采訪開始前，陳少涵還在寫代碼。用他自己的話說，他是一個非常 hands on 的人。

陳少涵，天空衛(wèi)士聯(lián)合創(chuàng)始人兼CTO，站在CEO劉霖“背后的男人”。

2015年初，這家做數據防泄漏的安全公司橫空出世。

2018年初，這家公司發(fā)布了第四代安全防御系統(tǒng)——ITP（內部威脅防護）體系。

“我們一路走來非常非常難，是靠一步步血戰(zhàn)出來的?！?/p>

他連用了兩個非常，其中既有天空衛(wèi)士成立之初全無積累，一行一行重寫代碼的辛苦；也有去年自己拿著新產品參加投標，結果實測排名竟在五名開外的心酸（共十個公司競標）；當然還有憑著不服輸的勁兒帶領團隊調試bug最終在每次實測保持第一的驕傲。

而到現(xiàn)在說到產品，陳少涵自信滿滿，“有我呢！”

雷鋒網編輯開始好奇這三個字以及它背后的故事。

▲陳少涵

過往

陳少涵畢業(yè)于美國西北大學，獲得了計算機科學與生化學雙碩士學位，畢業(yè)后飛赴硅谷。與安全結緣始于他作為創(chuàng)始工程師加入的第一家公司SS8 Networks，在其開發(fā)SIP網關時，他發(fā)現(xiàn)SIP指定的RTP音頻數據傳輸總會被各種被防火墻擋住。

被這一現(xiàn)象所吸引的陳少涵開始對研究防火墻有了興趣，并在當時自主設計了一種動態(tài)防火墻模型，一旦有數據通過信令層就能告訴防火墻打開哪個端口。

“現(xiàn)在聽起來很幼稚，但這的確是我走上安全領域的第一步，這一走就快二十年?！?/p>

2001年，陳少涵回到國內，先后在阿姆瑞特、Websense等多家安全公司擔任中國區(qū)的技術研發(fā)負責人。

“在外企的經歷中，無論是研發(fā)技術還是產品路線都讓我受益匪淺，但很多時候由于復雜的匯報環(huán)節(jié)，不能按照自己的想法去優(yōu)化產品功能與性能，我開始產生無力感。同時，雖然網絡沒有國界，但網絡安全是有國界的。在外企研發(fā)信息安全產品，其實與中國自主安全可控的信息安全發(fā)展理念是沖突的?！?/p>

這種矛盾感讓陳少涵與當時任職Websense大中華區(qū)經理的劉霖感覺異常不適，于是兩人強強聯(lián)手，在2015年1月創(chuàng)辦天空衛(wèi)士。

這名安全老將用了兩個字概括了當時的心情：踏實。

“我們組建了國內最大的內容安全研發(fā)團隊，其骨干人員很多都有外企的研發(fā)經歷，能把最先進的數據安全技術攥在中國人自己的手里讓我感覺踏實不少，另外為了提高效率，我們學習硅谷企業(yè)采用扁平化管理，以此保證每三個月迭代一個新版本。這樣的研發(fā)進度在安全行業(yè)中是非常罕見的。”

他把這些也稱為情懷。

變遷

談到如今安全防護的趨勢，陳少涵稱個人及企業(yè)數據成為主要防護對象。

而縱觀安全技術的演進與變遷，以防火墻、URL過濾、殺毒網關為代表的傳統(tǒng)防御系統(tǒng)如同中國古代城墻，僅在幾個固定位置開設城門（如80端口），外來者只有在符合端口要求之時才被允許進入。

時光飛逝日月如梭，這道城墻開始出現(xiàn)多處裂口，不少賊人也能從原來的城門混進。此時僅以端口作為攔截判定遠遠不夠，協(xié)議層安全開始被關注，以流量分析、Web安全等為主的第二代防御系統(tǒng)開始出現(xiàn)。

“接下來的三代防御，也就是我們1月12日之前所做的，即UCS統(tǒng)一內容安全解決方案。采用DLP數據防泄漏和ASWG增強型 Web 安全網關等產品，對網絡內容進行智能識別與控制。”陳少涵告訴雷鋒網。

基于內容的DLP技術與采用管理手段、權限管理以及加密等措施的傳統(tǒng)數據安全對比有一個場景。

假設某犯罪分子要進一道門，傳統(tǒng)手段相當于保安，如果保安認識該犯罪分子并覺得他是安全的就會放行，也不會檢查其帶的東西。DLP技術則相當于機場安檢，無論你是誰，進門就要過安檢，一旦檢查到其攜帶危險用品就會進行攔截。

 “隨著云計算、人工智能、大數據等新興技術的普及，我們發(fā)現(xiàn)，第三代防御系統(tǒng)也同樣需要借助人工智能等新技術進行升級和完善?！标惿俸f道。

但下一代防御系統(tǒng)究竟是什么樣的？這是值得思考的問題。

第四代安全防御系統(tǒng)

犯罪的主體是人，安全的核心也應該是人。

“所以要以人為根本去做內部威脅防范，我們稱其為內部威脅防（ITP）體系及基于行為分析的ITM（內部威脅管理）解決方案，這也是第四代安全防御系統(tǒng)。”陳少涵說道。

ITP是什么？

其主要利用統(tǒng)計學異常分析、循環(huán)神經網絡、大數據分析、貝葉斯網絡等技術對用戶行為特征進行深度建模發(fā)現(xiàn)內部有異常行為的用戶，將異常用戶評分結果與安全策略集成，對異常行為用戶進行實時風險控制。（聽起來是不是很高深）

簡單說就是通過抓取大量用戶行為數據并進行分析，然后通過機器學習總結每個用戶行為模型，繼而匯總成整個企業(yè)的行為模式，這樣用戶在企業(yè)的一舉一動會與現(xiàn)有模式進行比對發(fā)現(xiàn)異常。

舉個例子，某員工每天按時上下班打卡的行為模式與預謀今天搶銀行的行為模式一定不同。某研發(fā)工程師每天都在敲代碼，突然有一天開始寫簡歷換工作了，其行為模式也會不同。

陳少涵告訴雷鋒網，“ITM 就相當于一個大腦，這個大腦自帶打分模式，會密切觀察企業(yè)員工的網絡行為并評估風險值?！?/p>

而打分模式還不止一個，屬于三合一系統(tǒng)。

ARS（異常行為檢測）：針對每個用戶或者IP得到異常風險分值，也就是以用戶個人過去一段時間的行為模型為標桿，如果用戶行為發(fā)生突變（什么突變可以開一波腦洞），那這個人的風險分值也會upupup。

MRS（威脅行為回溯）：以特定DLP時間為基礎，針對每個用戶或者IP進行回溯得到DLP風險模式相似分值，可以理解為給那些搞事情的人建立行為模型，然后將用戶的行為模型與之對比，對比重合度越高此人以后犯事可能性也就越高。

ERS（專家系統(tǒng)）：結合專家經驗和大數據分析結果，針對每個用戶或IP得到同已知風險模式匹配的風險概率值。這個更容易理解了，一票專家把他們認定的風險行為加在系統(tǒng)中，如果哪個用戶行為碰到了這條紅線，那不好意思，又要給你加分了。

也就是ARS為自我比對，MRS為與他人比對，ERS為與規(guī)則標準比對。但這種比對也是動態(tài)的，通過機器學習會不斷完善模型?？赡軉T工 A 以前從來不瀏覽經濟新聞，突然某天開始瀏覽了，機器會將這些學會，在下次員工 A 再瀏覽之時認定這是正常行為的一部分。

這三個系統(tǒng)打分，會匯總成一個完整的一個威脅評估系統(tǒng)，當用戶威脅評估系統(tǒng)超過了預設值以后，會引發(fā)報警。假設預設值為8，一旦某人風險值超過8其某些操作就會被直接攔截，比如向外傳輸工作通訊錄等。

此處編輯有一個疑惑，第四代是否會取代第三代防御系統(tǒng)？

當然不會，這兩者還是相互打通的。當一個人的風險值較高時候會及時通知DLP網關實時阻斷其行為，反過來當網關處理了一些安全事件，機器將其總結為安全模式后又可以回溯到ITM做安全判定。

人類免疫學

當然，任何產品都不能做到完美，都需要不斷完善。

人類經過上百萬年進化，最為成功的就是人類免疫系統(tǒng)。而陳少涵現(xiàn)在研究的 ITP 實際就是將人類免疫學原理應用到 ITP 中，使其實現(xiàn)自動防御。

比如專家系統(tǒng)（ERS），相當于人類免疫系統(tǒng)的先天免疫（非特異性免疫），即基因自帶，能夠對某些已知的病毒產生抗體。

威脅回溯（MRS）類似于獲得性免疫（特異性免疫），針對病毒做抗體。是獲得免疫經后天感染（病愈或無癥狀的感染）或人工預防接種（菌苗、疫苗、類毒素、免疫球蛋白等）而使機體獲得抵抗感染能力。

異常探測（AMS）則相當于異體免疫，類似于器官移植，不屬于自身身體的細胞，會產生排異反應。

“可以看到不少技術都在往仿真學方向走，而網絡安全尤其是企業(yè)以防為核心的仿真安全將來會走向人體免疫系統(tǒng)，通過仿真學幫我們少走很多彎路。就像人工智能慢慢走向模仿人的神經的神經網絡，歷經幾百萬年進化而來的人類一定擁有最強最成熟的模型。”

當然，安全技術的強制進化并非一朝一夕，而陳少涵帶領天空衛(wèi)士技術團隊所做的就是加磚添瓦等待突破。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。