为期两天（2016.8.16-8.17）的ISC2016已于上周圆满落幕，而关于安全话题的讨论将会一直延续下去。8月17日，山石网科资深产品专家吕颖轩在“数据安全治理”论坛上正式宣布为用户带来山石网科智系列内网安全解决方案。

作为一名网络安全界老兵，吕颖轩曾从事开发达6年，并有10余年的产品管理的经验，他深知安全态势不断变化中企业的需求和顾虑是什么。大会期间，吕颖轩接受了TechTarget记者的采访，进一步详谈了内网安全的发展形势以及山石网科内网安全方案能够提供的帮助和支持。

内网安全成攻击跳板 BYOD时代问题更多

从历史来看，在2000年还是属于包过滤防火墙的年代，内网安全主要是筑墙防守，是一个访问控制的过程；到了2006、2007年，上网行为管理开始出现，内网安全逐渐被定位在一个管控的价值上，更多的是对员工行为进行管理；发展到现在进入高对抗的攻防时代，内网安全现在最大的问题是其会成为攻击的跳板，成为敏感数据泄漏的关键点。

现实是，内网很难做到绝对干净，无论网络类型的大小，95%的企业网络是不干净的。鉴于数据中心的防御较为严谨，安全设备的堆叠对黑客攻进去造成了一定障碍，然而内网一旦被攻破，因为获取到的权限非常大，从内网到IDC取数据则非常畅通无障碍。

此外，随着移动办公时代的到来，智能终端将成为受感染的另一重灾区。如今，智能终端的计算能力已引起黑客的注意，但对于移动终端的管理天然比PC要困难，Wi-Fi安全策略难以部署、仿冒AP都是亟待解决的问题。

随着内网安全问题及其带来严重后果的凸显，安全智能的呼声可谓水涨船高。

解决内网安全问题 需正确理解智能

谈到网络安全的智能，就离不开谈机器学习。在吕颖轩看来，无论是国内外产品以及不管是SaaS形态还是盒子形态，在机器学习方面存在两种“伪机器学习”的特征。

首先，第一种模式需要用户自行定义机器学习的负反馈样本。举例而言，“（用户）需要明确知道下载PE文件>10K <500K可能是错误的，>500K可能是正常的”，但对于用户而言，定义这样用来做恶意行为模型训练的负反馈是非常困难的。

另外一种模式则是设备在用户那里，在学习期内，需要保证所有流量都是“白流量”，即正常流量，设备通过学会正常行为模型来反推恶意行为模型。但这对于用户来说，同样难以实施，毕竟谁也无法保证网络在某一固定时间点不会被攻击。

据吕颖轩介绍，山石网科推出的内网安全方案的智能（机器学习）体现在采用了“双模型”算法。除对正常流量进行学习，还提供一种调优的方法。同时，对恶意样本会有预定义的负反馈输入，这是山石网科最为独到的地方，通过在实验室中，工程师将100万恶意软件行为逐一拆开，拆成约20种恶意行为分类（行为族），借此再反推出约50种预定义行为模型，覆盖现阶段所有恶意类型。

完整的内网安全防护体系是怎样的？

为解决愈加突出的内网安全问题，合理的内网安全解决方案应集成三项关键技术：用户行为分析（UBA，User behavioral analytics）、终端威胁检测与响应（EDR，Endpoint detection and response）、移动威胁终端检测与响应（MDR，Mobile endpoint detection and response）。

其中，UBA设备是内网安全的大脑，UBA的技术思路是通过机器学习、数学建模等核心技术，对内网主机进行网络/应用行为分析，有效的对内网失陷主机进行感知。

而作为内网安全的机械手，EDR和MDR的价值是做终端安全威胁的响应。EDR是主机Agent，侧重PC的威胁响应。MDR是权限较高的智能终端的App，侧重移动智能终端的威胁响应。EDR与MDR通过同步UBA设备的威胁信息告警和安全策略，针对被定位的风险主机和潜在威胁进行即时的响应处理。

通过这三项关键技术，山石网科为企业构建了完整的内网防护体系。

总的来看，在网络安全领域智能（机器学习）处于摸索时期，尚有很大的发展空间，且黑客的力量和防御者的力量并不成比例，应对内网安全问题除依赖智能外，更要秉承“三分靠技术，七分靠管理”才行。