齐向东：网络安全进入“查行为”的第三代体系

“网络安全防御体系不能再绝对信任白名单，现在必须进入到‘查行为’的第三代体系。”360企业安全集团董事长齐向东26日在第五届“4.29首都网络安全日”活动中，对未来网络安全防御体系的发展提出了自己的见解。

近年来，伴随着互联网技术的不断深入发展，网络安全威胁和风险日益突出。全国人大在去年8-10月份进行的一次大检查显示，全国有大约四分之一的单位的网络安全存在着安全问题，严重地威胁了人民群众的财产安全和信息安全。

齐向东表示，第一代安全体系是“查黑”，主要是基于病毒库来进行查杀，也就是说，只要不在黑名单内，都被认为是合法的;第二代是“查白”，也就是360创新推出的白名单机制，这种机制利用云技术收集了国内最全的白名单，覆盖了99%以上网民常用的应用软件。只要一个文件不在白名单中，360云查杀引擎就会限制它的操作，并进行安全鉴定。

随着人类社会步入人工智能时代，这种“非黑即白、非白即黑”的网络安全体系已经很难满足现实的需要。“以往靠黑名单、白名单的安全防御手段都失效了，非黑即白很难在第一时间发现新的木马和病毒，存在滞后查杀的缺陷;非白即黑也存在‘混白’的问题，这些都会给网络带来巨大的安全隐患。”齐向东说。

齐向东指出，第三代“查行为”的网络安全体系，是当前网络安全领域较为理想的解决方案。这个体系以尽可能全面地采集大数据为基础，以机器学习、人工智能的行为分析为核心，以威胁情报和应急响应为关键。具体来说，“查行为”主要分三方面的内容：第一，通过威胁情报，确定攻击行为;第二，通过机器学习，建立行为基线;第三，对超出基线的可疑行为，进行告警。

记者了解到,目前包括迈克菲、卡巴斯基在内的安全厂商都在积极布局这一领域，借助大数据的力量来丰富、完善自身的产品体系和防御能力。惠普、IBM、华为等企业也都开始将这一防御技术引入到自身的产品体系中，例如华为构建的立体安全防护体系，运用大数据分析系统进行样本分析和策略控制，实现对黑客供给链的精准呈现以及及时防御。

作为国内专注安全领域的领军企业，360在2015年就提出了“数据驱动安全”的技术理念，经过几年探索和实践，目前已建成了比较完备的第三代“查行为”的核心技术体系，推出了态势感知系统、威胁情报分析、安全运营平台等一系列解决方案。

这些成果也在4月26日至28日举行的第五届“4.29首都网络安全日”活动期间进行集中展示，其中包含了360基于“数据驱动安全”技术理念下形成的数字城市安全防护体系，包括数字城市综合安全态势、数字城市物联网安全态势、数字城市关键基础设施安全态势三大系统。

其中，数字城市综合安全态势感知系统可实时展现数字城市的综合安全态势，并实现数字城市的全方位网络安全防护和管理。数字城市物联网安全态势感知系统可对数字城市的物联网安全进行全面防护和安全运营管理，包括对交通信号灯、智能家居、智能水表等物联网设备进行安全监测和防护。而数字城市关键基础设施安全态势感知系统则可对数字城市的水力、电力、燃气、通讯、交通等领域涉及的关键基础设施的资产进行管理，对安全状况进行持续监测和响应，以保障关键基础设施安全。