周鸿祎：“看见”才是首要职责，都看不见还谈

【钛媒体综合】360公司董事长周鸿祎刚从西雅图回来，又马不停蹄地参加另一场西装革履的大会。今日，2015中国互联网安全大会（ISC 2015）暨中国互联网安全领袖峰会在北京国家会议中心召开，中美网络安全专家在大会上发表了主题演讲。

周鸿祎在以“看见”为主题的演讲中表示，看见和看不见变成了安全公司和网络攻击之间最大的能力较量。

看见是一种能力，当过去我们讲安全的时候，往往总是把安全技术化、产品化，我们总是说防火墙、扫描、IPS、IDS。实际上，今天所有的攻击都是未知的，都力图让你看不见。攻防双方的博弈已经从技术的攻防对抗变成了看见与看不见的对抗。

他举例说被央视曝光的伪造10086的诈骗网站为了躲避拦截，不断的变换，每变换一次就变成一个新的诈骗网站，有时候一天要变好几次。用大数据可以看到这些不断变换的诈骗网站的背后关系，这样才能时时阻拦。

所以安全大数据是能够“看见”的基础，再通过数据的关联、分析、挖掘、提取，才能谈如何防御。

例如，在这次苹果染毒事件中，由于它的开发工具被植入了后门，导致很多知名的应用被植入了后门，引起了苹果用户的恐慌。这些苹果用户之所以恐慌，是因为他们看不见。而通过恶意后门访问主控网站域名的数据解析，可以看见后门访问量的变化、恶意主控网站瘫痪和微信新版本上线之间的关系。

只有看见这些内部关系，才能保卫安全。

，善于自嘲的老周还以西雅图西装不成套事件讲述“看见”与“看不见”的故事。老周说他作为一个安全专家，却遭遇了安全问题，那就是裤子撕裂了。为了让大家“看不见”裤子破了，无奈只能重新换一条不成套的裤子。

题外话，今日老周穿的是一套灰色西装，搭配红色衬衣和灰色休闲鞋。

以下是周鸿祎演讲全文，经钛媒体编辑

刚刚从西雅图回来，收获蛮多的。作为中国唯一一家参加中美互联网安全论坛的安全公司，我们有很多安全的想法跟大家交流。

还有一个收获就是玩儿了全世界最厉害的一把班门弄斧，在库克面前推销我的360手机。

我也收获了最大的吐槽，这个故事是关于看见和看不见的故事。

大家吐槽我系了一根黄色的领带，像一个土豪企业家。我知道这个领带不好看，当时与会代表那么多，一个个人高马大，个子比较小的我要想让人看见，就要系一条鲜艳的领带。

第二个吐槽是说我穿衣服的品位，没有穿整套的西装。作为安全专家，我遭遇了安全的问题，我的裤子撕裂了。当时我最想做的就是让人看不见我的裤子撕裂了。我想了很多方法让别人看不见，只好换了一条白色的裤子，就赢得了吐槽。大家觉得我今天的穿着怎么样？还是听一听我演讲的内容，不要关心我的穿着。

有个算命大师为我算了一下，为什么你的裤子破了呢？他说你不应该招惹库克。

诈骗网站一天变好几次，必须持续追踪，实时拦截

这个演讲的内容应该感谢我们的安全团队。在过去几年里，他们不断并提出我们对安全未来的看法。今天大会的主题，其实就是“看见”。

看见是一种能力，当过去我们讲安全的时候，往往总是把安全技术化、产品化，我们总是说防火墙、扫描、IPS、IDS。实际上，今天所有的攻击都是未知的，都力图让你看不见。攻防双方的博弈已经从技术的攻防对抗变成了看见与看不见的对抗。制造威胁的人希望自己永远不被人看见。，我们这些防御的安全公司永远希望看见整个网络，这样才能意识到威胁的发生。所以，看见和看不见变成了安全公司和网络攻击之间最大的能力较量。

我给大家举一个例子。屏幕上展示的是一个网络诈骗的追踪实例。央视报道过这个例子，伪造10086的诈骗网站。蓝色的时点表明它在不断的变换域名和IP地址。从大数据来看，从1月份开始，这个诈骗网站就已经存在，为了躲避拦截，不断的伪装、变换，每变换一次就变成一个新的诈骗网站，有的时候一天要变好几次。

我们利用大数据看到的不是一个诈骗网站，也不是1万个诈骗网站，而是把这些诈骗网站背后的关系出来。我们可以一直持续追踪，无论它怎么变化，都能够实时进行拦截。

我们对它的追踪达到了秒级。有了这套系统，就不需要再对这个网站进行分析，直接可以确定它的诈骗身份，辨别速度加快。一旦生成新的网站，我们就会及时拦截，避免更多的用户被骗。

下一个例子，我想讲讲DDOS攻击，这是网络上最让人痛恨的。这是一个实时四维的DDOS攻击系统，可以追踪全球的情况。全球互联网看起来很平静，但大量的DDOS随时都在发生，很多网站都在遭受程度不同的DDOS攻击，严重的会影响用户的访问，甚至让网站瘫痪。

在这个系统里，每一个节点代表受攻击的地点，包括攻击的时间、攻击的强度、攻击的次数。每一点有一棵树，树上的叶子表明攻击目标，节点的位置越高，表明受到的攻击次数越多、攻击的时间越长。

这个例子可以显示攻击的数据，是谁攻击谁、是一打多，还是多对一，以及背后的主控是什么关系。我们可以实时掌握全球每一个发起攻击和被攻击点的实时情况和追踪，还可以分析DDOS攻击主控的IP，揪出幕后的黑手。

这套系统是针对DDOS背后主控的实时监控和追踪。目前我们可以监控几千个全球活跃的DDOS主控。

绿色的代表主控，红色代表主控操纵的僵尸网络、攻击目标。我们可以发现主控之间有一定关系，比如有的主控是单打独斗，有的貌似没有关系，他们之间有着比较复杂的帮派关系，有的时候聚在一起共同攻打一个目标。帮派和帮派之间也有关系，他们有的时候甚至交叉攻击。只有站在全球大数据的视野上才能真正看清在网络上发生了什么。

美国人常举例试图证明中国在攻击他们的网络

企业内部的安全公司，如果没有完整的数据，根本没办法看到一切，在不知不觉中遭受攻击，正常业务受影响，并且业务瘫痪。

大家的企业安全被描述成很糟糕、很黑暗，到处存在漏洞，最重要的问题就是源于看见能力的缺失。看得见才能意识到威胁，看得见才知道威胁正在发生。看见以后才能防御，看见发生了什么，每个个人和企业才会有安全感。

举个不恰当的例子。中国和美国都是网络攻击的受害国。美国人也经常会举出一些例子试图证明中国在攻击他们的网络。这就反映了两国在看见能力上的差异。我们的网络也经常被国外攻击，但以前我们可能压根儿不知道，也看不见，就没有证据可以跟他们争吵。

强调，为什么这次会议的主题是谈论“看见”。未来每个安全公司都要思考如何才能看见。

没有大数据，看到的就是新闻，而非内幕