邵江宁：各位来宾、各位友商大家好，我今天给大家交流的也是一个人工智能在安全方面结合的应用，在讲这个之前我们还是想做一些微软最近的变化的介绍。

过去讲微软大家都知道是操作系统Windows、Office、PC机等等，但微软在最近10年 有了很大的变化。首先对自己使命的定位从最早的创始人比尔盖茨的让每人家里都有一台PC机，到我们希望帮助星球上的所有人能利用最新的IT技术完成更多的工作。

围绕着这个使命，我们也希望给大家打造安全放心的平台和服务，我们在考虑安全的整体战略的时候是围绕着三个中心点。

第一，是平台战略。平台必须从设计安全还有运维安全以及安全的基础的架构服务能保证大家在这个平台上用的是安全的。

第二，我们平台在新的形式下，今天是万物互联的时代，每天每时每刻有大量的数据产生，数据的量是爆炸的姿态，凭借人工已经不能满足今天时代的要求，所以我们在安全的防御和整个的应对流程中引进了人工智能的基础的知识，它实际上是贯彻到的，或者说在所有的平台上主要的安全服务背后都有人工智能的广泛支持，而不是一个特定的产品。

第三，我们要跟小伙伴们一块儿努力把安全做好，因为今天的安全已经不是一个人、一个厂商自己的责任了，而是所有生态系统的责任。微软在自己的平台上越来越开放，我们为很多的安全厂商开放安全接口，他们可以跟我们的产品和平台做深度的集成，可以把里面具有特色的非常安全的服务集成到平台上，不仅仅是Windows平台，还有云计算平台都集成了大量的第三方的安全伙伴的服务。

我们要考虑安全风险北方要放在大背景下我们不能脱离时代所处的大背景考虑这个问题。安全的问题，昨天和今天的各种分论坛有广泛的讨论，一方面这是一个伟大的时代，我们有很多突破性和创新性的技术，在各个不同的行业做更深入的集成，让我们的生活和世界变得更美好。

另外一方面我们在一些阴暗的角落里有一些恶意的破坏分子做了很多坏的事情，这里面有一些数据来显示事情的严重性。普通用户对网络攻击的安全意识是很低的。有数字表明很多的安全攻击系统被黑了以后，用户要花200多天的平均时间才知道自己被黑了，很多的安全论坛都看一个笑话是说世界上有两种人，一种是已经已经被黑的，另一种是正在被黑的。

我们对安全的最大的挑战是关注在最有价值的领域，网络层面是身份的问题，一旦你身份被侵入了或窃取了，实际上身份下所拥有的所有的网络的财产的数据都被占有了，所以身份是网络安全的关键的环节。网络安全和网络攻击造成的绝对的经济价值的损失也非常大。

麦肯锡在2014年达沃斯论坛发布了一个报告，全球互联网经济创造的价值15%到20%被网络犯罪损失掉了，里面有一个绝对数字很惊人是5000亿左右，对普通的商业公司来说，由于它的系统被黑或者网络被黑，造成的商业损失达到了3500亿美金左右，这给我们一个衡量，为了应对这个风险值得用多大的投入来做保护的工作。

今天攻击的特性也有很大的变化，传统的很多网络安全的技术有这么一个假设是御于国门之外。外面的坏人基本上都位于网络边界以外，我们防御的是外部的威胁。今天的边界已经消失了，我们发现大规模的网络的攻击很多是因为身份的窃取造成外面的攻击者从外面到内网造成了内网的被攻击，这是一个重大的安全风险的改变。

今天的网络攻击平均造成的损害也更大了，因为网络和信息技术已经渗透到所有的环节了。所有的互联网技术安全已经跨越了，它跟生命财产的安全已经紧密挂钩了。所以网络安全的威胁性会比过去有很多的变化。

这边是我们从更细的维度上考虑一个企业如果要构建自己安全的防御的策略应该从几个方面考虑，这是一个非常经典的策略，三个方面。保护、探测、响应，从概念来说安全响应事件的理论大家都已经很熟了，可是具体怎么做怎么用这个策略呢？

真正落地，在现在的技术的环境里，社会的威胁环境里把它真正地实现，其实里面有很多的内容可以说。保护这块是说今天是一个物联网的环境，它只是一个端，这个端只是从非常小的物联网的传感器的端到非常大的服务器的数据中心的端都可以叫端。端的特性和颗粒的细度也不太一样，不同的端要求着不同的保护和探测的要求。

第二是探测，今天跟过去的时代相比有很大的不一样。今天探测的不仅仅是一些我们所说的传统的安全事件这一块。我们需要从原始的网络或者是用户的元数据里，希望做更进一步的分析，能够把它变成一种用户的行为数据，用用户画像的数据和恶意的行为作比较。从这方面来降低安全情报或安全威胁报警误报的比例。

最后是乡音这跟过去不一样了，过去安全事件我们有几个小时甚至是几天的时间去调查根源和做弥补措施，今天由于关键基础设施的影响非常大，对当机和服务损失的容忍程度更低，要求我们的响应是几乎实时的，甚至是秒级的反应。同这个程度来讲，传统的人工的响应方式已经不能满足要求了，必须借助自动化的以机器学习和人工智能为辅助的自动化的方式来进行响应。

这是我们对一个典型的网络攻击做的画像，我们讲的APT的攻击是链条式的杀伤过程，都是有非常复杂的、非常精细化的特点。包括是从前期的情报收集到网络攻击武器的定制，一直到最后黑客利用工具突破了你的系统，窃取了你的身份，在你的网络里为所欲为，整个的链条是非常长的。

应对今天的威胁，客观上我们需要新的工具，过去很多的工具和方法论有很多的问题。

第一是传统的IT的安全技术或者是安全解决方案，不管是箱式的还是软件应用式的都很复杂，是需要有良好培训的系统管理人员或者是安全分析人员定义规则和定义模板，定义完规则以后，系统才会依据规则进行逆转。今天的网络形态非常多样，杀伤链的角度来说，很多非常复杂的攻击形态没有特别固定的指纹库或者是规则库可以参考，这又意味着所有的传统的安全的方法不太适应今天的环境了。

第二是容易误报，我们过去做过安全响应工程师的人都知道，SIEM理念日志报告是上千上万级的，而且其中你要手工分析的话，可能一千条里面99%的LOG都是误报数据，可能有一两个是真实的报警。

在今天的大叔据时代，从海量的数据里再进行人工的筛选基本上不可能了，从时间响应的时效性上也不能满足这个要求。还有边界防护的问题，边界已经消失了，我们今天很多的攻击都是由于身份被窃取，恶意攻击者从网络内部发起的攻击，我们传统的防护的手段不能应对这样的分析。

我们在新的时代怎么做呢？回到前面讲的三个战略，微软中国是按照这三个战略来做安全的保护工作，第一是平台、第二是情报，第三是合作伙伴。

我们先从平台讲，要设计或者是提供一个安全的平台我们有几个关注的焦点、身份，身份是一切，在网络里所有的用户都是某一个身份的虚拟化的识别符。第二是设备的安全，如果本身的设备安全或者是设备层面的安全防护没有做到位的话，黑客很容易侵入你的设备夺得控制权。第三方面是应用和数据层面，应用出了问题了，后面的数据也会被恶意地全面控制，还有基础设施，它是一个分层的概念，哪个层面出了问题，整个安全的保护就会坍塌掉。

讲到安全平台的时候我们提到了微软在所有主流的产品里，不管是Windows平台，Azure的平台，SaaS的平台所有的平台都集成了基本的安全服务，我们尽可能地做到不被觉察的。在背后使用了一个智能的虚拟的安全的保镖为你提供基础的安全服务，我不花时间介绍了。大家都可以知道，比如说Windows10的平台上集成了很多安全的特性，下一代的身份认证，威胁的防护还有数据的保护我们都有很多新的特性。而对安全进化和创新的速度的不掉也在飞速地加快。

第二平台的第二个要素是智能，intedligence而有两种翻译，有一种是智慧，智是认识慧是处理，你要时时刻刻地了解整个网络里攻防的态势，这是我们所说的安全的智能安全情报。微软在这边有非常独特的优势，PC机时代微软是霸主，我们今天同样在整个世界里，在全球有很多大量的PC机的用户，他在使用我们产品的时候会主动地向微软的安全服务团队提供各种安全的事件的报告。

这些报告可以在后台进行梳理，能够归总成一个全球性的网络安全的情报，可以告诉大家什么时间、时间地点在网络里会有什么样恶意的攻击会发生，我们利用这个安全情报能提供有的放矢的安全防护。

前面讲到传统的安全保护的方法或者是方式已经不适用了，今天我们需要有新一代的安全防护的方法，它是以人工智能、机器学习大数据驱动的安全防护的保护形式。具体讲我们有关键的组成要素。第一是行为分析，这和过去基于统计的数据的安全规则的定义是完全不一样的，它能自动在网络里收集用户的网络行为，对用户进行行为画像。

安全报警的时候会用在大背景下比较，可疑的行为和正常的用户画像比较有没有区别。如果是应该有的行为自动把报警过滤掉，直至某一个报警跟正常的行为方式不一致，会产生真正的报警，大大地削减了误报的概率。两边加在一起就是新一代的高级探测。

它举行什么样的特点？第一是快速，它不需要你创建规则，机器自动画像，这不像过去是一个黑名单，更多是一个白名单，描述了用户正常的是什么，在此之外就是不正常。第二是自适应，可以自动滴进行用户行为的学习，自动地感知一些恶意的攻击 和流量。第三是提供非常透明的科室华的信息，是按照时间的极限把用户的行为进行很好的画像，它从攻击的角度上也是按时间的轴线把攻击的行为进行画像的。

提供一个以时间为基准线的攻击行为的整个的分析，这样对后面真正的安全响应如果想调取或获取甚至是决定下一步完全响应的时候有充足的信息进行支持，还有警报适时，会准确及时地给你提供报告。

具体的原理我们是希望通过四个步骤的介绍给大家做分享。

第一步是分析，分析包含着对各种网络可以流量事件的采集分析，它是跟SIEM做集成的，也可以利用SIEM中的很多的流量，而且攻击方式是隐身的，不容易探测到我在某一个机器上或用户主机上跑的安全进程，避免被发现。

第二是学习，在用户网络里或用户主机上抓取或者是学习用户正常行为的画像，这样划定一个可行的边界。

第三，他能够找出一些异常的行为和刻意活动，而且当前刻意活动跟它背景有关联的时候，才会进行报警，不会报出大家觉得无语的非常荒谬的警报。

第四是报警，我们提供了非常简单明了的界面，以时间为轴线，把攻击所有的细节展示出来。第二是提供比较全面的攻击行为的描述，谁什么时间做了什么工作，每个可疑的活动我们后面有智能的分析提供一些建议。这是从智能的角度上做得非常深入了，不仅告诉你发生了什么，而且告诉你怎么做。

我们能识别的攻击行为举一个例子，既有在网络攻击链条里起初的攻击行为，我们就能非常早地知道黑客有这个恶意企图做什么事。第二是及时发现身份窃取的可疑活动。第三是恶意的黑客或攻击者已经进入到网络里面，在内部做横向拓展的时候能准确地识别批着羊皮的狼。第四，我们对特权提升的行为特别做关注，包括用一些所谓的填漏洞进行特权提供的行为我们也会特别关注。最后我们还会放在一个大的网络的部署环境里来进行相关性的问题。

比如说站在一个预操纵的层面上发动的某种攻击一般是难以发现的，这时候我们也会从对预操纵的恶意攻击的行为也会有自动的智能识别。这是我们对恶意攻击行为会提供一种基于时间轴线的报告，这边是报告的样板。后台是基于云计算、大数据、机器学习的后台，这是一个逻辑的架构，不是一个实体部署的架构。

总结一下，所谓基于机器学习、人工智能的高级威胁分析的服务功能叶具备了这样的一些特性，第一是在今天支持移动互联万物互联的环境，可以根据所有的设备平台做无缝的集成，可以跟安全大数据SIEM平台做无缝集成，而且能够在各种不同的异构的软硬件的平台上做集成形成虚拟环境。

我们把安全服务做成做成站在后面看不到虚拟化的报表，随时地保护你，这种部署已经部署在SaaS环境里，很多用户用过Office365基于云的SaaS服务，后台已经无缝地集成了高级威胁保护的功能，时时刻刻像不知疲倦的保镖来保护用户的安全。整个的效果我们做了汇总。

第一，我们会非常快速地发现攻击行为；第二我们永远比别人领先，我们做的是敌人攻进来的一刹那可以发现它并把攻击行为的损坏降低。第三，我们能比较清楚地描述安全和攻击的细节。第四，我们希望降低安全工作人员和安全厂商的劳动复合，减少误报。

除了讲安全我们还想强调一下，安全是一种能力，是一种状态，但安全不是最终的目的，安全不是你使用今天信息技术的一个主题，我们希望提供安全的户保护的能力来提高大家对使用新技术的信任，让大家可以放心舒心地使用技术。我们不仅仅是在安全这边做得非常多，同时也遵守全球各个地方的法律法规的监管的要求，满足国家安全可控的要求。

其次，我们在增安全的时候也对隐私非常敏感，我们满足全球主要的隐私监管的规定，这样大家在使用安全服务的时候，很放心，我们不会对拥护和安全服务过程中收集的用户数据进行挖掘，不会对你进行垃圾广告的推放。最后我们做到透明，对我们所收集的用户的数据，谁访问了这些数据做了什么事，我们提供全程可追诉的日志，这样保证用户的数据在整个安全服务平台和生命周期里是透明的。

我的介绍就到这里，谢谢大家！