數據驅動 協同致勝
——專訪360企業安全集團副總裁王偉

隨著國家關于信息安全的政策不斷加碼，并將其上升到戰略層面，我國信息安全產業逐漸覺醒，相關廠商不斷研發新技術，保證信息安全措施落到實效。目前，大數據安全分析已成為全球信息安全發展的趨勢和方向，各廠商也不斷推出基于大數據的安全產品。360總裁齊向東更是提出，協同聯動將成為網絡安全標配。

如何理解大數據安全？360的協同聯動是什么樣的？360又是如何幫助用戶實現大數據安全的？帶著這些問題，近日，本刊記者專訪了360企業安全集團副總裁王偉先生。

安全產品走向“漸廣”

圖1 360企業安全集團副總裁王偉

過去，每個安全產品都是一個獨立的信息孤島，而產品就像研究人員，他們利用顯微鏡不斷挖掘、發現更加細微的危險，這種方式稱之為“漸微”。王偉表示， “漸微”在已知威脅的情況下比較有效，而現在的大數據安全則提供了一條“漸廣”的道路。“漸廣”的基石在于海量的終端數據，通過將多維、異構的數據關聯在一起，就有可能從中發現有問題的顆粒。這些顆粒有可能是由安全分析人員確定的、有可能是機器學習得來的、也有可能是用戶自己提交的，再將這些有問題的顆粒分享到安全設備或者安全產品上，進行數據關聯，就能夠得到確定的數據結果。

圖2 360安全協同的不同維度

王偉認為，“漸微”和“漸廣”在未來應該是結合的，因為在新形勢下，過去的防御措施已經不再有效，需要通過新的技術提高發現未知的能力。

以數據驅動為本

單打獨斗已經不適合目前的網絡安全戰場，需要更多的是協同，360也提出了協同聯動的概念，包括數據協同、智能協同和產業協同。

其中，數據的協同分為量級協同、異構協同和云地協同。據王偉透露，360擁有PB級的數據數量，不僅如此，還擁有5-6億的PC端用戶、7億的安卓手機端用戶，他們能夠源源不斷地生成新的數據。如此海量的、多維的、異構的數據，提高了機器的學習能力，也提高了發現異常的能力。

其實，除前面提到的“漸微”、“漸廣”的能力之外，大數據安全還提供了數據拓展、安全分析拓展的能力，這些都體現在了異構協同上。

異構協同，就是指基于多維數據，將分散各點的關系找到。例如，可以根據一個URL找到其注冊者，若該URL確定是惡意URL，那么該注冊者的其他域名也有可能是有惡意的。其實，域名僅是異構其中的一個維度，另外還有注冊人、QQ號、郵箱等等，可通過搜尋信息將這些數據組合在一起，成為一張數據網格。

過去的產品在出廠的時候已經既定了計算能力，而現在，云端有海量的數據，并且能夠無限擴展，這是單一設備無法做到的。王偉表示，360可以把云的能力和本地設備的能力集成在一起，生成數據，進行數據加工，然后進行交換和同步。設備端能夠將檢測到的數據送到云端做分析（例如云查殺），云端經過安全人員運維、機器學習已經確定了的情報也可以推送到設備。

相比前兩種協同，王偉表示，云地協同更貼近企業安全管理員，因為他們需要考慮購買設備的廠家能否提供云端擴展的服務，這個設備的可擴展能力和安全監測能力到底如何等等。

王偉表示，360所有的安全產品都是數據的生產者，在完成本身性能的同時能夠產生有商業價值的數據，這些數據再匯聚到大數據平臺（公有云或者本地大數據平臺）上。目前，360的終端產品、天擎、天眼大數據平臺，和云端的威脅情報中心幾者之間已經打通。

人與機器相交互

智能協同分成三個部分，分別是機器與機器間的協同、人與人的協同和人與機器的協同。

機器與機器間的協同指的是產品要一體化設計，這不僅僅是數據接口的問題。因為一臺機器在什么情況下能夠生成消息、這個消息的可信度是多少、別的機器要怎樣接收這個消息，這些都需要協同。王偉表示，在機器與機器間的協同方面，還有很長的路要走。

在人與人的協同方面，360推出了企業SRC。王偉表示，如果用戶購買了360的補天產品，其實就是購買了360為其量身定制的應急響應服務，360會調集資源尋找安全服務商給企業尋找漏洞，并只將信息提供給該企業。

第三個是人與機器的協同。在這方面，360能夠提供可視化的、基于大數據的安全分析平臺，就是天眼。人與機器的協同，是指結果不是機器算出來的，而是經過安全人員思考之后去觸發分析，機器只是從后臺將這些分析數據搜尋出來，再提供給安全人員進行分析，如此不斷循環，最后找到全局全貌，推送給本地設備。用戶能夠將這些情報轉換為自己所用，比如防火墻，將其納入防控規則的變量。當惡意樣本數量較多的時候，需要描繪出一個龐大的安全網，但是一個人或者一臺機器的力量是有限的。因此天眼產品支持多路人員使用，每個人只需分析其中一小塊兒，再將結果融合在一起。

而對于產業協同，王偉表示，產業協同其實就是信任開放，能力互補。360可以提供大數據平臺，并且開放接口，目前也正在招募具有開發能力的安全服務商，因為他們更了解用戶的需求，可以利用數據根據客戶業務特性進行二次開發。