第一，并超过此前第一的谷歌团队。2017年，这一数字提升至519次，360蝉联第一。

“漏洞相关研究能力上，我们是全球最领先的厂商。”谭晓生可能也没想到，有一天他可以这样略带平淡地表述这一点。

显然，技术能力是360得以首推安全大脑的一个核心要素。同时，360在人工智能及大数据领域，具有深厚的技术积累和经验优势，这包括，百万亿级的安全大数据积累；10万+台服务器的计算能力；百亿级特征处理，千亿级图计算等智能算法支撑；再加上全球领先的安全漏洞挖掘和攻防能力，以及全球最大的安全知识库等。

网络空间安全建设的一个目标，是让计算机系统能够智能化地处理安全问题，对攻击作出自觉的反应。

9年前，360安全开始对这种“玩法”进行投入，并有了今天的QVM。

谭晓生说，在经历了9年的成功与失败后，伴随着人工智能算法的技术进步，360安全希望告诉业界，网络安全其实可以有一种新玩法——用新技术来帮助我们提高网络安全的检测和快速响应的能力。

它涉及了当下几乎所有热门的技术领域，如“ABCIB”，即人工智能、大数据、云计算、IoT智能感知和区块链等。

与影视作品中人工智能或超级计算机的形象大相径庭。在现实的网络世界，要保护国家、国防、关键基础设施、社会、城市及个人网络安全的“安全大脑”，如今呈现为一个分布式智能安全系统，就像360安全大脑当下呈现出来的形态。

与人的中枢神经系统传输模式类似，360安全大脑的威胁响应流程包括了四层结构，如安全应用层、智能服务层、数据服务层和数据采集层等。

基于四层结构，“360安全大脑目前已经具备了人类大脑处理安全问题时所需的五项核心能力。”谭晓生说。它包括了感知、学习、推理、预测和决策。

这些能力让360安全大脑可利用数以亿计的智能终端，采集数据和信息，经过智能化的分析，感知安全风险；具备自我学习、自我演进的能力，实现对新威胁的识别；依据安全大数据及先验知识或规则进行推理；对未来可能发生的网络安全威胁和攻击进行预测；同时，综合利用各种技术，实现对网络安全威胁的分析、判断、处置、响应、反制等决策进行辅助。

“网络的互联，不是一条可以回头的路。它面临的安全威胁，最终也要靠机器辅助人力来完成。”谭晓生说，“360安全大脑现在已经开始协助我们维护网络世界的安全，它的智能化程度会越来越高，准确度会越来越高，效率也会越来越高。”

－ END －

【IT创事记】创见科技未来，旨在为读者提供科技企业和科技趋势的前瞻分析与评论。创始人祁萌，为资深科技自媒体人，曾任《商业伙伴》副总编、《电脑商报》主编、都市媒体记者编辑，从业超过14年。

【IT创事记】同名专栏入驻各主流媒体平台。