这两张图展示了我们基于中国移动钓鱼欺诈和仿冒的站点之间的关联,下面是我们看到黑客利用的新的手段,去隐藏他们对于僵尸网络的控制。另外一个图展示了我们对全球DDoS攻击的态势监测,我们利用互联网整体数据的收集,能看到像上面这张图,利用这种攻击方式,在一个三维可视化的过程中,把攻击的类型、攻击的时长和激烈程度,被攻击的目标、攻击来源信息都能够充分体现出来。同时在下面也可以看到,在全球活动中一些比较大的僵尸网络之间的关联关系,通过数据的方式都呈现在我们面前。
更广泛的应用不光是网络安全方面,我们把它扩展到业务的安全,或者和大众相关的安全应用,其实我们最近也发挥了这样一个系统,我们对全国伪基站的状态进行监控,这是态势和追踪的情况,这张图是北京的地图,这是一天当中一个时点伪基站在北京城里面的活动状态,可以看到一个非常有意思的现象,可能从八达岭高速、包括北苑路,就像我们上班一样,从这几条路进城,开始进入到发达地区,发送一些欺诈短信、垃圾短信等等,我们还通过这样的系统和数据分析,可以把其中的一些欺诈信息网站定位下来,甚至绘出它一天移动的过程。通过这些分析成果,我们也相当于把这些成果报给网络监管机构,包括网安部门,他们也针对性地对这些犯罪活动进行了打击。
从上述的表述可以看到,其实我们在做数据驱动安全的过程中我们在做一些事情,通过我们找到的线索去做一个拼图,把这个线索拼成一个事件的全貌,最终我们看到整体和背后是一个什么样的情况。这在原来是无法想象的。
有一个比喻,我们原来做网络安全防护的时候只盯住一个点,在现在的环境下,往往是达不到很好的效果的,比如说我们希望研究一片叶子上的威胁预警,我们必须研究整体的森林,这样就引出我们对于数据能力的关键。最为关键的能力是我们要拥有数据,从360来讲,在网络安全方面,我们可能拥有现在中国最大的数据量,包括我们90亿的样本库,包括防护的经验,包括我们对DNS解析的数据,以及对漏洞数据的收集。正是这些海量数据汇集在一起,才能有效地从数据挖掘中得出安全的结论和关联分析。
除了拥有数据之外,还要具备非常强的处理能力,我们用四万台服务器进行安全数据的处理,在这个过程中我们用于安全上的数据量已经超过了一个TB。除了数据计算以外,我们还有很多方面进行数据的挖掘,数据的大并不是关键点,而在于我们能不能从海量数据中通过数据挖掘和分析的方法,得到我们想要的这些内容。这个过程中,其实我们在这些包括机器学习、和挖掘方面积累了很多的经验,才能看到这些案例和结果。
另外一个就是协同的问题,我们有了这些数据,我们有了这样一个能力,我们对于传统的已经失效的方法怎么样发挥效果,所以协同是一个非常关键的步骤。其中一个点,见微见广,在云端和本地的大数据平台结合起来,把我们在云端的大数据平台和本地轻量级平台结合,做一个攻击的发现,其实我们在本地平台上也已经在实际的服务器上做到了几千亿的样本处理和分析,同时能够联动我们响应的过程。
另外一个方面,改变传统。刚才把我们说到的云端数据的平台和大数据平台终端结合起来,包括传统的一些防护点,比如像我们的终端网关,不仅仅进行防御,而且让它变成传感器,数据采集器,把我们在各地的数据汇总起来,形成整体的数据采集、大数据的分析,以及之后的响应,形成这样一个闭环,我们真正能够做到和终端产品、传统的网关产品之间的连,让它们再把自身的能力发挥出来。
另外,追本溯源,网络攻击和黑客攻击我们都能从大数据平台上从一点线索出发,把关联线索都关联出来,我们手里有样本,我们能找到远端控制端的服务器IP,能够找到用于挂马和控制的域名,以及域名背后的注册关联信息,就是在这样一个可视化的关联分析系统中,我们不再能够看到一片叶子,而是能看到在森林里到底发生了什么。
更多的我们把这些数据和情报应用推到更广,做威胁态势感知系统,对于不管是行业性的还是监管机构能够对本地区的安全态势有一个更完整的调整,从而能够变到更多安全事件的应对,起到预警和报警作用。
另外一个点,我们360在去年的时候发布了国内第一个威胁情报中心,也是希望用我们360的力量能够把我们所掌握的部分数据向我们的业内、向我们的企业、向我们的政府去开放,做一些数据的共享和连接的努力,从而能够让业内的水平推到更高的位置上。所以大家可以看到这样一个网址,可以看到在安全方面更有效的数据内容提供,来推进整个业内的发展。