360周鴻祎：所有的網(wǎng)絡(luò)攻擊都力圖讓你看不見

9月29日下午消息，在今天舉行的“2015中國互聯(lián)網(wǎng)安全大會”，360CEO發(fā)表了題為“看得見的安全”的主題演講。

在正式演講前，他調(diào)侃自己在中美互聯(lián)網(wǎng)論壇時就遇到了一場看得見的安全危機。他稱在活動現(xiàn)場他的褲子撕裂了，為了解決這一問題他只好換了一條白色褲子。但由于西裝顏色不統(tǒng)一，他又遭到了網(wǎng)友的吐槽。

對于安全本身，周鴻祎提到過去講安全，是把安全技術(shù)化、產(chǎn)品化，提到的是防火墻、掃描、IPS、IDS。實際上今天所有的攻擊都是未知的，都力圖讓你看不見。攻防雙方的博弈已經(jīng)從技術(shù)的攻防對抗變成了看見與看不見的對抗。

所以他認為，看見和看不見變成了安全公司和網(wǎng)絡(luò)攻擊之間最大的能力較量。

周鴻祎稱要看得見，解決的基礎(chǔ)是數(shù)據(jù)，即基于大數(shù)據(jù)和深度學(xué)習(xí)做出的分析結(jié)果。因為所有的網(wǎng)絡(luò)行為都會形成痕跡，有痕跡留下就有數(shù)據(jù)，安全大數(shù)據(jù)是形成看見能力的基礎(chǔ)。有了數(shù)據(jù)，還要有數(shù)據(jù)的關(guān)聯(lián)能力、數(shù)據(jù)分析能力和數(shù)據(jù)挖掘能力，結(jié)合安全專家的經(jīng)驗，才能形成看見的能力。(文刀)

以下為周鴻祎演講實錄：

剛剛從西雅圖回來，收獲蠻多的。作為中國唯一一家參加中美互聯(lián)網(wǎng)安全論壇的安全公司，我們有很多安全的想法跟大家交流。

有一個收獲就是玩兒全世界最厲害的一把班門弄斧，在庫克面前推銷我的360手機。

我也收獲了最大的吐槽，這個故事是關(guān)于看見和看不見的故事。

大家吐槽我系了一根黃色的領(lǐng)帶，像一個土豪企業(yè)家。我知道這個領(lǐng)帶不好看，當(dāng)時與會代表那么多，一個個人高馬大，個子比較小的我要想讓人看見，就要系一條鮮艷的領(lǐng)帶。

第二個吐槽是說我穿衣服的品位，沒有穿整套的西裝。作為安全專家，我遭遇了安全的問題，我的褲子撕裂了。當(dāng)時我最想做的就是讓人看不見我的褲子撕裂了。我想了很多方法讓別人看不見，最后只好換了一條白色的褲子，就贏得了吐槽。大家覺得我今天的穿著怎么樣?還是聽一聽我演講的內(nèi)容，不要關(guān)心我的穿著。

有個算命大師為我算了一下，為什么你的褲子破了呢?他說你不應(yīng)該招惹庫克。

這個演講的內(nèi)容應(yīng)該感謝我們的安全團隊。在過去幾年里，他們不斷總結(jié)并提出我們對安全未來的看法。今天大會的主題，其實就是“看見”。

看見是一種能力，當(dāng)過去我們講安全的時候，往往總是把安全技術(shù)化、產(chǎn)品化，我們總是說防火墻、掃描、IPS、IDS。實際上，今天所有的攻擊都是未知的，都力圖讓你看不見。攻防雙方的博弈已經(jīng)從技術(shù)的攻防對抗變成了看見與看不見的對抗。制造威脅的人希望自己永遠不被人看見。但是，我們這些防御的安全公司永遠希望看見整個網(wǎng)絡(luò)，這樣才能意識到威脅的發(fā)生。所以，看見和看不見變成了安全公司和網(wǎng)絡(luò)攻擊之間最大的能力較量。

我給大家舉一個例子。屏幕上展示的是一個網(wǎng)絡(luò)詐騙的追蹤實例。央視報道過這個例子，偽造10086的詐騙網(wǎng)站。藍色的時點表明它在不斷的變換域名和IP地址。從大數(shù)據(jù)來看，從1月份開始，這個詐騙網(wǎng)站就已經(jīng)存在，為了躲避攔截，不斷的偽裝、變換，每變換一次就變成一個新的詐騙網(wǎng)站，有的時候一天要變好幾次。

我們利用大數(shù)據(jù)看到的不是一個詐騙網(wǎng)站，也不是1萬個詐騙網(wǎng)站，而是把這些詐騙網(wǎng)站背后的關(guān)系總結(jié)出來。我們可以一直持續(xù)追蹤，無論它怎么變化，都能夠?qū)崟r進行攔截。

我們對它的追蹤達到了秒級。有了這套系統(tǒng)，就不需要再對這個網(wǎng)站進行分析，直接可以確定它的詐騙身份，辨別速度加快。一旦生成新的網(wǎng)站，我們就會及時攔截，避免更多的用戶被騙。

下一個例子，我想講講DDOS攻擊，這是網(wǎng)絡(luò)上最讓人痛恨的。這是一個實時四維的DDOS攻擊系統(tǒng)，可以追蹤全球的情況。全球互聯(lián)網(wǎng)看起來很平靜，但大量的DDOS隨時都在發(fā)生，很多網(wǎng)站都在遭受程度不同的DDOS攻擊，嚴重的會影響用戶的訪問，甚至讓網(wǎng)站癱瘓。

在這個系統(tǒng)里，每一個節(jié)點代表受攻擊的地點，包括攻擊的時間、攻擊的強度、攻擊的次數(shù)。每一點有一棵樹，樹上的葉子表明攻擊目標，節(jié)點的位置越高，表明受到的攻擊次數(shù)越多、攻擊的時間越長。

這個例子可以顯示攻擊的數(shù)據(jù)，是誰攻擊誰、是一打多，還是多對一，以及背后的主控是什么關(guān)系。我們可以實時掌握全球每一個發(fā)起攻擊和被攻擊點的實時情況和追蹤，還可以分析DDOS攻擊主控的IP，揪出幕后的黑手。

這套系統(tǒng)是針對DDOS背后主控的實時監(jiān)控和追蹤。目前我們可以同時監(jiān)控幾千個全球活躍的DDOS主控。

綠色的代表主控，紅色代表主控操縱的僵尸網(wǎng)絡(luò)、攻擊目標。我們可以發(fā)現(xiàn)主控之間有一定關(guān)系，比如有的主控是單打獨斗，有的貌似沒有關(guān)系，他們之間有著比較復(fù)雜的幫派關(guān)系，有的時候聚在一起共同攻打一個目標。幫派和幫派之間也有關(guān)系，他們有的時候甚至交叉攻擊。只有站在全球大數(shù)據(jù)的視野上才能真正看清在網(wǎng)絡(luò)上發(fā)生了什么。

企業(yè)內(nèi)部的安全公司，如果沒有完整的數(shù)據(jù)，根本沒辦法看到一切，在不知不覺中遭受攻擊，正常業(yè)務(wù)受影響，并且業(yè)務(wù)癱瘓。

大家的企業(yè)安全被描述成很糟糕、很黑暗，到處存在漏洞，最重要的問題就是源于看見能力的缺失?？吹靡姴拍芤庾R到威脅，看得見才知道威脅正在發(fā)生?？匆娨院蟛拍芊烙匆姲l(fā)生了什么，每個個人和企業(yè)才會有安全感。

舉個不恰當(dāng)?shù)睦?。中國和美國都是網(wǎng)絡(luò)攻擊的受害國。美國人也經(jīng)常會舉出一些例子試圖證明中國在攻擊他們的網(wǎng)絡(luò)。這就反映了兩國在看見能力上的差異。我們的網(wǎng)絡(luò)也經(jīng)常被國外攻擊，但以前我們可能壓根兒不知道，也看不見，就沒有證據(jù)可以跟他們爭吵。

再次強調(diào)，為什么這次會議的主題是談?wù)?ldquo;看見”。未來每個安全公司都要思考如何才能看見。

如何才能看見?看見的基礎(chǔ)就是數(shù)據(jù)，實際上就是我們所說的基于大數(shù)據(jù)和深度學(xué)習(xí)做出的分析結(jié)果。因為所有的網(wǎng)絡(luò)行為都會形成痕跡，有痕跡留下就有數(shù)據(jù)，安全大數(shù)據(jù)是形成看見能力的基礎(chǔ)。有了數(shù)據(jù)，還要有數(shù)據(jù)的關(guān)聯(lián)能力、數(shù)據(jù)分析能力和數(shù)據(jù)挖掘能力，結(jié)合安全專家的經(jīng)驗，才能形成看見的能力。

這個圖展示的是惡意網(wǎng)站追蹤動態(tài)的3D圖。是基于我們對惡意網(wǎng)站監(jiān)控的大數(shù)據(jù)做出的動態(tài)地圖。一個惡意網(wǎng)站如果要躲避監(jiān)測，需要不斷的變換地址，甚至每天變換多個IP地址，也有多個惡意網(wǎng)站共用一個IP地址。把所有的數(shù)據(jù)組合在一起可以發(fā)現(xiàn)不同惡意網(wǎng)站至今存在的關(guān)系。

惡意網(wǎng)站不斷變換著IP地址、域名，很難快速識別和進行攔截。通過360的系統(tǒng)可以及時發(fā)現(xiàn)，并且追蹤它的變化。它無論怎么變化，都能夠進行二次攔截。所以數(shù)據(jù)是基礎(chǔ)，在大數(shù)據(jù)的基礎(chǔ)之上，通過數(shù)據(jù)的關(guān)聯(lián)、分析、挖掘、提取，結(jié)合安全經(jīng)驗，就應(yīng)該可以看見你面臨的安全威脅。我再次強調(diào)，看見了才談得上防御。如果我們只是在企業(yè)內(nèi)部部署一些邊界防護設(shè)備，僅僅是擁有企業(yè)數(shù)據(jù)，而不具備大數(shù)據(jù)分析能力，你根本就無法看見整個網(wǎng)絡(luò)上發(fā)生了什么。

有些時候，我們聽到一些報道，但你沒有大數(shù)據(jù)，就會出現(xiàn)你看到的是新聞，我看到的內(nèi)幕。最近最熱的安全事件是蘋果事件。由于它的開發(fā)工具被植入了后門，導(dǎo)致很多知名的應(yīng)用被植入了后門，引起了蘋果用戶的恐慌。

在今年年初，通過惡意后門訪問主控網(wǎng)站域名的數(shù)據(jù)解析，我們已經(jīng)發(fā)現(xiàn)了訪問量，在4月份曾經(jīng)達到高峰。這里的紅點表示的是網(wǎng)站訪問失敗。隨著更多APP的感染，對后門訪問量的加劇，導(dǎo)致后門制作者的網(wǎng)站支撐不了這么大的訪問量，導(dǎo)致訪問失敗。為什么蘋果用戶會感到恐懼?是因為你看不見，你不知道你的手機上發(fā)生了什么。

到9月份，突然出現(xiàn)特別異常的訪問高峰，包括整個惡意主控網(wǎng)站發(fā)生癱瘓。大家猜猜為什么?為什么9月8號到23號這幾天突然出現(xiàn)后門網(wǎng)站訪問量激增?其實是因為微信的新版本上線了，而微信的新版本也被感染了惡意代碼。因為微信的用戶量特別大，導(dǎo)致訪問量的激增。

攻擊者的主機承受不了這么大的訪問量。因為它感染的APP超出了自己的想象，它主動把主機網(wǎng)站下線了。

我們再看一個24小時的圖，9點中招的訪問量是最多的，下午1點又是一個小高峰，晚上12點之后的訪問量明顯下降。說明很多人在9點上班的時候都喜歡打開手機，中午吃完飯也會用一用。從這背后的數(shù)據(jù)，可以看到很多內(nèi)在的聯(lián)系。

今天的結(jié)論很簡單，就是看見會決定企業(yè)安全，看見也會決定國家安全。未來無論在國與國的網(wǎng)絡(luò)空間博弈中，還是在企業(yè)安全中，如果企業(yè)和國家真的缺乏基于大數(shù)據(jù)分析的看見能力，必然會成為網(wǎng)絡(luò)攻擊的受害者。

360已經(jīng)創(chuàng)辦了10年。我們這些人原來沒有傳統(tǒng)安全的背景，原來是一幫做搜索的人。無意中用搜索的算法在全世界率先推出了基于云端的大數(shù)據(jù)云安全模型，積累了10年的數(shù)據(jù)，有超過13億個安全探測點，還有數(shù)十萬臺服務(wù)器，隨時感知各種新型網(wǎng)絡(luò)威脅。我們有61條DNS的解析記錄，每日新增100萬，日查詢300億URL，日處理100億URL，每日攔截訪問的釣魚網(wǎng)站1億次，總樣本有95億，日新增樣本接近1000萬。正是因為有了廣泛的數(shù)據(jù)，才提高了我們的網(wǎng)絡(luò)安全的看見能力。美國追蹤DDOS最牛的幾個公司，都會頻繁的跟360交流，有些事件，他們要問360看見沒有。一些互聯(lián)網(wǎng)的大腕公司，包括谷歌在內(nèi)，也經(jīng)常與我們主動交流，參與圍觀DDOS事件的追蹤。有些大規(guī)模的DDOS攻擊可能是位于中國的僵尸主機發(fā)起的，我們看見了，他們看不多。

習(xí)主席也提出“沒有網(wǎng)絡(luò)安全就沒有國家的安全”。最近幾年，國家間的ATP攻擊非常多。截止到7月份，360監(jiān)測到的向中國境內(nèi)的政府部門、運營商、大型企業(yè)、科研院所等組織機構(gòu)發(fā)動ATP攻擊的境外黑客組織有13個。5月份，360發(fā)布了首份溯源APT報告，披露了某個境外黑客組織針對中國境內(nèi)某政府組織發(fā)起的安全攻擊。

在這次西雅圖的會議上，我們表達了一個觀點，如果不控制網(wǎng)絡(luò)攻擊，對中國和美國來說都是災(zāi)難。無論是在政府間，還是在公司間，中國和美國都應(yīng)該加強合作、溝通，加強技術(shù)和信息的分享，共同打擊網(wǎng)絡(luò)犯罪，抵御網(wǎng)絡(luò)攻擊。

我們建立了中國第一個威脅情報中心，超過200多家大型企業(yè)、機構(gòu)在分享我們的數(shù)據(jù)。我們也加入了全球防DDOS攻擊網(wǎng)絡(luò)，包括英國、美國在內(nèi)全球幾十個國家已經(jīng)申請使用我們的威脅情報數(shù)據(jù)。

360希望可以幫助更多的企業(yè)發(fā)現(xiàn)威脅、看見威脅、看見安全?？匆姏Q定企業(yè)安全，看見的能力決定國家安全。下一個偉大的網(wǎng)絡(luò)安全公司一定是誕生在具備看見能力的企業(yè)中。

最近有一個小說很流行，叫《三體》，搞IT的人以沒看過《三體》為恥，我也不能免俗。最后的結(jié)尾，我想以《三體》的“黑暗森林法則”結(jié)束，它的意思是在宇宙里有不同的文明，每一個文明都不希望被更高級的文明看見。因為被發(fā)現(xiàn)總有一方被消滅。在網(wǎng)絡(luò)安全的攻防世界里，這個規(guī)則也適用。我們需要做到的是如何能看見更多的威脅。謝謝大家!