360周鸿祎所有的网络攻击都力图让你看不

2019-05-15 07:31:13 来源: 安顺信息港

9月29日下午消息,在今天举行的2015中国互联安全大会,360CEO发表了题为看得见的安全的主题演讲。

在正式演讲前,他调侃自己在中美互联论坛时就遇到了一场看得见的安全危机。他称在活动现场他的裤子撕裂了,为了解决这1问题他只好换了一条白色裤子。但由于西装颜色不统一,他又遭到了友的吐槽。

对于安全本身,周鸿祎提到过去讲安全,是把安全技术化、产品化,提到的是防火墙、扫描、IPS、IDS。实际上今天所有的攻击都是未知的,都力图让你看不见。攻防双方的博弈已经从技术的攻防对抗变成了看见与看不见的对抗。

所以他认为,看见和看不见变成了安全公司和络攻击之间的能力较量。

周鸿祎称要看得见,解决的基础是数据,即基于大数据和深度学习做出的分析结果。因为所有的络行为都会形成痕迹,有痕迹留下就有数据,安全大数据是形成看见能力的基础。有了数据,还要有数据的关联能力、数据分析能力和数据发掘能力,结合安全专家的经验,才能构成看见的能力。(文刀)

以下为周鸿祎演讲实录:

刚刚从西雅图回来,收获蛮多的。作为中国一家参加中美互联安全论坛的安全公司,我们有很多安全的想法跟大家交流。

有一个收获就是玩儿全球厉害的一把班门弄斧,在库克面前推销我的360。

我也收获了的吐槽,这个故事是关于看见和看不见的故事。

大家吐槽我系了一根黄色的领带,像一个土豪企业家。我知道这个领带不好看,当时与会代表那么多,一个个人高马大,个子比较小的我要想让人看见,就要系一条艳丽的领带。

第二个吐槽是说我穿衣服的品位,没有穿整套的西装。作为安全专家,我遭遇了安全的问题,我的裤子撕裂了。当时我想做的就是让人看不见我的裤子撕裂了。我想了很多方法让他人看不见,只好换了一条白色的裤子,就赢得了吐槽。大家觉得我今天的穿着怎么样?还是听一听我演讲的内容,不要关心我的穿着。

有个算命大师为我算了一下,为何你的裤子破了呢?他说你不应当招惹库克。

这个演讲的内容应当感谢我们的安全团队。在过去几年里,他们不断总结并提出我们对安全未来的看法。今天大会的主题,其实就是看见。

看见是一种能力,当过去我们讲安全的时候,往往总是把安全技术化、产品化,我们总是说防火墙、扫描、IPS、IDS。实际上,今天所有的攻击都是未知的,都力图让你看不见。攻防双方的博弈已从技术的攻防对抗变成了看见与看不见的对抗。制造威逼的人希望自己永远不被人看见。但是,我们这些防御的安全公司永远希望看见整个络,这样才能意识到威胁的发生。所以,看见和看不见变成了安全公司和络攻击之间的能力较量。

我给大家举一个例子。屏幕上展示的是一个络诈骗的追踪实例。央视报道过这个例子,伪造10086的诈骗站。蓝色的时点表明它在不断的变换域名和IP地址。从大数据来看,从1月份开始,这个诈骗站就已存在,为了躲避拦截,不断的假装、变换,每变换一次就变成一个新的诈骗站,有的时候一天要变好几次。

我们利用大数据看到的不是一个诈骗站,也不是1万个诈骗站,而是把这些诈骗站背后的关系总结出来。我们可以一直持续追踪,无论它怎样变化,都能够实时进行拦截。

我们对它的追踪达到了秒级。有了这套系统,就不需要再对这个站进行分析,直接可以肯定它的欺骗身份,辨别速度加快。一旦生成新的站,我们就会及时拦截,避免更多的用户被骗。

下一个例子,我想讲讲DDOS攻击,这是络上让人痛恨的。这是一个实时四维的DDOS攻击系统,可以追踪全球的情况。全球互联看起来很平静,但大量的DDOS随时都在发生,很多站都在遭受程度不同的DDOS攻击,严重的会影响用户的访问,甚至让站瘫痪。

在这个系统里,每个节点代表受攻击的地点,包括攻击的时间、攻击的强度、攻击的次数。每一点有一棵树,树上的叶子表明攻击目标,节点的位置越高,表明受到的攻击次数越多、攻击的时间越长。

这个例子可以显示攻击的数据,是谁攻击谁、是一打多,还是多对一,以及背后的主控是什么关系。我们可以实时掌握全球每一个发起攻击和被攻击点的实时情况和追踪,还可以分析DDOS攻击主控的IP,揪出幕后的黑手。

这套系统是针对DDOS背后主控的实时监控和追踪。目前我们可以同时监控几千个全球活跃的DDOS主控。

绿色的代表主控,红色代表主控操纵的僵尸络、攻击目标。我们可以发现主控之间有一定关系,比如有的主控是单打独斗,有的貌似没有关系,他们之间有着比较复杂的帮派关系,有的时候聚在一起共同攻打一个目标。帮派和帮派之间也有关系,他们有的时候乃至交叉攻击。只有站在全球大数据的视野上才能真正看清在络上发生了甚么。

企业内部的安全公司,如果没有完全的数据,根本没办法看到一切,在不知不觉中遭受攻击,正常业务受影响,并且业务瘫痪。

大家的企业安全被描写成很糟、很黑暗,到处存在漏洞,重要的问题就是源于看见能力的缺失。看得见才能意识到威逼,看得见才知道威逼正在发生。看见以后才能防御,看见产生了甚么,每个个人和企业才会有安全感。

举个不恰当的例子。中国和美国都是络攻击的受害国。美国人也经常会举出一些例子试图证明中国在攻击他们的络。这就反映了两国在看见能力上的差异。我们的络也常常被国外攻击,但之前我们可能压根儿不知道,也看不见,就没有证据可以跟他们争吵。

再次强调,为何这次会议的主题是谈论看见。未来每个安全公司都要思考如何才能看见。

如何才能看见?看见的基础就是数据,实际上就是我们所说的基于大数据和深度学习做出的分析结果。因为所有的络行为都会形成痕迹,有痕迹留下就有数据,安全大数据是形成看见能力的基础。有了数据,还要有数据的关联能力、数据分析能力和数据发掘能力,结合安全专家的经验,才能形成看见的能力。

这个图展现的是歹意站追踪动态的3D图。是基于我们对歹意站监控的大数据做出的动态地图。一个歹意站如果要躲避监测,需要不断的变换地址,乃至每天变换多个IP地址,也有多个恶意站共用一个IP地址。把所有的数据组合在一起可以发现不同恶意站至今存在的关系。

歹意站不断变换着IP地址、域名,很难快速识别和进行拦截。通过360的系统可以及时发现,并且追踪它的变化。它无论怎样变化,都能够进行二次拦截。所以数据是基础,在大数据的基础之上,通过数据的关联、分析、挖掘、提取,结合安全经验,就应该可以看见你面临的安全威胁。我再次强调,看见了才谈得上防御。如果我们只是在企业内部部署一些边界防护设备,仅仅是拥有企业数据,而不具备大数据分析能力,你根本就无法看见整个络上发生了什么。

有些时候,我们听到一些报导,但你没有大数据,就会出现你看到的是,我看到的内幕。近热的安全事件是苹果事件。由于它的开发工具被植入了后门,致使很多知名的应用被植入了后门,引发了苹果用户的恐慌。

在今年年初,通过恶意后门访问主控站域名的数据解析,我们已发现了访问量,在4月份曾达到高峰。这里的红点表示的是站访问失败。随着更多APP的感染,对后门访问量的加重,致使后门制作者的站支撑不了这么大的访问量,导致访问失败。为何苹果用户会感到恐惧?是因为你看不见,你不知道你的上发生了甚么。

到9月份,突然出现特别异常的访问高峰,包括整个歹意主控站发生瘫痪。大家猜猜为什么?为何9月8号到23号这几天突然出现后门站访问量激增?其实是因为的新版本上线了,而的新版本也被感染了恶意代码。由于的用户量特别大,导致访问量的激增。

攻击者的主机承受不了这么大的访问量。因为它感染的APP超越了自己的想象,它主动把主机站下线了。

我们再看一个24小时的图,9点中招的访问量是多的,下午1点又是一个小高峰,晚上12点以后的访问量明显下落。说明很多人在9点上班的时候都喜欢打开,中午吃完饭也会用一用。从这背后的数据,可以看到很多内在的联系。

今天的结论很简单,就是看见会决定企业安全,看见也会决定国家安全。未来不管在国与国的络空间博弈中,还是在企业安全中,如果企业和国家真的缺少基于大数据分析的看见能力,必然会成为络攻击的受害者。

360已创办了10年。我们这些人原来没有传统安全的背景,原来是一帮做搜索的人。无意中用搜索的算法在全世界率先推出了基于云端的大数据云安全模型,积累了10年的数据,有超过13亿个安全探测点,还有数十万台服务器,随时感知各种新型络威胁。我们有61条DNS的解析记录,逐日新增100万,日查询300亿URL,日处理100亿URL,每日拦截访问的钓鱼站1亿次,总样本有95亿,日新增样本接近1000万。正是因为有了广泛的数据,才提高了我们的络安全的看见能力。美国追踪DDOS牛的几个公司,都会频繁的跟360交换,有些事件,他们要问360看见没有。一些互联的大腕公司,包括谷歌在内,也常常与我们主动交流,参与围观DDOS事件的追踪。有些大规模的DDOS攻击可能是位于中国的僵尸主机发起的,我们看见了,他们看不多。

习主席也提出没有络安全就没有国家的安全。近几年,国家间的ATP攻击非常多。截止到7月份,360监测到的向中国境内的政府部门、运营商、大型企业、科研院所等组织机构发动ATP攻击的境外黑客组织有13个。5月份,360发布了首份溯源APT报告,表露了某个境外黑客组织针对中国境内某政府组织发起的安全攻击。

在这次西雅图的会议上,我们表达了一个观点,如果不控制络攻击,对中国和美国来说都是灾害。无论是在政府间,还是在公司间,中国和美国都应该加强合作、沟通,加强技术和信息的分享,共同打击络犯罪,抵御络攻击。

我们建立了个威胁情报中心,超过200多家大型企业、机构在分享我们的数据。我们也加入了全球防DDOS攻击络,包括英国、美国在内全球几十个国家已经申请使用我们的威胁情报数据。

360希望可以帮助更多的企业发现威胁、看见威逼、看见安全。看见决定企业安全,看见的能力决定国家安全。下一个伟大的络安全公司一定是诞生在具有看见能力的企业中。

近有一个小说很流行,叫《3体》,弄IT的人以没看过《三体》为耻,我也不能免俗。的结尾,我想以《三体》的黑暗森林法则结束,它的意思是在宇宙里有不同的文明,每一个文明都不希望被更高级的文明看见。由于被发现总有一方被消灭。在络安全的攻防世界里,这个规则也适用。我们需要做到的是如何能看见更多的威逼。谢谢大家!

子宫内膜炎吃什么药
白带脓性是怎么回事呢
外阴瘙痒用什么治
本文标签: