【编者按】提到绿盟，熟悉网络安全领域的人第一印象可能是“专业”。正如绿盟科技集团高级副总裁叶晓虎所说，大家对绿盟的认知是这是一家以技术见长的企业，如果非要以产品来说，“威胁情报”也是绿盟科技的名片之一。

整理 | 夕颜 责编 | 张文
头图 | 来源于绿盟官网
出品 | CSDN（ID：CSDNnews）
采访嘉宾 | 绿盟科技集团高级副总裁叶晓虎

2000 年，技术出身的沈继业创立了绿盟科技。如今，这家已经上市、国资持股的安全企业总市值已经超过 131 亿，连续多年位居国内安全领域第一梯队。

只是，过往的安全圈子已经与今天完全不可同日而语，如今，安全领域已经不是当年那个“混沌”的世界了。二十多年前。安全还是一个新事物，用叶晓虎当时的感受来说，就是“那时候做安全，做和不做其实是可有可无的状态，”安全威胁也远不如今天复杂和危险。尤其是在新基建七个领域和数字化转型的推动下，新政策和法律的出台，都让大家对网络安全有了全新的认识，最直观的现象，就是现在走到企业中会发现，无论是传统业务还是新兴产业，对IT的应用已经非常普遍，考虑安全已经成为一个必要的需求。

在变迁的安全需求下，绿盟如何适应安全时代变化？对于安全，绿盟有哪些思考和判断？通过与叶晓虎的交流，我们也许可以有所收获。

一、五大实验室，基础研究的“底座”

在网络安全领域，绿盟科技已深耕二十载。二十年的时间，绿盟已经积累了很多有名和具有特色的产品和解决方案，比如绿盟 WEB 应用防护系统（WAF）、网络入侵检测系统 （NIDS）、网络入侵防护系统（ NIPS）、绿盟NF防火墙（ NF）、安全审计系统 （SAS）、综合威胁探针（UTS），等等。

绿盟的另一大特色，是在基础研究上极具实力的五大实验室，约有 100 多名专业研究人员。这五大实验室于 2018 年成立：

• 星云实验室，面向云安全领域进行研究；
• 天枢实验室，利用大数据技术进行关联分析，在知识图谱和数据建模等方面进行专项研究；
• 天机实验室，主攻漏洞挖掘，聚焦新兴技术，研究新兴的安全威胁与漏洞；
• 格物实验室，专注于工业互联网、物联网、车联网方面的安全研究；
• 伏影实验室，则负责威胁追踪研究。

AI 是近几年火爆起来的技术领域，应用也逐渐走向成熟，绿盟科技天枢实验室在 AI 领域进行了哪些前沿研究，我们不妨来了解一下。

据叶晓虎介绍，天枢实验室目前有 10 多名研究人员从事 AI 算法和基础研究，同时将原型算法应用到产品方案中，是这个团队的工作内容之一。

近期，这支团队也取得了一些新的成果，很有参考价值。一是加密流量识别，使用深度学习方法从流量中找到恶意加密流量。叶晓虎认为，未来几乎所有的网站都是用 HTTPS，很多数据都是加密的，识别恶意和正常流量是对安全技术的挑战，从这一层来看，这一研究是很有价值的。二是 AISecOps，安全运维智能化是安全圈子里的老话题，用更少的工作完成安全事件处理，可以从技术手段上着手，绿盟在这项研究上一直在持续投入。第三，数据安全领域，绿盟尝试用 AI 算法对市面上的脱敏和隐私匿名化方案效果进行评估。

总之，如何在分析和运维过程中提高对应的准确率，是目前绿盟发展自身 AI 应用研究的思路。叶晓虎还不忘强调数学对于 AI 基础研究的重要性，他说道：“从未来的网络安全技术发展的趋势来看，越来越需要很多专业学科的人加入进来。今天做数据安全研究的专家很多都是原来做数学，搞基础学科研究的。”

二、主动性防御

在安全领域，威胁往往发生在防御链最薄弱的环节，就像木桶盛水，决定水不会从桶中流出的不是最长的那块木板，而是那块短板，这也是安全技术的挑战所在。为了更好地防范威胁，主动性防御是另一个思路。这是一个与被动防御相对应的概念，就是在入侵行为对信息系统发生影响之前，能够及时精准预警，实时构建弹性防御体系，避免、转移、降低信息系统面临的风险。

叶晓虎谈到，典型的欺骗式防御产品，包括蜜罐和蜜网，都是基于欺骗技术而用于企业内网威胁入侵检测与分析的系统。

蜜罐，顾名思义，就是用来当做诱饵的软件应用系统，引诱黑客前来攻击，黑客入侵后，通过监测与分析随时了解针对组织服务器发动的最新的攻击和漏洞，并通过窃听黑客之间的联系，收集黑客所用的工具、社交网络等。而把多个蜜罐用网络连接起来，组成大型模拟网络，就称为蜜网。

通过这样的技术手段，可以辅助企业运维人员能够及时发现未知异常行为，并及时推动应急响应流程，与信息化系统中原有的安全能力与机制共建企业纵深防御体系。

而在绿盟，目前主动防御型的产品是绿盟攻击诱捕系统（AES），主要是采用新型欺骗防御技术，通过诱骗攻击者入侵生成的蜜罐主机，不仅可以零误报检测攻击威胁，而且可在真实攻防对抗中，能够消耗攻击资源，溯源、反制攻击者，帮忙用户解决攻易守难的困境。同时，AES 还可以全面构造 IT 资产网，持续对内网进行安全漏洞风险监测，化攻防被动为主动。

三、要做，就要做的更好，更专业

正如文章开头就提到的，绿盟是一家以技术见长的安全企业，深植技术的基因。比如公司的创始人兼董事长沈继业毕业于清华大学，上市时的创始成员包括后来创立 Deepin（深度）操作系统的刘闻欢，核心成员袁仁广，后创办腾讯湛泸实验室并任负责人，陈庆（时任技术部总监）、左磊（时任公司安全研究部总监）、陈海卫（时任信息管理部总监）都是业内知名专家。

但这也是一家产品丰富全面的企业，这不禁让人好奇：什么是绿盟的“名片”，让大家一提起就会想起绿盟而不是别家？有人说是威胁情报，对此叶晓虎也并不否认，他说：“就以这几年的成果来讲，非要以产品来说，情报可以算是我们的一个名片。”

近年来，绿盟威胁情报（NTI）屡获肯定，根据 IDC 发布《中国威胁情报安全服务（TISS）市场，2018 年厂商评估》报告，绿盟科技凭借自身实力，在威胁情报领域的销量、能力、战略三方面均名列前茅，被列入领导者象限。2019 年，绿盟威胁情报平台荣获 2019 数博会领先科技成果；在不久前召开的 2020 年中国网络安全产业高峰论坛上，绿盟科技作为首批工信部网络安全威胁信息共享平台合作单位，凭借威胁报送与认定工作的突出贡献，成功入选 2020 网络安全威胁认定先进单位。

在交流中，叶晓虎谈到，绿盟为天枢实验室委派的另一个重要任务，就是从海量数据中挖掘出最新的安全检测模型，并落地到产品中，这是公司对这支团队的要求。本质上，天枢实验室的闭环，是围绕着如何赋能环节运转得更快。而实际上，不仅是天枢实验室，“天下武功唯快不破”这一点放在安全圈里四海皆准，因为正如叶晓虎所道破的那样，不管怎么设计安全，都不能保证百分之百安全，这几乎不可能做到。但是要努力做到的是，发生安全事件的时候能够以最短的时间减小损失。

在安全领域，MTD（平均故障检测时间）是一个经常用到的指标，而让人吃惊的是，这个数字在亚洲地区竟然高达 260 天，也就是说业务系统被攻破后，200 多天以后才会被发现！可想而知在修复之前会造成多大的损失，哪怕能缩短到 100 天、1 个月，安全事件带来的损失都会减少很多，这是绿盟一直在努力的方向——让循环过程变得更快，这是安全最核心的要素。

“绿盟科技很多领域的要求是：要做，就要做的更好、更专业，让客户、行业看得见绿盟的技术水平和研究实力，这是我们的要求”也许这样的高要求和专注度，才是绿盟这家低调的安全企业经久不衰的原因所在。

下一个二十年，绿盟会在 5 G、云计算、AI 等新环境变化下做出什么样不同的选择，我们静待其变。