1.大數(shù)據(jù)：從概念火熱到回歸理性

回顧剛剛過去的2017，我們可能會有一種感覺：周圍談論大數(shù)據(jù)的聲音越來越小。一個佐證是在2017年底舉辦的"北向論壇"上，現(xiàn)場參會人員投票預測了2018年的熱詞，在21個候選詞中，去年還入選的"大數(shù)據(jù)"本次沒能進入前十，得票只有寥寥數(shù)票。

表1 2016和2017"北向論壇"預測的年度熱詞對比

事實上，這并非"大數(shù)據(jù)"首次在熱詞排行榜中淡出大眾的視野。早在2015年Gartner發(fā)布的新興技術成熟度曲線中，"大數(shù)據(jù)"就沒有出現(xiàn)在曲線中。而在之前的一年，Gartner對"大數(shù)據(jù)"的定位還是處于從炒作的頂峰開始下降的區(qū)域，二者的對比見圖1和圖2。對此Gartner給出的解釋是，"大數(shù)據(jù)"的概念已經(jīng)快速被各個行業(yè)接受，成為一項具體的底層技術，因此不再出現(xiàn)在每年的新型技術成熟度曲線中。

圖1 2014年Gartner新興技術成熟度曲線

圖2 2015年Gartner新興技術成熟度曲線

回顧2017，業(yè)界談論大數(shù)據(jù)的聲音雖然在降低，但通過采集、分析和運用數(shù)據(jù)提升能力的行動卻越來越普遍，大數(shù)據(jù)已經(jīng)真正成為眾多行業(yè)的底層關鍵技術。在國家層面，新一屆政治局在2017年底就實施國家大數(shù)據(jù)戰(zhàn)略進行第二次集體學習，習近平總書記強調(diào)了通過大數(shù)據(jù)進行產(chǎn)業(yè)創(chuàng)新、打造數(shù)字經(jīng)濟、提升國家治理水平、改善民生，以及保障國家數(shù)據(jù)安全。在企業(yè)層面，大數(shù)據(jù)應用已在電子商務、金融、交通、醫(yī)療等領域普遍開展，甚至因數(shù)據(jù)所有權引發(fā)了順豐快遞和菜鳥網(wǎng)絡的"豐鳥之爭"，引起了大眾的高度關注。

回到網(wǎng)絡安全行業(yè)，大數(shù)據(jù)已成為了安全領域新興技術的基礎?；仡櫧鼛啄昃W(wǎng)絡安全行業(yè)流行的新概念，從威脅情報、UEBA(用戶實體行為分析)，再到態(tài)勢感知、人工智能，底層的基礎都是大數(shù)據(jù)?？梢哉f，大數(shù)據(jù)隱藏在各個具體技術的背后，為用戶提供更直接的安全價值。在企業(yè)級用戶安全建設中，以數(shù)據(jù)驅動安全，實現(xiàn)持續(xù)檢測響應的理念，已經(jīng)被越來越多的用戶所接受。

因此，對2017年的"大數(shù)據(jù)"進行總結，我覺得大數(shù)據(jù)概念已經(jīng)不"新"，已經(jīng)越過了概念炒作階段，并作為一項底層支撐技術，迅速融入到各類更"新"的概念中。大數(shù)據(jù)已經(jīng)開始在各個領域發(fā)揮實際的價值。

2.人工智能：處于炒作的頂峰

與此相對應的是，人工智能像三、四年前的大數(shù)據(jù)一樣，正處于炒作的最頂峰。Gartner于2017年7月發(fā)布了本年度新興技術成熟度曲線，人工智能的兩個分支——深度學習和機器學習，均處于曲線的最頂端。

國內(nèi)對人工智能的發(fā)展也非常重視。2017年7月國務院印發(fā)了《新一代人工智能發(fā)展規(guī)劃》，提出要推動人工智能與各行業(yè)融合創(chuàng)新，推動人工智能規(guī)?；瘧茫嫣嵘a(chǎn)業(yè)發(fā)展智能化水平。為了落實該規(guī)劃，工信部于2017年12月制定了《促進新一代人工智能產(chǎn)業(yè)發(fā)展三年行動計劃(2018-2020)》，提出要抓住歷史機遇，突破重點領域，促進人工智能產(chǎn)業(yè)發(fā)展，提升制造業(yè)智能化水平，推動人工智能和實體經(jīng)濟深度融合。

圖3 國務院和工信部關于人工智能的發(fā)展規(guī)劃

在上述兩個重磅文件中，無論是人工智能技術自身的安全，還是在網(wǎng)絡安全領域利用人工智能的前沿技術，都用大量的篇幅進行了闡述。為此在網(wǎng)絡安全圈掀起了一股人工智能的浪潮，利用人工智能檢測未知惡意代碼、實現(xiàn)智能化的安全運維(AIOps)，甚至進行無人參與的自動化攻防。網(wǎng)絡安全界的小伙伴們紛紛擼起袖子，都想用人工智能搞定目前還沒有解決的安全問題。

雖然人工智能很火，但我們也看到在網(wǎng)絡安全領域，尚未出現(xiàn)新的基于AI技術的有效解決方案。在網(wǎng)絡安全領域其實很早就用到了人工智能技術，比如SOC類產(chǎn)品中的關聯(lián)分析引擎，就是一個基于規(guī)則推理的專家系統(tǒng)，但新的人工智能技術還沒有廣泛應用的案例。對于最近幾年大熱的深度學習，我們也看到業(yè)界進行了積極的嘗試，例如進行惡意文件檢測、應用識別、異常行為分析等，但真實效果距離產(chǎn)業(yè)界的要求尚有一定差距。此外，深度學習固有的對結果的可解釋性不強、魯棒性不足等缺點，目前也尚未看到有希望的解決方案。

因此，對2017年的"人工智能"進行總結，我覺得當前正處于炒作的巔峰，國家在產(chǎn)業(yè)政策上支持的力度也很大。當前頗有人工智能在網(wǎng)絡安全的各個分支中遍地開花的局面，這也是新技術發(fā)展過程中必不可少的階段。相信隨著時間的推移，那些真正有價值的應用場景會逐漸沉淀出來，人工智能的應用才會從炒作走向成熟。

3.我們對新技術的應用探索

作為網(wǎng)絡安全領域的領航企業(yè)，我們在過去的一年也對大數(shù)據(jù)安全、人工智能，特別是深度學習技術的應用進行了嘗試。在大數(shù)據(jù)安全領域，主要的應用場景包括大數(shù)據(jù)平臺4A技術、大數(shù)據(jù)訪問控制策略自動化生成技術等;在人工智能領域，主要的應用場景包括利用深度學習算法進行惡意代碼檢測(檢測對象包括PE文件、文檔類文件、web訪問流量等)、利用深度學習算法進行應用識別、基于本體的安全事件自動化處置及響應技術等。這里面既有成功的案例，也有失敗的教訓。

在對人工智能新技術的應用探索中，我們由衷地感受到在網(wǎng)絡安全領域應用人工智能技術，需要在人工智能算法和安全業(yè)務知識兩方面都有深厚的沉淀。在算法層面，不能簡單地利用各類封裝好的軟件包、把算法當成即插即用的黑盒子，那樣會導致無法理解算法的"上限"而陷入盲目嘗試的局面。在安全業(yè)務層面，對安全業(yè)務的理解有助于將實際安全問題轉換為抽象的數(shù)學問題，并根據(jù)問題的類型指導算法的篩選。

展望2018，我們將結合特定的業(yè)務場景，實現(xiàn)大數(shù)據(jù)分析和人工智能算法在某些特定應用中的落地。在算法層面，人工智能的兩大流派，即聯(lián)結主義和符號主義的算法，都將是我們解決特定問題的有效工具。我們也期待人工智能能夠盡快告別炒作，網(wǎng)絡安全行業(yè)能夠從更理性的角度審視人工智能的應用前景，這樣才能促進人工智能在網(wǎng)絡安全行業(yè)的良性發(fā)展。