压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

劉璐瑩：各位下午好我來自IBM安全系統(tǒng)部，我很高興跟大家分享IBM在安全領域的新動作，希望和大家有所交流。

我們這個大會的主題就是智慧安全、連接賦能，看到這個主題我是非常興奮的。在整個互聯(lián)網(wǎng)安全的大會上，智能擺在了第一個位置。昨天我們在主會場一位騰訊云的同事作他的分享的時候說了一個故事我非常有感受。

他說前幾年騰訊的內(nèi)部還在討論移動互聯(lián)網(wǎng)是不是會發(fā)展起來，就像是我們前些年在談云的時候，我發(fā)現(xiàn)我可能前幾年還在跟我們的客戶區(qū)科普云到底分幾層，是IaaS、PaaS還是SaaS的時候，沒過兩年我們就已經(jīng)在云大會上有專門的云安全的分論壇。

而今天我們已經(jīng)在一個安全的大會上有了專門的人工智能和安全結(jié)合的分論壇，足見科技的發(fā)展真的是日新月異。也許一年前你覺得還不太可能的事情，今天有可能就變成現(xiàn)實。有點像14年、15年我們的總裁說IBM要轉(zhuǎn)型，我們不要做軟件公司，我們不要做硬件公司，我們要做一個認知和云的公司，這是一兩年前發(fā)出的。

當時我還在想認知和云的公司？我是做安全的，是不是和我沒有什么關系了？我是不是可以拿包走人了？結(jié)果我沒有想到，就在這么快的時間里我已經(jīng)向大家匯報人工智能和安全的結(jié)合，并且我今天匯報的結(jié)果是商用的版本，在今年的年底或者是明年的年初我們就會推出商用的版本。所以這已經(jīng)不是未來，這就是現(xiàn)在。

我今天主要給大家介紹的東西是Watson認知安全，這是IBM做認知計算的一個品牌。大家第一次知道Watson這個名字應該是在2011年危險邊緣的智力問答的游戲里，Watson和兩位人類的冠軍一起去參加游戲，最終Watson贏了。

其實在Watson之前也有很多類似的人工智能的比賽和游戲，包括“深藍”以前也和人類下過棋，為什么這次大家會認為是比較有紀念意義的事件呢？它的原因在于，第一它和下棋不同，危險邊緣的游戲是沒有規(guī)則可言的，你的下棋是有棋路的，無論是下象棋、下圍棋是有規(guī)則可循的，可是危險是沒有邊緣的。

請問你某某某年作家在什么時候?qū)懥耸裁礀|西，請問那個是什么？完全是人類的語言，而且橫跨歷史、藝術、音樂等各個領域。今天它是一個實時的、有競爭環(huán)節(jié)的一個比賽，所以Watson必須做出實時的、快速的、搶答的響應。

第三，更重要的是Watson在上臺的時候是完全無人工干預的，也就是說它在比賽的過程中是沒有IBM后臺的工程師來指導它，完全是自己選擇的。大家看過危險邊緣這個游戲的話，你要選題，機器要自己選，選多少分、多少錢的題比較有把握，有時候你要double。如果機器沒有選擇這個double，而且它贏了才險勝人類的專家，所以大家才覺得它好像挺智能的。但我們不得不說，2011年的時候Watson還是一個玩兒的游戲，5年過去了，Watson變成了什么？

現(xiàn)在如果說Watson是什么？應該有很多的維度去說，但我只想說一個維度叫做Watson的API，2016年底的時候預計Watson會出50多個API，API代表的是什么？代表現(xiàn)在就可以利用Watson去達成我們的目標，里面有很多的API。

比如說QA，其實危險邊緣就是一種深度的QA，這時候Watson就是應付QA的系統(tǒng)。你看到這里面有自然語言的理解，有情緒的理解，這里有個性的分析，這些現(xiàn)在都不是研究的領域，而是實實在在的大家都可以調(diào)用的API，你現(xiàn)在就可以把你的數(shù)據(jù)通過Watson來進行分析，所以這已經(jīng)不是未來。

我們再看一下剛才這張圖有顯示出目前基于Watson的系統(tǒng)有超過1萬個，我這里列舉的一些可能大家會體會到的，比如說大家可能都穿過Under amer（音）的運動服，可能都帶過Apple的手表，可能都去希爾頓酒店去過，可能都開過通用汽車的車，這些系統(tǒng)已經(jīng)在實實在在在使用Watson的技術。

包括今天四川的醫(yī)院已經(jīng)在使用Watson用于治療癌癥輔助的系統(tǒng)來幫助相對來說醫(yī)療條件沒有那么發(fā)達的地區(qū)的醫(yī)生們來診斷這些疑難雜癥。所以可以看到，人工智能、Watson、認知計算，至少對IBM來說我們不是一個游戲、不是一個噱頭我們是真真實實地向這個方向發(fā)展。

另外還有一個數(shù)據(jù)，因為大家知道IBM每年有很多的專利，但在2015年的7000多項專利里有近一半是跟人工智能、認知計算相關的，所以可以看到這個轉(zhuǎn)型是真的在轉(zhuǎn)型。

回到今天的主題認知安全，安全的事態(tài)實際上沒有減輕，并不因為我們開發(fā)了一系列的好用的工具而變得有所環(huán)節(jié)，反而云、物聯(lián)網(wǎng)、移動應用給我們的安全帶來了更大的、更多的暴露的風險。所以我們安全的人員，每一個安全的運維的人員，安全的分析員永遠面臨著更多的威脅，更多的資訊更多的需要保護的管道。

而我們的企業(yè)可能沒有那么多的安全專家，每個企業(yè)可能并沒有那么頂級的對于所有的漏洞、所有的攻擊方法都很清楚的安全專家來保護自己的安全，所以這個就在我們面臨的安全威脅和我們擁有的能力和知識上存在著一個落差。Watson在安全方面的第一個落地點就選擇了這樣的一個落地點，希望能夠彌補這樣的落差。

所以認知安全，我們的第一個商用版本是希望運用認知計算在非結(jié)構(gòu)化的數(shù)據(jù)中提升現(xiàn)有的安全技術。

什么是非結(jié)構(gòu)化的數(shù)據(jù)？昨天主會場上大家看到了類似的圖這里把我們的安全資訊分成了兩個部分。上面是傳統(tǒng)的安全資訊，里面包括我們每周收到的安全事件和報警包括日志的活動和漏洞掃描完的結(jié)果，包括情報的廠商推給我們的安全情報或者是輿情，這些數(shù)據(jù)都是結(jié)構(gòu)化的，都是安全運維人員可利用的數(shù)據(jù)，但依然有大量的數(shù)據(jù)是我們所不可利用的。

2013年Forrest雜志上有一個研究認為帶這個領域里，我們僅用到了8%的數(shù)據(jù)，更多的數(shù)據(jù)可能沒有利用到，因為它們是非結(jié)構(gòu)化的。這個非結(jié)構(gòu)化的數(shù)據(jù)可能來自于報道，可能來自于安全機構(gòu)訂閱的信息，他們沒有被標準化成規(guī)范的格式，所以在你日常的安全運維中很難利用到下面的這些信息。可是這些信息里卻蘊藏了大量的、豐富的知識。

在進一步深入之前我不得不把我們現(xiàn)在已經(jīng)熟知的安全智能和認知安全做一個區(qū)分。如果我們把安全的防護或者是維護的機制分成幾個階段的話，第一個階段無疑是城堡與護城河式的保護。從2005年開始，以數(shù)據(jù)分析、大數(shù)據(jù)、SIEM平臺、SOCK、安全情報為特點的安全智能平臺出現(xiàn)了。

大家知道我們在2010年的時候說到了QRadar這家公司，雖然我們一直定位在SIEM公司，但他們這家公司一直把他們自己的產(chǎn)品認為安全智能產(chǎn)品，不是日志收集產(chǎn)品不是事件分析產(chǎn)品，實際上它就能實時地分析大量的數(shù)據(jù)，包括了日志信息、漏洞信息、數(shù)據(jù)流的信息，外界情報的信息，用來分析現(xiàn)在的安全狀態(tài)，這是2005年以后的安全智能的領域。

從2015年開始我們引入了認知的安全，它和我們之前的安全智能的時代的區(qū)別是什么呢？通過這張圖和大家一起來解釋。如果我們把整個的安全的分析、處理、解決的流程里的參與者分成三方的話，可能大概有這么三方，一個是人類的專家，安全分析師，一部分是我們現(xiàn)在已經(jīng)在使用的安全智能分析平臺，另一部分是認知安全。

實際上任何的參與者都有它的長處和短處，比如說人類專家更擅長的是一般的常識，對于模棱兩可的情景的判斷，而我們現(xiàn)有的智能分析系統(tǒng)更強地在于資料的關聯(lián)、找出模式、異常檢測、排定優(yōu)先級、數(shù)據(jù)可視化、工作流程。

認知幫助你做什么？它在這兩者的基礎上幫我們做的是非結(jié)構(gòu)化的分析，我們都知道SIEM平臺用的還是結(jié)構(gòu)化的數(shù)據(jù)，無論是漏洞數(shù)據(jù)還是情報，大家都有數(shù)據(jù)交換的標準的格式，認知計算更著重在非結(jié)構(gòu)化的數(shù)據(jù)的分析上。由于使用了人工智能技術更著重使用在自然語言的表達上，更完成自然與答案的場景，我們很多的安全分析師認為出現(xiàn)了這樣的場景，出現(xiàn)了這樣的漏洞我怎么辦？

這是一個問與答，你希望有人來回答你的問題。另外是機器學習，當沒有模式可循的時候，如何來尋找模式？消除障礙，怎么判斷哪些數(shù)據(jù)對你是有用的，哪些是無用的，另外是權衡的分析。

所以在整個的認知計算的環(huán)境里，我們說認知計算或者說Watson有這樣的三個特點，我們稱之為URL特點，U是是理解，R是推理，L是learning自己去學習的過程。我簡單用一個小場景跟大家解釋Watson 認知學習如何幫助大家日常的安全運維的活動。

我們這里有一個可愛的安全分析師Rafeal，他每天都要兢兢業(yè)業(yè)地工作，他看到了告警平臺上的告警，說我可能有一個蠕蟲，可能有一個惡意的代碼，我可能有一個從外面的情報公司購買的情報說原來現(xiàn)在什么什么東西正在泛濫，可能會想我公司會不會有這樣的場景，我需不需要做提前的預防，有很多是來自于安全的通報，原來我的兄弟公司遭遇了什么什么事情，我這個事情一定要預防，因為我已經(jīng)被通知了有這樣的風險。

他閱讀這些內(nèi)容的時候假設用了一個小時來閱讀這些內(nèi)容，接下來要采取行動，說已經(jīng)有這樣的風險我怎么辦呢？可惜，我不太懂這個風險是什么，它是一個新的風險，又花了幾個消失在線上搜索、尋找說這是一個什么東西，它影響是什么？它如何發(fā)揮作用，它的特征是什么，通過網(wǎng)上自主地學習，學習到這些知識，可能接下來又花了幾個小時的時間在自己的系統(tǒng)里做調(diào)整、配置、搜索說我的系統(tǒng)里到底有沒有這樣的威脅？

你可以看到，一個威脅、一個全新的威脅Rafeal就花了這么長的時間而且不見得可以獲得完美的結(jié)果，如果在座有做情報的公司，每天推送給你的客戶多少條情報，他要怎么來處理這個情報，就是這個問題，IBM也是一家情報公司，我們也推送情報，他如何利用這些信息。對Rafeal來說，他需要更多的體驗需要更多有經(jīng)驗的專家的咨詢，也就是說需要有針對性的方案。

這時候Watson就可以幫助你的棒，我們用Watson URL的技術來幫助拉菲爾來解決這樣的問題。Watson在處理問題的過程中分成獲取、學習、測試和經(jīng)驗。這幾個步驟，其中獲取是它學習的過程，學習的過程包括了我們剛才已經(jīng)看到的企業(yè)已有的綠色的這部分的企業(yè)級的安全分析的結(jié)果，剛剛提到了SIEM的平臺和情報的平臺，可能還有漏洞的平臺，操作系統(tǒng)的平臺和應用的日志的平臺，這些都是Watson的數(shù)據(jù)源也是我們分析的基礎。

但你有更多的信息來自于人類衍生的安全性智慧。這部分就是拉菲爾在他不知道這個威脅是什么的時候去網(wǎng)上搜索的這些知識，他可能搜到了一篇博客，可能是搜到了一個報告，可能搜到了CDE的網(wǎng)站上對這個漏洞的解釋，這些都是非結(jié)構(gòu)化的數(shù)據(jù)，這些都是Watson的數(shù)據(jù)源。

接下來Watson進行學習，我們在過去的一兩年里都在幫助Watson理解什么是安全，簡單地說，當它看到了蠕蟲這個字眼的時候，它應該把它理解成醫(yī)學領域的蠕蟲還是IT安全領域的蠕蟲，我們來教導它如何來懂安全。或許現(xiàn)在它可能就要說，原來對一個惡意軟件我可能需要一些標簽，一些方法來唯一地確定它，這是Watson自己懂得的，如果我看到一個惡意軟件，我需要有名字，需要有它的感染的方法。

接下來當它懂得了什么是安全之后，它就會對這些安全的隱患、安全的漏洞進行建模。其實昨天在主會場上我們的架構(gòu)師講過一個例子，是給一個人做profile，這個人可以是黑客、是員工，除了給人做profile之外我們也可以給安全做profile，比如說它會首先對一個惡意的勒索軟件進行注釋，能分析到一個叫Locky的軟件類型是惡意軟件，它的功能造成了什么樣的結(jié)果，它的行為是什么？它的規(guī)則是什么？

它為這個軟件做成了一個profile，也就是形成了最后的知識的圖譜。形成了這個圖譜之后它和人類就可以用自然語言來做交流，它會告訴拉菲爾說，你不是想問locky是什么嗎？它是一套勒索軟件通過垃圾郵件中的惡意.doc文件進行干擾，它已知的包含什么什么，可以交互形成知識的圖譜。

接下來Watson最重要的特點是可以到外部的資源上去學習，所以當你問了一個問題，你的知識圖譜進來了，哪些漏洞與Locky相關，可以問Watson這樣的問題，它就會到浩瀚的人類的安全性衍生知識里來搜尋說哪些知識是與此相關的，最后給出評價和加權。Watson最強大的一點是基于證據(jù)的推理，為什么說這樣的漏洞跟locky是相關的，我的證據(jù)鏈如何為每個證據(jù)加權，這是它最厲害的一部分。

到此為止，Watson可能完成了一個更好的搜索引擎的功能，原來拉菲爾需要自己去Google、去百度查找一些東西，自己要分析哪個文章是有用的，哪個是沒用的，現(xiàn)在Watson幫你做了這件事。接下來我認為更好的部分是Watson不僅僅是幫你做搜索、分析和加權，Watson可以跟你的系統(tǒng)集成起來。

如果大家對我們的QRadar，可以把它關心的內(nèi)容和現(xiàn)有的網(wǎng)絡環(huán)境聯(lián)系起來，比如說這個是X-force，我們也有情報的平臺，是我們的X-force實時監(jiān)控出來的一些安全的情報，哪里發(fā)生了什么事情，最新的一些情報，通過這個情報就可以了解，原來現(xiàn)在正在發(fā)生一間什么事情，什么東西爆發(fā)了，什么東西很流行，這個時候Watson就已經(jīng)給你一些Watson inset。當你還不知道什么是威脅的時候，Watson會告訴你它是什么。

接下來Watson會分析新的威脅和你的環(huán)境的關系是什么？你的環(huán)境里面的網(wǎng)絡拓譜是這樣的，我們發(fā)現(xiàn)好象有兩個、可疑的惡意的軟件，以及如果我們發(fā)現(xiàn)了如果有一些蛛絲馬跡，并且確定了你的某一臺機器可能感染了這樣的惡意的軟件之后會幫你分析其他的服務器是否也受到了惡意軟件的感染。我的證據(jù)是什么。

大家可以看到從這樣一個小的安全的運維人員每天會遇到的例子中就會看到認知計算已經(jīng)在安全當中有了一定的應用，它把你不知道的事情展示出來，并且和你實際的化學結(jié)合起來，所以在原有的企業(yè)級安全分析的基礎上加入了Watson的計算我們認為可以取得三方面的比較好的效果：

第一，取得更卓越、更準確的洞察，第二可以減少安全的運維人員和最新的知識、最新的技術之間的落差。第三，節(jié)省寶貴的時間與資源。我們只是從一個小小的案例來了解Watson可以幫我們做這件事，這件事的并不僅僅是Watson和認知安全的產(chǎn)品的落地。

我們以前更關注的是事前，甚至是更關注事中，要告警、要分析、要建模，現(xiàn)在把它延伸到了事后，出現(xiàn)了這個問題怎么辦？新的威脅和我有什么樣的關系？我告訴你可執(zhí)行的動作就是這樣的，你應該去檢查你這幾臺機器，我們認為這個是人工智能技術或者是認知計算技術在我們的安全領域里的大大的貢獻。當然，人工智能技術在安全領域中的地位還是在發(fā)展的階段，未來我們可以想出更多更多的場景來幫助企業(yè)、幫助客戶做更好的安全的運維的工作。

我的演講就是這些，謝謝大家！