瀚思科技创始人高瀚昭在演示HanSight网络安全态势监测中心
“《速度与激情7》中有一套酷炫的‘天眼系统,随时随地调用人或事的影像,辨查正邪。虚拟世界的‘天眼’更胜一筹,能自动从万千数据中,抽取病毒共性特征,觉知恶意‘攻击’。”
“他说‘机器学习’能解决垃圾邮件问题,我当时还不信。”7月17日,坐在瀚思的会议室里,高瀚昭自嘲,“可是没别的办法,就死马当活马医吧。”
高瀚昭口中的“他”是万晓川,现担任瀚思科技公司首席科学家。“他在美国拥有十几项专利,是目前我见过的数据安全行业智商最高的。”提起搭档,高瀚昭一改理工男的不善言辞,开始诚挚赞美。
2008年前后,垃圾邮件“排山倒海”,“人工分类不现实、规则过滤也很难判定。”高瀚昭说,传统方法几乎技穷。
万晓川提出的应对新策略“医”出个垃圾邮件识别率全球第一的系统。高瀚昭回忆,“用算法让机器学习,然后应用在反垃圾邮件上。当时Hotmail、雅虎等垃圾邮件的过滤引擎是我们做的。”
之后,他们笃信机器能够像孩子一样学习,就看能不能教好。
抬头就会嗅到风动
《动物世界》类的纪录片里经常出现这样的场景:在非洲草原上,一群鹿低头吃草,不时有几只鹿抬头,一旦嗅到风中“信息”的变化,就瞄着一个方向急速奔跑,带动剩下的鹿跟从。
高瀚昭和他的团队就是行业内第一批嗅到风动的“鹿”。“2006年,病毒突然成百倍增长,之前是人工手写病毒,一天就出一两个。”高瀚昭说,“后来病毒开始了机器的批量生产,一天上千个,人工跟不上,我们就研究自动分析病毒。”
应对转变,他带领当时的团队尝试几百台机器协同的分布式计算、尝试让病毒在“虚拟机”中运行,这些技术后来成为了业内通用的做法。
2013年权威咨询公司Gartner在报告中表示,未来的数据安全将逐渐从防御向快速检测响应转变。在同年的美国信息安全大会上,高瀚昭也获得了类似信息。
风向标给出了大信号,高瀚昭判断,数据安全的实现方向就要发生改变。“之前也看过论文说,通过机器学习实现自动防御在学术上有解了。”
同时嗅到了理论和产业上的“风动”,高瀚昭决定“起跑”,“技术有办法、用户有需求、产业有预测,我的积累又正好在大数据和安全这两个领域,还不弯道超车吗?”
2014年10月,高瀚昭离开呆了12年的趋势科技公司,开始找钱找人拉起大旗。
遇到董昕时,董昕正在智能硬件领域创业。高瀚昭开门见山问他,做智能硬件门槛太低没前途,我做的事比较有意思还有意义,要不要来一起干?“他说想一想,没几天就答应了。”
把老同事万晓川拉进来,则酝酿了很久。“我不好意思去老东家直接挖人,就一直等人爆料,终于等到他想离开,我立即去南京找他。”高瀚昭回忆,“开始他不答应,说不来北京,要回成都,我就说,公司在成都给你开个分中心。”这个决定请动了万晓川。
瀚思“四英”的最后一名成员是董昕的老同事沈海辉,负责销售,2015年8月到位,“他来后两个月,我们就完成了第一单。”
顺势而为总能迎来顺理成章
就像马云对撒贝宁说“我对钱没有兴趣”。在获得B轮1亿元融资后,高瀚昭说:“我一直觉得拿投资很简单。”
高瀚昭谈起第一次为公司找投资,2014年底,他一边注册公司一边谈投资,公司还没注册完,投资就谈好了,“就谈了两次,第一次我自己去,第二次是和董昕去,之后没多久就签了协议。”
无公司、无产品、无队伍,当年“三无”的高瀚昭和董昕,不到一个月就获得了光速资本一千多万元的投资。
为什么能获得投资人的信任?高瀚昭自己分析,“尽管我的产品还在概念阶段,但需要它的市场大,采用的技术方向有前瞻性,他(投资人)也相信我们能组建好团队。”高瀚昭跨国公司的工作经验、从零组建合作公司的履历起了作用,更重要的是“我根据经验对产业发展的预判获得了赞同”。
有了资金,随后的发展顺理成章。2015年6月一代产品有了雏形。“饥渴”的市场二话不说就为他们的第一款产品买了单。
“用户很简单,不图产品有多完美,只要能解决问题。”瀚思的第一款产品拿到某商业银行,立刻解决了老系统无法处理每天1TB客户网银日志数据的问题。“我们不仅能够快速处理大量数据,还用机器学习的方法从这些日志中分析出了安全隐患,招行就买了单。”
在安全问题突出的金融领域“开张”之后,燃气、公安、通信等领域也陆续成为瀚思的客户,选用主动防御的数据安全模式。
教机器“认毒”要睁大眼睛还要精明
6月27日,乌克兰等多国遭受Petya勒索病毒袭击,病毒侵入电脑后偷偷命令电脑一个小时后重启,启动中改写磁盘,随后显示“电脑被锁,想解锁开机就交价值300美元的比特币”。
“想想有点惭愧,我从事了20年的安全行业至今无法回答‘毒’从哪来、要做什么的问题,除非病毒‘打上门来’。”高瀚昭说。之前的应对方法是,将可疑病毒在“虚拟机”上运行,如果发生了恶意篡改、木马调用,就判为病毒,随后发布“病毒特征码”广而周知。
“不能等‘打上门来’才抓,得在‘坏人’一露面就认出来。”高瀚昭说,“我们教会机器做这件事。”起初,高瀚昭团队先告诉机器10000+次这样的文件是病毒或恶意程序,当第10001+个文件出现时,机器就会判断了。
“这个1.0版还不够聪明,”高瀚昭说,真正的“数据安全警长”,“眼睛瞪得像铜铃”还要“射出闪电般的精明”。
2015年,瀚思公司开始了核心产品企业安全智能平台3.0的研发工作,让系统“精明”起来——为了对海量数据快速扫描,他们借用“一目十行”的理念,将代码转为“图像”模式,百倍提高处理速度;分派四类角色充当机器“教导员”——分析人员,搞清楚病毒怎么认出;写代码人员,把分析人员的思想写成“机器语言”;现场人员,发现系统问题、反馈完善;规则人员,建立整个循环流程的规则。
高瀚昭的理念里,企业的人才构架要形成滴水不漏的循环。“有了这样的团队配合、而且关键节点的人不掉链子,就能奏效。”
和病毒制造者赛跑,2016年9月,一个能够分析环境、根据场景和数据源学习的安全平台诞生,“我们松了口气,系统实现了通用。”
“它到一个新环境会先学习,根据自己的经验找到新环境里‘坏人’的特征,”高瀚昭解释,“可以这样比喻,它能适应环境,而且我们教它1+1=2之后,它自己能算出来2+3=5。”
正是这个通用系统,在今年3月就发现了此前提到的Petya勒索病毒的蛛丝马迹,“5月初在用户数据中发现,我们一下子重视起来,当即通知用户防范。”
高瀚昭一度认为做安全没了前途,“一个防毒软件上市没几天就会被黑客破解”,如今他创造出精明的“天眼”,“街道摄像头有没有把图像传到不该传的地方?汽车传感器有没有被攻击?”高瀚昭说,“我们已经发现上万台摄像头被不法利用,要做的事太多了。”(记者 张佳星)
