360周鴻禕：所有的網絡攻擊都力圖讓你看不見

新浪科技訊 9月29日下午消息，在今天舉行的“2015中國互聯網安全大會”，360CEO發表了題為“看得見的安全”的主題演講。

在正式演講前，他調侃自己在中美互聯網論壇時就遇到了一場看得見的安全危機。他稱在活動現場他的褲子撕裂了，為了解決這一問題他只好換了一條白色褲子。但由於西裝色不統一，他又遭到了網友的吐槽。

對於安全本身，周鴻禕提到過去講安全，是把安全技術化、品化，提到的是防火墻、掃描、IPS、IDS。實際上今天所有的攻擊都是未知的，都力圖讓你看不見。攻防雙方的博弈已經從技術的攻防對抗變成了看見與看不見的對抗。

所以他認為，看見和看不見變成了安全公司和網絡攻擊之間最大的能力較量。

周鴻禕稱要看得見，解決的基礎是數據，即基於大數據和深度學習做出的分析結果。因為所有的網絡行為都會形成痕跡，有痕跡留下就有數據，安全大數據是形成看見能力的基礎。有了數據，還要有數據的關聯能力、數據分析能力和數據挖掘能力，結合安全專家的經驗，才能形成看見的能力。(文刀)

以下為周鴻禕演講實錄：

剛剛從西雅圖回來，收穫蠻多的。作為中國唯一一家參加中美互聯網安全論壇的安全公司，我們有很多安全的想法跟大家交流。

有一個收穫就是玩兒全世界最厲害的一把班門弄斧，在庫克面前推銷我的360手機。

我也收穫了最大的吐槽，這個故事是關於看見和看不見的故事。

大家吐槽我系了一根黃色的領帶，像一個土豪企業家。我知道這個領帶不好看，當時與會代表那麼多，一個個人高馬大，個子比較小的我要想讓人看見，就要系一條鮮艷的領帶。

第二個吐槽是我穿衣服的品位，沒有穿整套的西裝。作為安全專家，我遭遇了安全的問題，我的褲子撕裂了。當時我最想做的就是讓人看不見我的褲子撕裂了。我想了很多方法讓別人看不見，最后只好換了一條白色的褲子，就贏得了吐槽。大家覺得我今天的穿怎麼樣？還是聽一聽我演講的內容，不要關心我的穿。

有個算命大師為我算了一下，為什麼你的褲子破了呢？他你不應該招惹庫克。

這個演講的內容應該感謝我們的安全團隊。在過去幾年裏，他們不斷總結並提出我們對安全未來的看法。今天大會的主題，其實就是“看見”。

看見是一種能力，當過去我們講安全的時候，往往總是把安全技術化、品化，我們總是防火墻、掃描、IPS、IDS。實際上，今天所有的攻擊都是未知的，都力圖讓你看不見。攻防雙方的博弈已經從技術的攻防對抗變成了看見與看不見的對抗。製造威脅的人希望自己永遠不被人看見。但是，我們這些防禦的安全公司永遠希望看見整個網絡，這樣才能意識到威脅的發生。所以，看見和看不見變成了安全公司和網絡攻擊之間最大的能力較量。

我給大家舉一個例子。屏幕上展示的是一個網絡詐騙的追蹤實例。央視報導過這個例子，造10086的詐騙網站。藍色的時點表明它在不斷的變換域名和IP地址。從大數據來看，從1月份開始，這個詐騙網站就已經存在，為了躲避攔截，不斷的裝、變換，每變換一次就變成一個新的詐騙網站，有的時候一天要變好幾次。

我們利用大數據看到的不是一個詐騙網站，也不是1萬個詐騙網站，而是把這些詐騙網站背后的關係總結出來。我們可以一直持續追蹤，無論它怎麼變化，都能夠實時進行攔截。

我們對它的追蹤達到了秒級。有了這套系統，就不需要再對這個網站進行分析，直接可以確定它的詐騙身份，辨別速度加快。一旦生成新的網站，我們就會及時攔截，避免更多的用戶被騙。

下一個例子，我想講講DDOS攻擊，這是網絡上最讓人痛恨的。這是一個實時四維的DDOS攻擊系統，可以追蹤全球的情況。全球互聯網看起來很平靜，但大量的DDOS隨時都在發生，很多網站都在遭受程度不同的DDOS攻擊，嚴重的會影響用戶的訪問，甚至讓網站癱瘓。

在這個系統裏，每一個節點代表受攻擊的地點，包括攻擊的時間、攻擊的強度、攻擊的次數。每一點有一棵樹，樹上的葉子表明攻擊目標，節點的位置越高，表明受到的攻擊次數越多、攻擊的時間越長。

這個例子可以顯示攻擊的數據，是誰攻擊誰、是一打多，還是多對一，以及背后的主控是什麼關係。我們可以實時掌握全球每一個發起攻擊和被攻擊點的實時情況和追蹤，還可以分析DDOS攻擊主控的IP，揪出幕后的黑手。

這套系統是針對DDOS背后主控的實時監控和追蹤。目前我們可以同時監控幾千個全球活躍的DDOS主控。

綠色的代表主控，紅色代表主控操縱的殭屍網絡、攻擊目標。我們可以發現主控之間有一定關係，比如有的主控是單打獨鬥，有的貌似沒有關係，他們之間有比較複雜的幫派關係，有的時候聚在一起共同攻打一個目標。幫派和幫派之間也有關係，他們有的時候甚至交叉攻擊。只有站在全球大數據的視野上才能真正看清在網絡上發生了什麼。

企業內部的安全公司，如果沒有完整的數據，根本沒辦法看到一切，在不知不覺中遭受攻擊，正常業務受影響，並且業務癱瘓。

大家的企業安全被描述成很糟糕、很黑暗，到處存在漏洞，最重要的問題就是源於看見能力的缺失。看得見才能意識到威脅，看得見才知道威脅正在發生。看見以后才能防禦，看見發生了什麼，每個個人和企業才會有安全感。

舉個不恰當的例子。中國和美國都是網絡攻擊的受害國。美國人也經常會舉出一些例子試圖證明中國在攻擊他們的網絡。這就反映了兩國在看見能力上的差異。我們的網絡也經常被國外攻擊，但以前我們可能壓根兒不知道，也看不見，就沒有證據可以跟他們爭吵。

再次強調，為什麼這次會議的主題是談論“看見”。未來每個安全公司都要思考如何才能看見。

如何才能看見？看見的基礎就是數據，實際上就是我們所的基於大數據和深度學習做出的分析結果。因為所有的網絡行為都會形成痕跡，有痕跡留下就有數據，安全大數據是形成看見能力的基礎。有了數據，還要有數據的關聯能力、數據分析能力和數據挖掘能力，結合安全專家的經驗，才能形成看見的能力。

這個圖展示的是惡意網站追蹤動態的3D圖。是基於我們對惡意網站監控的大數據做出的動態地圖。一個惡意網站如果要躲避監測，需要不斷的變換地址，甚至每天變換多個IP地址，也有多個惡意網站共用一個IP地址。把所有的數據組合在一起可以發現不同惡意網站至今存在的關係。

惡意網站不斷變換IP地址、域名，很難快速識別和進行攔截。通過360的系統可以及時發現，並且追蹤它的變化。它無論怎麼變化，都能夠進行二次攔截。所以數據是基礎，在大數據的基礎之上，通過數據的關聯、分析、挖掘、提取，結合安全經驗，就應該可以看見你面臨的安全威脅。我再次強調，看見了才談得上防禦。如果我們只是在企業內部部署一些邊界防護設備，僅僅是擁有企業數據，而不具備大數據分析能力，你根本就無法看見整個網絡上發生了什麼。

有些時候，我們聽到一些報導，但你沒有大數據，就會出現你看到的是新聞，我看到的內幕。最近最熱的安全事件是蘋果事件。由於它的開發工具被植入了后門，導致很多知名的應用被植入了后門，引起了蘋果用戶的恐慌。

在今年年初，通過惡意后門訪問主控網站域名的數據解析，我們已經發現了訪問量，在4月份曾經達到高峰。這裏的紅點表示的是網站訪問失敗。隨更多APP的感染，對后門訪問量的加劇，導致后門製作者的網站支撐不了這麼大的訪問量，導致訪問失敗。為什麼蘋果用戶會感到恐懼？是因為你看不見，你不知道你的手機上發生了什麼。

到9月份，突然出現特別異常的訪問高峰，包括整個惡意主控網站發生癱瘓。大家猜猜為什麼？為什麼9月8號到23號這幾天突然出現后門網站訪問量激增？其實是因為微信的新版本上線了，而微信的新版本也被感染了惡意代碼。因為微信的用戶量特別大，導致訪問量的激增。

攻擊者的主機承受不了這麼大的訪問量。因為它感染的APP超出了自己的想象，它主動把主機網站下線了。

我們再看一個24小時的圖，9點中招的訪問量是最多的，下午1點又是一個小高峰，晚上12點之后的訪問量明顯下降。明很多人在9點上班的時候都喜歡打開手機，中午吃完飯也會用一用。從這背后的數據，可以看到很多內在的聯繫。

今天的結論很簡單，就是看見會決定企業安全，看見也會決定國家安全。未來無論在國與國的網絡空間博弈中，還是在企業安全中，如果企業和國家真的缺乏基於大數據分析的看見能力，必然會成為網絡攻擊的受害者。

360已經創辦了10年。我們這些人原來沒有傳統安全的背景，原來是一幫做搜索的人。無意中用搜索的算法在全世界率先推出了基於雲端的大數據云安全模型，積累了10年的數據，有超過13億個安全探測點，還有數十萬台伺服器，隨時感知各種新型網絡威脅。我們有61條DNS的解析記錄，每日新增100萬，日查詢300億URL，日處理100億URL，每日攔截訪問的釣魚網站1億次，總樣本有95億，日新增樣本接近1000萬。正是因為有了廣泛的數據，才提高了我們的網絡安全的看見能力。美國追蹤DDOS最牛的幾個公司，都會頻繁的跟360交流，有些事件，他們要問360看見沒有。一些互聯網的大腕公司，包括谷歌在內，也經常與我們主動交流，參與圍觀DDOS事件的追蹤。有些大規模的DDOS攻擊可能是位於中國的殭屍主機發起的，我們看見了，他們看不多。

習主席也提出“沒有網絡安全就沒有國家的安全”。最近幾年，國家間的ATP攻擊非常多。截止到7月份，360監測到的向中國境內的政府部門、運營商、大型企業、科研院所等組織機構發動ATP攻擊的境外黑客組織有13個。5月份，360發布了首份溯源APT報告，披露了某個境外黑客組織針對中國境內某政府組織發起的安全攻擊。

在這次西雅圖的會議上，我們表達了一個觀點，如果不控制網絡攻擊，對中國和美國來都是災難。無論是在政府間，還是在公司間，中國和美國都應該加強合作、溝通，加強技術和信息的分享，共同打擊網絡犯罪，抵禦網絡攻擊。

我們建立了中國第一個威脅情報中心，超過200多家大型企業、機構在分享我們的數據。我們也加入了全球防DDOS攻擊網絡，包括英國、美國在內全球幾十個國家已經申請使用我們的威脅情報數據。

360希望可以幫助更多的企業發現威脅、看見威脅、看見安全。看見決定企業安全，看見的能力決定國家安全。下一個偉大的網絡安全公司一定是誕生在具備看見能力的企業中。

最近有一個小很流行，叫《三體》，搞IT的人以沒看過《三體》為恥，我也不能免俗。最后的結尾，我想以《三體》的“黑暗森林法則”結束，它的意思是在宇宙裏有不同的文明，每一個文明都不希望被更高級的文明看見。因為被發現總有一方被消滅。在網絡安全的攻防世界裏，這個規則也適用。我們需要做到的是如何能看見更多的威脅。謝謝大家！