老周话安全 | 应对大安全时代网络威胁，看见是1，其它是0

前言
昨天，“老周话安全”为大家解读了大安全时代的网络安全现状，指出网络空间的安全问题已不再是从单纯的信息安全，已经扩展到国家安全、国防安全、关键基础设施安全、社会安全、经济安全和个人安全。我们已经进入“大安全”时代，而APT（高级持续性威胁）攻击是大安全时代的最大威胁。今天，“老周话安全”将为你解读应对APT攻击的破局之策。

在大安全时代下应对APT攻击，“看见”是关键，最可怕的是“别人来了你不知道，别人走了你也不知道，干了什么也不知道，留下了什么你更不知道”。没有攻不进的系统，只有不努力的黑客。如果我们不能解决看见网络攻击的问题，堆砌再多的安全产品，也如同打仗没有雷达，有再多的导弹也看不到别人的隐身飞机在哪里。这样的话谈何溯源？谈何反制？谈何响应？所以，看见APT攻击是1，其余都是0，只有看见了，其余才能发挥作用。

那么如何实现“看见”呢？需要三个必要条件：安全大数据是看见的基础；威胁情报和知识库帮助在大数据中筛选；高级别攻防专家起决定性作用。

一
安全大数据是看见的基础
单一、局部数据只能反映碎片化痕迹，无法还原整个攻击过程，只有把所有的碎片数据统一起来，才能看到攻击的来龙去脉。企业和个人的设备在一张网里，只有企业的数据是不够的，网络攻击链条无法绕开“个人”，事实表明，大部分线索都是从“个人”这里先找到的，必须拥有全网大数据。
二
威胁情报和知识库帮助筛选

面对浩如烟海的大数据，如何把所有攻击行为数据记录下来，如何区分正常行为与恶意行为？这就需要用到人工智能。360的人工智能技术起步较早，2010年时，人工智能尚未兴起，但360已经应用了机器学习技术，首创了360QVM人工智能引擎。

但是，人工智能不是万能的。人工智能筛选恶意行为的前提是知识库。唯有通过知识库标记问题数据，才能训练人工智能技术。

知识库包含恶意样本、攻击行为和模型等。目前360积累汇集了230亿恶意样本。今天，其他国家网军制作的攻击软件也不是“从石头里蹦出来的孙猴子”，它一定参考了很多成熟的恶意代码技术。所以，通过知识库驱动的人工智能就能发现这些攻击行为。
三
高级别攻防专家起决定性作用

网络攻击的本质是人与人的对抗。当利用大数据、知识库筛选出可疑的入侵线索以后，靠任何自动化的软件自动甄别、阻断是不可能的，需要通过专家快速响应、深度分析，才能够发现和定位攻击，及时阻断、止损及溯源。

目前，360拥有超200人的安全精英团队，超3000人的安全专家团队，17支攻防专家团队，12个安全研究中心。这不是一夜之间积累的，而是通过十几年在安全行业不断积累、招募、培养才形成的。

这三点就是360网络安全大脑的核心资源。

在网络空间中，

安全大脑的角色相当于现代战争的雷达，

是能“看见”APT攻击、威胁的眼睛。