聚焦信息技术领域 为产业发声
导读
随着互联网渗透到生产生活的各个细节,网络世界变得硝烟滚滚。个人信息泄露、公司遭受攻击乃至国家网络战争,在面临网络安全人才缺口数百万的今天,显得尤为严峻。基于此,可视化为维护网络安全打开了新世界的大门。那么,可视化在企业中可以做什么?可视化未来的发展趋势将是怎样?企业如何才能在产研结合中收获最大利益?就此,中国图象图形学学会可视化与可视分析专委会与九州连线联合推出“可视化百人谈”,对可视化领域的内容及成果进行专访,以下为九州连线采访奇虎360技术总裁、首席安全官谭晓生的采访实录:
谭晓生:奇虎360技术总裁、首席安全官
可视化大大提升了工作效率
九州连线:您是什么时候接触到可视化的?
谭晓生:上世纪90年代末,因为工作原因接触到可视化,比如最早期的一些可视报表、用饼图及直方图做报表等。当时我认为可视化仅仅是展现,后来发现其实不然,可视化分两部分,一部分是可视化展现,另一部分是可视分析。企业里往往提到的是可视化展现,这对企业展示项目有很大裨益,后来,我在2013年上半年偶然遇到北京大学机器感知与智能教育部重点实验室的袁晓如老师,在与他沟通可视化的过程中,我才真正了解到可视分析,也纠正了我对于可视化传统的认知。
这时候认识到,可视化并不是单纯的图形图像展现,而是利用可视化的方法进行分析,从而找到解决问题的办法,再后来我去袁晓如老师负责的实验室具体了解可视分析,我不禁叹为观止。当时我对可视化知之甚少,很多展现方法我从没见到过,因此对可视化的印象非常深刻。之后我在工作中就开始了可视分析相关领域的工作。
九州连线:您当时主要做了哪方面的可视化工作?
谭晓生:我当时任职于奇虎360公司。大约在2013年—2014年底,我带领360公司在天眼系统的开发里应用了可视分析手段。
大体而言,网络攻击可能来自普通的犯罪份子,也可能是国家情报机关,天眼系统是基于高级威胁展现的一个平台,着重于发现来自国家情报机关的网络攻击,会涉及到非常深层次的关系分析例如事件、人物,在分析不同关系情报时,可视分析就显得尤为必要。2013年,随着可视化展现与可视分析开始大面积应用在我们的各个产品及服务能力上,业界友商也纷纷效仿。
直到现在,360公司在可视化展现及可视分析方面仍有很多工作,且有增无减。在日常工作中,往往有许多非安全专业人士,比如值班人员对网络安全不了解,如何快速了解相关知识是一个难点。我们就用可视化展现了所有的监控,当我们展示给值班人员的时候以图形化方式展现,大大提高了沟通效率。
▲网络安全态势感知系统 作者:360天眼
九州连线:您当时利用可视化所做的工作为360公司的发展带来了什么?
谭晓生:这个很难衡量,因为可视化是一种方法,它被用在产品或者在线服务里,并不独立存在。就像一架飞机用到了很多颗螺丝钉,我们在卖飞机时,不能单独衡量螺丝钉给我们带来多少经济收益,所以我认为直接收益很难量化。
但可视化展现及可视分析的方法解决了用户的易用性问题,它一方面可以让目标用户喜闻乐见,另一方面能够提高我们的工作效率,这是另一种方式的经济效益。比如在没有可视分析的时候,我们在有足够多时间的情况下,仍然可以直接从文本和数字中得出结论。但是在使用可视化展现及可视分析手段的情况下,就可以提升工作效率,节省沟通成本。目前360多个部门都在做可视化展现和可视分析。
▲图为谭晓生在北京大学可视化发展前沿研究生暑期学校十年特别峰会上演讲
安全可视化成可视化重要“战地”
九州连线:现今网络安全问题日益严峻,您能否举例说明可视化在网络安全应用上的相关案例?
谭晓生:可视化在网络安全的应用案例中,印象最深刻的是我们做的全球DDoS监测系统。当时,我们需要对全球DDoS攻击现状进行展示,具体展现内容有:攻击主体、攻击方式、攻击目标、攻击时间、攻击频次,我们想要了解一次攻击就需要掌握这些信息。但专家往往需要了解的不仅仅是一次攻击,而是世界上有多少人正在攻击,因为只有掌握全局,才有可能运筹帷幄。
基于全球DDoS监控的情况,我们同事想出一个办法—3D地图。通过在地图上了解攻击方的具体坐标、目标攻击、攻击区域。比如我们将攻击情况看作一棵树,树根是被攻击目标的IP地址归属的地理位置,按国家来看,整个树根即中国;然后按省份分类,假设山西省有目标被攻击,这个目标就会显示在地图上对应树根的位置。然后为了表示当前目标被打攻击的时间,当时我们用树的高度进行展示。
最后,这棵树上面分叉分出若干个叶的节点,每个叶子结点就是一个具备被攻击的目标,比如,北京同时被攻击的网站可能有一百个,那在呈现效果上,这棵树上就会有一百个叶子;叶子的大小表示目标被攻击的次数。除此之外,它还可以表示被攻击目标的时间点,比如红色表示五分钟之内受到攻击,黄色表示之前被攻击过,但最近五分钟没被攻击......
▲全球DDoS监控系统 作者:360天眼
九州连线:您表述的是被攻击方的可视化,那攻击方该如何可视化?
谭晓生:对,上述是被攻击方的可视化。至于攻击者,我们假设在地球的外面有一个球面——外太空。在球面上有地理位置坐标,可以映射到地球上并显示映射的地理位置。我们将攻击者的地理位置坐标放在外太空球的球面上,就能得到从外太空某个点向地球上某个点的网络攻击状况,这就是攻击的情况。
发动攻击的时候,在图形展示上又会展示出一个IP地址和端口号。最终,我们在一张图基本上对全世界DDoS现在的攻击情况一目了然,比如谁在攻击、在哪里攻击、攻击了多长时间,而且还能做到”不用切换就完成展现“。最终在2014年,我们网络安全研究院的同事共同协作完成了这个成果。这在当时感觉非常有趣。
九州连线:安全可视化现在已经成为成可视化重要应用,您认为可视化在未来应该有哪些进一步的计划?
谭晓生:就360公司的可视化而言,我们在各个产品的可视化展现和可视化分析上,可视化展现是必选,比如做产品,如果不能让用户一看就明白或者容易上手,那产品的推广就存在很大问题。可视分析的一些产品涉及到大数据,这些产品需要结合人工经验,这个时候可视分析就可以当作一种手段。但是,真正懂可视分析的人凤毛麟角,所以现在的产品还难以大范围使用。
就个人而言,为什么可视分析能够给我留那么深的印象?因为可视化能解决人对海量数据、对数字不敏感等的问题。人对图形图像的敏感度比对文本数字要高得多,这是个人感知的问题。然而,可视化领域又是一个很小众的学术领域,大多数人对这个领域的了解仅仅是冰山一角。希望在下一个十年对可视化进行宣传、普及、扫盲,让更多的人了解可视化,用到可视化。
▲线索关联分析系统 作者:360天眼
可视化产研结合需各取所长
九州连线:可视化的产研结合是一大难点,您认为对于企业可视化而言,内部设立可视化部门和项目外包这两种方式,哪种方式比较好?
谭晓生:如果要对某件事情进行可视化展现,那外包团队即可。因为只要将场景描述清楚,使它能够恰如其分地展现出来就可以了。但可视分析想要通过外包来解决是比较困难的,难点主要在于数据的沟通问题,另外,可视分析与业务的场景关系很密切,想要非公司内部的人在短时间理解公司业务是不现实的,除非和外包团队建立长期稳定的合作关系,因此公司内部的团队是最好的。
九州连线:那您在产研结合上还有哪些心得或者经验分享?
谭晓生:刚开始在袁晓如老师的实验室接触可视化时,我想要在资金上支持他的研究,开展合作,然而我抛出橄榄枝长达两年之久,他始终没同意。后来我无数次带同事去到他的实验室,之后才开始逐渐合作。比如,我们组织了ChinaVIS挑战赛,一起建成可视分析的联合实验室促进可视化的产研结合,至今我们已经合作五年了。
▲ChinaVIS挑战赛
以上是一种产研结合的方式,另外,我们知道各自的优点和缺点,我擅长工程,他擅长科研,因此我很少把可视分析的开发任务交给他,而是依靠360的同事来做具体的工程落地,而他会将一些科研中的方法论、可视化的新思路告诉我们。现在,他的学生来到了360公司互相学习,这也是一种产研结合的有效方法。
我认为在产业界和学术界合作里,我们的尺度把握的很好。反观,一些校企合作往往是企业想把工程量给学校,最后往往大家合作不开心,如果各自不能发挥所长,做自己不擅长的事,那大家就会不欢而散。
九州连线:那这样的模式,是否可以复制在别的产研结合案例上?
谭晓生:我想这是并不容易的,这样的前提是双方高度契合,明白自身优劣。合作的难点不在于操作,而是思想观念。企业很多时候的是用钱买产品的期望,把对方当作劳动力,这是不对的,对方应该作为智力产出,企业不应该在工程方面对他们有太高期望。因为学校在计算机领域的工程化能力相对较弱,这正是企业的强项,为何不各自发挥长处呢?
结语:产研结合,是资源匹配的有效形式,然而大多数企业却不能真正参透其内核,依旧停留在“凭经验办事”的阶段,对可视化的认识如此,对产研结合的方式也是如此。想要真正得到产研结合的效果,思想观念的提升是第一位的。
点击图片查看往期文章
閱讀更多 木蘭花開 的文章
