看自称土人谭晓生 带360检测网络攻击

在第三天的中国云计算大会云计算安全论坛上，来自360的首席隐私官、副总裁谭晓生发表了题为“基于大数据分析的网络攻击检测”的主题演讲。详细解读互联网时代企业面临的安全威胁，并分享了360在“云+端+边界”安全防护方面的实践经验。

谭晓生的演讲主要谈论的不是保护公有云或是私有云的安全，而是讨论如何运用云计算的方法来解决安全问题。这就要结合360在过去两年半的实践。

作为安全公司的360也是被别人攻击的热点，在被攻击的两次情况中损失惨重，威胁到360的白名单，甚至以致威胁到国家安全。而现今的防御不再是针对钓鱼等“薄利多销”的时代，但是我们已然对其查杀，但今天主要的防御进入到针对精确制导的APT攻击，这是今天网络防范的重点也是难点。

根据去年美国的一家安全机构的发布的APT攻击热门排行榜，排名第一的依然是政府，但是与去前两年相比，2013年服务类行业、高科技机构排名提前了。这就像是一个大规模杀伤性武器进入民间，之前更像是国家跟国家之间的斗争所采用的，现在则像是医疗服务机构是被渗透的重点。可以预见在未来的市场竞争中企业和企业之间也可能采用APT这样的手段，所以企业也需要类似的防范手段。

不禁发问防御的基础是什么。在此提出四个假设，第一个场景是系统有未发现的漏洞，第二是系统已发现的漏洞未修补，第三假设系统已经被渗透，最后第四是员工不可靠。对于做防御这件事来说，我们首先要知道攻击者是谁，很多事件的信息都是内部员工泄露出来的，这是未来信息安全防御的一个难点，这就要求作防御的工作人员具有攻击者的思维，去思考攻击者是怎么攻击的。

针对攻击过程，除了前线的探测、防御，我们现在有一个防御的大招，就是用数据来驱动企业安全。相应的解决方案就是数据化一切，把所有访问数据经过数据清洗和压缩然后做存储，我们实践存下来的其实只有千分之三，其中我们会关心服务器的运行记录，网络与拓扑的变更记录，网路的访问记录，和文件传输及行为记录，对于得到的数据就要做异常分析。

整个的思路是用大数据做工具，最终智能化是引擎，智能化就是学人的攻击知识和数据挖掘的知识，做这套系统的人一半是黑客一半是程序员，程序员实现大规模的数据分析，黑客把攻击思想贡献出来。

谭晓生认为现在的网络安全防范也包括云计算就是私有云和公有云的防范其实有不得不用的一招儿，就是基于大数据全流量跟定，在其中找异常，在这里面需要去解决的一个问题就是数据的保护问题，因为把所有数据都跟下来了，这要是用在公有云的情况下马上就会有涉及隐私的问题出现，这就是接下来要努力去解决的问题。现在全球趋势来看这是目前在解决未知威胁的一种比较靠谱的方法。去年还在讲这个概念，见年就能看见实际的产品，比较欣慰的是360在去年年初就有使用了。