讓藝術更“好看”!“汝之藝見”華為視頻藝術觀影空間亮相安仁古鎮 | 京東“創新與高性價比並存”手機榜出爐:360手機N7 Lite上榜 | 百度總裁張亞勤首位定義Cloud 2.0 百度雲ABC推動全産業智變 | 聯想大數據正式發佈聯想物聯網平臺LeapIOT | 行業連年遭遇寒冬 康佳變革之路該怎麼走 | 業界共議共用住宿發展 探索協同監管 行業自律新模式 | 利用獨有數據“反哺”傳統企業以“AI化”培育競爭力 | 一點資訊中秋誠意獻禮 “新文房四寶”有趣更有用 | 齊向東出席電子品牌高峰論壇:創新是品牌發展源動力 | CNBC深度調研百度 稱其將借AI和無人車出海成為全球巨頭 |
 
當前位置: 新聞>滾動>

360安全大腦九年簡史

發佈時間:2018-09-19 16:28:18  |  來源:中國網科學  |  作者:佳琪  |  責任編輯:科學頻道

9月17日,2018國家網路安全宣傳周安全博覽會在成都正式拉開帷幕,360集團技術總裁、首席安全官譚曉生應邀出席併發表了演講,他認為當下網路安全已進入“大安全”時代,需要以“360安全大腦”構建大安全時代的整體防禦策略體系,並且還為到訪嘉賓及記者科普了安全大腦的發展歷程。

image.png

伺服器設備不穩定、卡頓、服務響應延遲,CPU利用率一度高達700%……2018年初,國內某企事業單位機器出現了這匪夷所思的一幕。一個長期運營著的僵屍網路DDG逐漸浮出水面。

惡意代碼大規模掃描網際網路上的數據庫伺服器,大量感染僵屍程式,用所控制設備的算力進行挖礦,其目標則是挖取行情走俏的數字貨幣——門羅幣。

彼時,DDG迅速實現了財富積累。能夠確認該僵屍網路挖取的門羅幣超過3395枚,折合人民幣近600萬。更誇張的是,DDG巔峰時,劫持了互聯世界全網百分之幾的流量。

螳螂捕蟬,黃雀在後。一個自認為刷爆全網流量,悶聲發大財的駭客組織,卻早就被安全公司盯上了,這只黃雀就是360公司的主動防禦系統。

主動防禦系統可以簡單理解為PC用戶常見的360安全衛士內置模組,它在用戶的電腦裏運作,判斷機器有沒有遇到攻擊。

當主動防禦系統檢測到有異常時,會將問題上報,後臺會結合域名解析資訊,進行攻擊情況判斷,並根據終端數量、惡意腳本投放渠道、網站訪問紀錄等定位攻擊者。

最終,360主動防禦系統揪出了幕後黑手,這是一家利欲熏心的廣告公司,它除了賺取廣告費,還想趁區塊鏈大熱,發一筆橫財。

2009年 安全大腦雛形

從第一次工業革命以來,讓機器幫人做點什麼一直是人們的樸素夢想。在經歷了起步、反思、發展、低迷之後,2009年機器學習開始真正走入大眾視野。

在此期間,深藍戰勝了西洋棋冠軍,IBM提出智慧地球,我國提出了“感知中國”,中國物聯網與網際網路的融合開始起步。在網際網路浪潮的推動下,人工智慧開始了大面積創新與應用。

也就在這一年,360公司開始嘗試用機器學習做殺毒。

360公司一直在嘗試能不能依靠演算法來監測過去要依靠安全特徵才能檢測到的安全攻擊。網路流量中的攻擊和正常訪問肯定是有差別的,歸結到最後也是分類的問題。機器學習演算法其實就是解決分類的問題,這個東西分到哪一類,是0,還是1,所以殺毒引擎説到最後也是分類問題。

在沒有數據量的時候,還不知道判斷規則。人已經做出一些分類,機器學習之後還可以訓練出一些規則,用這個規則再去分類就會有一定的準確度。

殺毒引擎上使用的QVM就是實現可執行文件的分類。2010年上線的QVM引擎是360自主研發,世界首個採用人工智慧/機器學習技術的反病毒引擎,也是人工智慧/機器學習在電腦安全領域首次大規模商用。

2013年 安全大腦發展

基於可執行文件的分類,能否拓展到基於網路流量和日誌的分類?正常的流量和工具流量能不能分開?2013年初,360開始試圖解決這個問題。

那時,深度學習也已經比較流行,360開始將機器學習和深度學習都用來做這類分類的嘗試。在這個過程中,遇到了一些技術問題:分類確實是分出來了,一堆黑豆子、一堆白豆子,但是被分出來的黑豆子裏面還混了很多白豆子,這樣一來,就容易“錯殺無辜”。

問題持續了四年多,直到去年年底把這個問題解決掉了:剛開始在一大堆裏挑,有些方法論是不管用的,白的一大半都挑出去了,剩下的黑豆子裏面混了一點白的;這個時候就找到了另外一種方法,把白豆子挑掉,剩下全是黑豆子。

這可以看作是360在演算法上的進步,過去機器不能自動幹的事情現在可以主動幹了。讓機器多幹活,減少人工的消耗,這是機器進步程度可以做到的。

但是,網路安全現在的特性還是離不開人的經驗積累,機器智慧只是起輔助作用,最終還是要人去了解攻防知識。網路攻擊是怎麼回事、防禦究竟要怎麼防,這些都要人機相互配合才能完成。

360安全大腦中當然就包括了“人的經驗”這部分,不是純粹做出一套電腦系統去識別網路攻擊,而是一套人機交互系統,由機器提高人的工作效率,幫人去做篩選,最終還是通過人的知識輸入,讓系統學習,讓機器做得更好。

2014年 安全大腦極速發展

360現在的系統每天在監測網際網路上新出現的域名。正常網站是慢慢推廣的,它的曲線是逐漸上升。如果是幹壞事的域名,經常是出現以後就是直線上升,被發現以後就會下降。從傳播模型上看,二者是不一樣的。

而域名也都是有規律的。360可以做到根據域名解析,收集到有什麼樣的域名被人解析過,只要解析過一次,就能抓到。抓到了之後就會計算這個域名是最有可能用來幹什麼的。也許該域名還沒有真正啟用,僅僅是做完以後準備要用。360可以分析出某個域名可能是勒索軟體的家族最喜歡用的域名,它一齣現便就可以立即抓到。這就是用人工智慧演算法做的“聚類”。

根據多次的攻防戰經驗,360還總結出了一套“雲+端+邊界”的防禦思路。利用360雲計算技術的優勢研發了一套基於大數據的全流量偵聽,未知威脅捕捉設備,結合終端管理系統和軟硬體設備準入策略,可有效預防APT,並且可以在終端一旦被人搞定後迅速捕捉未知威脅,事實證明這種思路和這套系統對防APT是十分有效的。

360累計監測到38個國際APT組織,是中國發佈APT報告最多的廠商。特別在捕獲利用0-day漏洞的高級威脅攻擊上,360積累了豐富經驗,填補了國內APT研究及0-day漏洞在野攻擊應急響應方面的空白。不僅如此,還實現APT攻擊的溯源分析,是中國發佈APT攻擊報告最多的安全廠商,在全球的安全廠商中發現APT攻擊的能力位於前列,已與10余個國家的安全研究機構建立了長期合作關係。

作為中國最大的網際網路安全公司,360的安全産品部署在數十億終端和WEB源上,擁有龐大黑白名單和惡意威脅特徵代碼等大數據。這些雲端大數據,為360安全産品及時快速辨別惡意代碼和行為提供了有效支撐,大大增強甄別未知攻擊和惡意代碼的準確率。

2017年 安全大腦成熟

2014年年初的時候360開始監測域名,通過域名的異常發現情報。這兩年時間,360通過不斷地研究,終於取得了另一項重要成果——成功解決誤報率,10萬台伺服器,每天有若干億次訪問,告警可以控制在十幾次,準確率達到了前所未有的高度。

這一成果在2016年轟動美國的Mirai僵屍網路事件上,體現的尤為明顯。Mirai事件最初要追溯到2016年8月初,距離大選還剩約100天的美國,競選活動正如火如荼地進行,最新民調顯示兩黨支援率旗鼓相當,雖然兩位總統時不時被駭客曝出一些黑料,但誰也想不到,一場大規模的網路攻擊正在醞釀中。

幾乎是同一時間,8月1日的北京,360網路安全研究院的蜜罐系統首次監測到一個僵屍網路活動的苗頭;一個月後的9月6日,360感知到了這個新發現的僵屍網路正在快速蔓延,360持續跟蹤、分析了這個僵屍網路的攻擊特徵並於10月16日發佈了研究報告緊急向安全社區發佈預警,而這就是臭名昭著的Mirai僵屍網路第一次出現在中國大眾的視野中。

360依託強大的安全大數據資源,率先發現並持續追蹤溯源了這個由攝像頭等智慧設備組成的僵屍網路。360全球唯一發現Mirai僵屍網路的主控漏洞,從而能夠控制主控,並與全球最大的 ISP之一做了實際攻擊能力測試,結果表明8萬個僵屍就能發起超過500 Gbps的DDoS攻擊,89萬個僵屍能産生的攻擊流量足以打垮全球任何一個電信運營商,如果這些僵屍網路發起總攻將導致整個網際網路骨幹網路癱瘓。

2017年 安全大腦的提出

安全大腦是一個分佈式智慧系統,綜合利用ABCI(大數據、人工智慧、雲計算、IoT智慧感知、區塊鏈)等新技術,保護國家、國防、關鍵基礎設施、社會及個人的網路安全。

安全大腦採集一切與安全有關的數據,用人工智慧的方法進行分析和計算,來實時感知網路安全運作狀況和安全態勢,預測可能要發生的攻擊,監測和發現正在發生的攻擊,發現攻擊後就自動響應,協同分佈在網路中的網路安全設備和軟體對攻擊進行處置,支撐應急指揮。因此,可以説“安全大腦”是智慧經濟時代的網路安全中樞。未來,360安全大腦還將為各個企業、廠商賦能,共同構建大安全時代真正的網路安全防護網。

行業達成共識:更智慧、全局的安全防護體系

2018年9月4日,2018ISC網際網路安全大會在北京國家會議中心隆重開幕,360集團董事長兼CEO周鴻祎在開幕式致辭上詳解了安全大腦這一理念“大安全時代,網路安全需要一個整體的作戰思維,需要一個全局的觀察,從技術上來説,就是‘安全大腦’。”

周鴻祎表示,360願意把自己的經驗、數據、技術、能力開放出來,與大家進行合作,共同把“安全大腦”打造成資訊領域的核心技術。

安全大腦要輸出威脅情報,挖掘到的漏洞,網路攻防培訓,未來可能會給很多單位提供上傳介面,會把很多可疑的網路訪問或可疑的應用,由安全大腦幫助判斷是否具有威脅。

“360未來跟所有網路安全行業都不會是競爭對手,360會專心把安全大腦本身的核心技術和大數據打造好,跟很多安全公司合作。如果我們用這種心態,變成很多安全公司背後一個技術和數據的賦能者,這樣360有可能在國內真正把一個大的生態做起來,讓安全大腦成為核心技術”。(作者:佳琪)