360周鴻祎：所有的網(wǎng)絡(luò)攻擊都力圖讓你看不見(jiàn)

9月29日下午消息，在今天舉行的“2015中國(guó)互聯(lián)網(wǎng)安全大會(huì)”，360CEO發(fā)表了題為“看得見(jiàn)的安全”的主題演講。

在正式演講前，他調(diào)侃自己在中美互聯(lián)網(wǎng)論壇時(shí)就遇到了一場(chǎng)看得見(jiàn)的安全危機(jī)。他稱在活動(dòng)現(xiàn)場(chǎng)他的褲子撕裂了，為了解決這一問(wèn)題他只好換了一條白色褲子。但由于西裝顏色不統(tǒng)一，他又遭到了網(wǎng)友的吐槽。

對(duì)于安全本身，周鴻祎提到過(guò)去講安全，是把安全技術(shù)化、產(chǎn)品化，提到的是防火墻、掃描、IPS、IDS。實(shí)際上今天所有的攻擊都是未知的，都力圖讓你看不見(jiàn)。攻防雙方的博弈已經(jīng)從技術(shù)的攻防對(duì)抗變成了看見(jiàn)與看不見(jiàn)的對(duì)抗。

所以他認(rèn)為，看見(jiàn)和看不見(jiàn)變成了安全公司和網(wǎng)絡(luò)攻擊之間最大的能力較量。

周鴻祎稱要看得見(jiàn)，解決的基礎(chǔ)是數(shù)據(jù)，即基于大數(shù)據(jù)和深度學(xué)習(xí)做出的分析結(jié)果。因?yàn)樗械木W(wǎng)絡(luò)行為都會(huì)形成痕跡，有痕跡留下就有數(shù)據(jù)，安全大數(shù)據(jù)是形成看見(jiàn)能力的基礎(chǔ)。有了數(shù)據(jù)，還要有數(shù)據(jù)的關(guān)聯(lián)能力、數(shù)據(jù)分析能力和數(shù)據(jù)挖掘能力，結(jié)合安全專家的經(jīng)驗(yàn)，才能形成看見(jiàn)的能力。(文刀)

以下為周鴻祎演講實(shí)錄：

剛剛從西雅圖回來(lái)，收獲蠻多的。作為中國(guó)唯一一家參加中美互聯(lián)網(wǎng)安全論壇的安全公司，我們有很多安全的想法跟大家交流。

有一個(gè)收獲就是玩兒全世界最厲害的一把班門弄斧，在庫(kù)克面前推銷我的360手機(jī)。

我也收獲了最大的吐槽，這個(gè)故事是關(guān)于看見(jiàn)和看不見(jiàn)的故事。

大家吐槽我系了一根黃色的領(lǐng)帶，像一個(gè)土豪企業(yè)家。我知道這個(gè)領(lǐng)帶不好看，當(dāng)時(shí)與會(huì)代表那么多，一個(gè)個(gè)人高馬大，個(gè)子比較小的我要想讓人看見(jiàn)，就要系一條鮮艷的領(lǐng)帶。

第二個(gè)吐槽是說(shuō)我穿衣服的品位，沒(méi)有穿整套的西裝。作為安全專家，我遭遇了安全的問(wèn)題，我的褲子撕裂了。當(dāng)時(shí)我最想做的就是讓人看不見(jiàn)我的褲子撕裂了。我想了很多方法讓別人看不見(jiàn)，最后只好換了一條白色的褲子，就贏得了吐槽。大家覺(jué)得我今天的穿著怎么樣?還是聽(tīng)一聽(tīng)我演講的內(nèi)容，不要關(guān)心我的穿著。

有個(gè)算命大師為我算了一下，為什么你的褲子破了呢?他說(shuō)你不應(yīng)該招惹庫(kù)克。

這個(gè)演講的內(nèi)容應(yīng)該感謝我們的安全團(tuán)隊(duì)。在過(guò)去幾年里，他們不斷總結(jié)并提出我們對(duì)安全未來(lái)的看法。今天大會(huì)的主題，其實(shí)就是“看見(jiàn)”。

看見(jiàn)是一種能力，當(dāng)過(guò)去我們講安全的時(shí)候，往往總是把安全技術(shù)化、產(chǎn)品化，我們總是說(shuō)防火墻、掃描、IPS、IDS。實(shí)際上，今天所有的攻擊都是未知的，都力圖讓你看不見(jiàn)。攻防雙方的博弈已經(jīng)從技術(shù)的攻防對(duì)抗變成了看見(jiàn)與看不見(jiàn)的對(duì)抗。制造威脅的人希望自己永遠(yuǎn)不被人看見(jiàn)。但是，我們這些防御的安全公司永遠(yuǎn)希望看見(jiàn)整個(gè)網(wǎng)絡(luò)，這樣才能意識(shí)到威脅的發(fā)生。所以，看見(jiàn)和看不見(jiàn)變成了安全公司和網(wǎng)絡(luò)攻擊之間最大的能力較量。

我給大家舉一個(gè)例子。屏幕上展示的是一個(gè)網(wǎng)絡(luò)詐騙的追蹤實(shí)例。央視報(bào)道過(guò)這個(gè)例子，偽造10086的詐騙網(wǎng)站。藍(lán)色的時(shí)點(diǎn)表明它在不斷的變換域名和IP地址。從大數(shù)據(jù)來(lái)看，從1月份開(kāi)始，這個(gè)詐騙網(wǎng)站就已經(jīng)存在，為了躲避攔截，不斷的偽裝、變換，每變換一次就變成一個(gè)新的詐騙網(wǎng)站，有的時(shí)候一天要變好幾次。

我們利用大數(shù)據(jù)看到的不是一個(gè)詐騙網(wǎng)站，也不是1萬(wàn)個(gè)詐騙網(wǎng)站，而是把這些詐騙網(wǎng)站背后的關(guān)系總結(jié)出來(lái)。我們可以一直持續(xù)追蹤，無(wú)論它怎么變化，都能夠?qū)崟r(shí)進(jìn)行攔截。

我們對(duì)它的追蹤達(dá)到了秒級(jí)。有了這套系統(tǒng)，就不需要再對(duì)這個(gè)網(wǎng)站進(jìn)行分析，直接可以確定它的詐騙身份，辨別速度加快。一旦生成新的網(wǎng)站，我們就會(huì)及時(shí)攔截，避免更多的用戶被騙。

下一個(gè)例子，我想講講DDOS攻擊，這是網(wǎng)絡(luò)上最讓人痛恨的。這是一個(gè)實(shí)時(shí)四維的DDOS攻擊系統(tǒng)，可以追蹤全球的情況。全球互聯(lián)網(wǎng)看起來(lái)很平靜，但大量的DDOS隨時(shí)都在發(fā)生，很多網(wǎng)站都在遭受程度不同的DDOS攻擊，嚴(yán)重的會(huì)影響用戶的訪問(wèn)，甚至讓網(wǎng)站癱瘓。

在這個(gè)系統(tǒng)里，每一個(gè)節(jié)點(diǎn)代表受攻擊的地點(diǎn)，包括攻擊的時(shí)間、攻擊的強(qiáng)度、攻擊的次數(shù)。每一點(diǎn)有一棵樹(shù)，樹(shù)上的葉子表明攻擊目標(biāo)，節(jié)點(diǎn)的位置越高，表明受到的攻擊次數(shù)越多、攻擊的時(shí)間越長(zhǎng)。

這個(gè)例子可以顯示攻擊的數(shù)據(jù)，是誰(shuí)攻擊誰(shuí)、是一打多，還是多對(duì)一，以及背后的主控是什么關(guān)系。我們可以實(shí)時(shí)掌握全球每一個(gè)發(fā)起攻擊和被攻擊點(diǎn)的實(shí)時(shí)情況和追蹤，還可以分析DDOS攻擊主控的IP，揪出幕后的黑手。

這套系統(tǒng)是針對(duì)DDOS背后主控的實(shí)時(shí)監(jiān)控和追蹤。目前我們可以同時(shí)監(jiān)控幾千個(gè)全球活躍的DDOS主控。

綠色的代表主控，紅色代表主控操縱的僵尸網(wǎng)絡(luò)、攻擊目標(biāo)。我們可以發(fā)現(xiàn)主控之間有一定關(guān)系，比如有的主控是單打獨(dú)斗，有的貌似沒(méi)有關(guān)系，他們之間有著比較復(fù)雜的幫派關(guān)系，有的時(shí)候聚在一起共同攻打一個(gè)目標(biāo)。幫派和幫派之間也有關(guān)系，他們有的時(shí)候甚至交叉攻擊。只有站在全球大數(shù)據(jù)的視野上才能真正看清在網(wǎng)絡(luò)上發(fā)生了什么。

企業(yè)內(nèi)部的安全公司，如果沒(méi)有完整的數(shù)據(jù)，根本沒(méi)辦法看到一切，在不知不覺(jué)中遭受攻擊，正常業(yè)務(wù)受影響，并且業(yè)務(wù)癱瘓。

大家的企業(yè)安全被描述成很糟糕、很黑暗，到處存在漏洞，最重要的問(wèn)題就是源于看見(jiàn)能力的缺失?？吹靡?jiàn)才能意識(shí)到威脅，看得見(jiàn)才知道威脅正在發(fā)生?？匆?jiàn)以后才能防御，看見(jiàn)發(fā)生了什么，每個(gè)個(gè)人和企業(yè)才會(huì)有安全感。

舉個(gè)不恰當(dāng)?shù)睦?。中?guó)和美國(guó)都是網(wǎng)絡(luò)攻擊的受害國(guó)。美國(guó)人也經(jīng)常會(huì)舉出一些例子試圖證明中國(guó)在攻擊他們的網(wǎng)絡(luò)。這就反映了兩國(guó)在看見(jiàn)能力上的差異。我們的網(wǎng)絡(luò)也經(jīng)常被國(guó)外攻擊，但以前我們可能壓根兒不知道，也看不見(jiàn)，就沒(méi)有證據(jù)可以跟他們爭(zhēng)吵。

再次強(qiáng)調(diào)，為什么這次會(huì)議的主題是談?wù)?ldquo;看見(jiàn)”。未來(lái)每個(gè)安全公司都要思考如何才能看見(jiàn)。

如何才能看見(jiàn)?看見(jiàn)的基礎(chǔ)就是數(shù)據(jù)，實(shí)際上就是我們所說(shuō)的基于大數(shù)據(jù)和深度學(xué)習(xí)做出的分析結(jié)果。因?yàn)樗械木W(wǎng)絡(luò)行為都會(huì)形成痕跡，有痕跡留下就有數(shù)據(jù)，安全大數(shù)據(jù)是形成看見(jiàn)能力的基礎(chǔ)。有了數(shù)據(jù)，還要有數(shù)據(jù)的關(guān)聯(lián)能力、數(shù)據(jù)分析能力和數(shù)據(jù)挖掘能力，結(jié)合安全專家的經(jīng)驗(yàn)，才能形成看見(jiàn)的能力。

這個(gè)圖展示的是惡意網(wǎng)站追蹤動(dòng)態(tài)的3D圖。是基于我們對(duì)惡意網(wǎng)站監(jiān)控的大數(shù)據(jù)做出的動(dòng)態(tài)地圖。一個(gè)惡意網(wǎng)站如果要躲避監(jiān)測(cè)，需要不斷的變換地址，甚至每天變換多個(gè)IP地址，也有多個(gè)惡意網(wǎng)站共用一個(gè)IP地址。把所有的數(shù)據(jù)組合在一起可以發(fā)現(xiàn)不同惡意網(wǎng)站至今存在的關(guān)系。

惡意網(wǎng)站不斷變換著IP地址、域名，很難快速識(shí)別和進(jìn)行攔截。通過(guò)360的系統(tǒng)可以及時(shí)發(fā)現(xiàn)，并且追蹤它的變化。它無(wú)論怎么變化，都能夠進(jìn)行二次攔截。所以數(shù)據(jù)是基礎(chǔ)，在大數(shù)據(jù)的基礎(chǔ)之上，通過(guò)數(shù)據(jù)的關(guān)聯(lián)、分析、挖掘、提取，結(jié)合安全經(jīng)驗(yàn)，就應(yīng)該可以看見(jiàn)你面臨的安全威脅。我再次強(qiáng)調(diào)，看見(jiàn)了才談得上防御。如果我們只是在企業(yè)內(nèi)部部署一些邊界防護(hù)設(shè)備，僅僅是擁有企業(yè)數(shù)據(jù)，而不具備大數(shù)據(jù)分析能力，你根本就無(wú)法看見(jiàn)整個(gè)網(wǎng)絡(luò)上發(fā)生了什么。

有些時(shí)候，我們聽(tīng)到一些報(bào)道，但你沒(méi)有大數(shù)據(jù)，就會(huì)出現(xiàn)你看到的是新聞，我看到的內(nèi)幕。最近最熱的安全事件是蘋果事件。由于它的開(kāi)發(fā)工具被植入了后門，導(dǎo)致很多知名的應(yīng)用被植入了后門，引起了蘋果用戶的恐慌。

在今年年初，通過(guò)惡意后門訪問(wèn)主控網(wǎng)站域名的數(shù)據(jù)解析，我們已經(jīng)發(fā)現(xiàn)了訪問(wèn)量，在4月份曾經(jīng)達(dá)到高峰。這里的紅點(diǎn)表示的是網(wǎng)站訪問(wèn)失敗。隨著更多APP的感染，對(duì)后門訪問(wèn)量的加劇，導(dǎo)致后門制作者的網(wǎng)站支撐不了這么大的訪問(wèn)量，導(dǎo)致訪問(wèn)失敗。為什么蘋果用戶會(huì)感到恐懼?是因?yàn)槟憧床灰?jiàn)，你不知道你的手機(jī)上發(fā)生了什么。

到9月份，突然出現(xiàn)特別異常的訪問(wèn)高峰，包括整個(gè)惡意主控網(wǎng)站發(fā)生癱瘓。大家猜猜為什么?為什么9月8號(hào)到23號(hào)這幾天突然出現(xiàn)后門網(wǎng)站訪問(wèn)量激增?其實(shí)是因?yàn)槲⑿诺男掳姹旧暇€了，而微信的新版本也被感染了惡意代碼。因?yàn)槲⑿诺挠脩袅刻貏e大，導(dǎo)致訪問(wèn)量的激增。

攻擊者的主機(jī)承受不了這么大的訪問(wèn)量。因?yàn)樗腥镜腁PP超出了自己的想象，它主動(dòng)把主機(jī)網(wǎng)站下線了。

我們?cè)倏匆粋€(gè)24小時(shí)的圖，9點(diǎn)中招的訪問(wèn)量是最多的，下午1點(diǎn)又是一個(gè)小高峰，晚上12點(diǎn)之后的訪問(wèn)量明顯下降。說(shuō)明很多人在9點(diǎn)上班的時(shí)候都喜歡打開(kāi)手機(jī)，中午吃完飯也會(huì)用一用。從這背后的數(shù)據(jù)，可以看到很多內(nèi)在的聯(lián)系。

今天的結(jié)論很簡(jiǎn)單，就是看見(jiàn)會(huì)決定企業(yè)安全，看見(jiàn)也會(huì)決定國(guó)家安全。未來(lái)無(wú)論在國(guó)與國(guó)的網(wǎng)絡(luò)空間博弈中，還是在企業(yè)安全中，如果企業(yè)和國(guó)家真的缺乏基于大數(shù)據(jù)分析的看見(jiàn)能力，必然會(huì)成為網(wǎng)絡(luò)攻擊的受害者。

360已經(jīng)創(chuàng)辦了10年。我們這些人原來(lái)沒(méi)有傳統(tǒng)安全的背景，原來(lái)是一幫做搜索的人。無(wú)意中用搜索的算法在全世界率先推出了基于云端的大數(shù)據(jù)云安全模型，積累了10年的數(shù)據(jù)，有超過(guò)13億個(gè)安全探測(cè)點(diǎn)，還有數(shù)十萬(wàn)臺(tái)服務(wù)器，隨時(shí)感知各種新型網(wǎng)絡(luò)威脅。我們有61條DNS的解析記錄，每日新增100萬(wàn)，日查詢300億URL，日處理100億URL，每日攔截訪問(wèn)的釣魚(yú)網(wǎng)站1億次，總樣本有95億，日新增樣本接近1000萬(wàn)。正是因?yàn)橛辛藦V泛的數(shù)據(jù)，才提高了我們的網(wǎng)絡(luò)安全的看見(jiàn)能力。美國(guó)追蹤DDOS最牛的幾個(gè)公司，都會(huì)頻繁的跟360交流，有些事件，他們要問(wèn)360看見(jiàn)沒(méi)有。一些互聯(lián)網(wǎng)的大腕公司，包括谷歌在內(nèi)，也經(jīng)常與我們主動(dòng)交流，參與圍觀DDOS事件的追蹤。有些大規(guī)模的DDOS攻擊可能是位于中國(guó)的僵尸主機(jī)發(fā)起的，我們看見(jiàn)了，他們看不多。

習(xí)主席也提出“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家的安全”。最近幾年，國(guó)家間的ATP攻擊非常多。截止到7月份，360監(jiān)測(cè)到的向中國(guó)境內(nèi)的政府部門、運(yùn)營(yíng)商、大型企業(yè)、科研院所等組織機(jī)構(gòu)發(fā)動(dòng)ATP攻擊的境外黑客組織有13個(gè)。5月份，360發(fā)布了首份溯源APT報(bào)告，披露了某個(gè)境外黑客組織針對(duì)中國(guó)境內(nèi)某政府組織發(fā)起的安全攻擊。

在這次西雅圖的會(huì)議上，我們表達(dá)了一個(gè)觀點(diǎn)，如果不控制網(wǎng)絡(luò)攻擊，對(duì)中國(guó)和美國(guó)來(lái)說(shuō)都是災(zāi)難。無(wú)論是在政府間，還是在公司間，中國(guó)和美國(guó)都應(yīng)該加強(qiáng)合作、溝通，加強(qiáng)技術(shù)和信息的分享，共同打擊網(wǎng)絡(luò)犯罪，抵御網(wǎng)絡(luò)攻擊。

我們建立了中國(guó)第一個(gè)威脅情報(bào)中心，超過(guò)200多家大型企業(yè)、機(jī)構(gòu)在分享我們的數(shù)據(jù)。我們也加入了全球防DDOS攻擊網(wǎng)絡(luò)，包括英國(guó)、美國(guó)在內(nèi)全球幾十個(gè)國(guó)家已經(jīng)申請(qǐng)使用我們的威脅情報(bào)數(shù)據(jù)。

360希望可以幫助更多的企業(yè)發(fā)現(xiàn)威脅、看見(jiàn)威脅、看見(jiàn)安全?？匆?jiàn)決定企業(yè)安全，看見(jiàn)的能力決定國(guó)家安全。下一個(gè)偉大的網(wǎng)絡(luò)安全公司一定是誕生在具備看見(jiàn)能力的企業(yè)中。

最近有一個(gè)小說(shuō)很流行，叫《三體》，搞IT的人以沒(méi)看過(guò)《三體》為恥，我也不能免俗。最后的結(jié)尾，我想以《三體》的“黑暗森林法則”結(jié)束，它的意思是在宇宙里有不同的文明，每一個(gè)文明都不希望被更高級(jí)的文明看見(jiàn)。因?yàn)楸话l(fā)現(xiàn)總有一方被消滅。在網(wǎng)絡(luò)安全的攻防世界里，這個(gè)規(guī)則也適用。我們需要做到的是如何能看見(jiàn)更多的威脅。謝謝大家!