齐向东详解第三代网络安全新技术

2019-04-12 15:20 千龙网

打印 放大 缩小

在第十七届中国互联网大会上,北京奇安信科技有限公司(360企业安全集团)董事长齐向东详解了第三代网络安全新技术。

齐向东盘点了计算机网络病毒的发展历史,将其分为三个阶段:第一个阶段是1987年-2000年,对应第一代网络安全技术;第二个阶段是2001年-2015年,对应第二代网络安全技术;第三个阶段是2015年之后,对应第三代网络安全技术。

第一代网络安全技术核心是“查黑”,黑名单机制,策略是“非黑即白”。齐向东进一步介绍,当时病毒样本数量很小,即便到了2000年,每年病毒数量才1万种,这种增长速度很缓慢,平均到每天高峰时也就几百个,而且多数电脑感染之后不是立刻发作,而是滞后几天、几周甚至几个月,这为查杀病毒赢得了宝贵的时间。因此,当时的应对方式是人工分析病毒的特征码,在电脑里通过扫描文件进行匹配、查杀。

2001年以后,互联网开始普及,出现了能自我复制、自我传播的蠕虫病毒。蠕虫病毒与一般病毒最大区别在于自动扫描并利用系统漏洞和服务端口,借助互联网、企业内网、电子邮件、网站挂马等方式进行传播,数十分钟就能蔓延至全球网络。与此同时,流氓软件爆发,把木马数量进一步推高到每日峰值时期的近1000万个,导致病毒库无法及时更新;另外,网络病毒的传播速度极快,传统杀毒软件滞后几天、几周才能查杀的弊端凸显,“黑名单机制”宣告失效。

齐向东介绍说,为了解决网民安全上网难题,在2006年有了第二代网络安全技术“查白”,白名单机制,策略是“非白即黑”。只要不在白名单中,就可能是新的木马病毒,进而限制其敏感操作,这个方法攻克了当时黑名单瞬息万变不可捕捉的难题。

网络攻防的对抗性,决定了没有攻不破的盾。随着产业互联网、工业互联网和万物互联网快速发展,以及漏洞挖掘利用产业化,2015年前后,APT攻击成为主流,出现了大量“白利用”攻击手段。黑客利用已知或未知的系统漏洞,把恶意程序注入到系统白文件中,操纵系统文件对系统进行攻击,让安全软件看上去是一个系统文件的正常操作,以躲避“查杀”。

“白名单机制也不再是灵丹妙药,好比我们守着安检门,但黑客跟随有免检证的人走了VIP通道。”奇安信提出了“查行为”的第三代网络安全技术,用数据驱动安全,不再无原则地信任白名单,而是从关注样本黑与白上升到关注网络行为。

齐向东表示,第三代技术突破了终端和边界的限制,通过尽可能全地收集大数据,对每个样本、ID、IP、流量进行计算,判断行为是否合法,把可疑行为找出来告警,人工智能的大数据行为分析上升成为核心技术。

责任编辑:闫冬(QT0005)