专注“软件基因”技术,「戎磐网络」从演化、迭代角度看待信息安全
当互联网、云计算、物联网、大数据、人工智能近年来飞速发展,与其紧密相伴的网络安全问题也得到多方关注。有许多新技术希望以较底层的视角出发,解决各式各样的安全问题。
36氪日前接触到的上海戎磐网络科技有限公司(以下简称「戎磐网络」),就是一家以“软件基因”为核心技术的网络安全公司。
具体阐释,生物基因技术的出现,改变了人类传统上利用解剖学、细胞学、分析学等技术对个体生物的认知,满足了人们在刑事案件侦破、重大疾病预警与治疗、物种优化等方面的诸多需求。
而网络空间的功能、数据、行为都由软件代码产生,所以当前也出现了一些公司认为,解决网络空间的安全问题需要首先提升对软件的认知能力——如果借助生物基因研究的理念,解决网络空间的问题,尤其是面对新型未知威胁和变异攻击,通过软件基因检测准确识别出恶意代码和恶意行为,将对网络安全积极防御带来突破性变革。「戎磐网络」即致力于以“软件基因”为核心技术,希望为网络空间开启安全新视角。
在戎磐网络看来,认识软件的方式决定了软件安全的基础,而通过“基因”的方式了解和认识软件,是更有效的方式。
具体展开,这一观点被称为“软件基因”,最初由欧美、以色列等一些安全研究机构相关思想借鉴而来。这一思想的核心意思是,软件开发模式决定软件所带有的遗传性和变异性,这是用基因方式了解和认知软件的基础。这种观点认为,软件(包括恶意代码、恶意软件和正常软件)和生物一样,需要自身不断地迭代、发展(对软件来说比如升级、更新、打补丁等),在软件开发的过程中,存在大量复用、调用、借鉴其他代码的情况,所以这一客观开发模式意味着大部分软件其实带有一定的深层同源性。也正是因为这种特点,公司董事长刘旭认为,软件基因作为一项偏底层的技术,可以让人们对网络空间产生新的认知视角,会给信息安全带来许多独特的解决方案。
刘旭介绍,传统的安全产品在底层主要采用的是“特征检测”技术,特征和基因是并行的技术路线。特征解决的是个体问题,基因是一种群体性的认知,认知到软件的基因,就可以对一些根本性的分类做判断。具体在效果上,其认为,软件基因的视角可以解决如今安全领域存在的三个问题,即“看不了”、“看不清”和“看不远”。
“看不了”指的是,现在一些黑客组织在进行网络攻击行动之前,通常都会通过已有杀毒软件的测试实现“免杀”,之后再展开实际行动,造成特征检测的失效。
“看不清”的意思是说,现有的特征检测一般会过于依赖最先检测到的特征,并不能仔细分辨不同类型攻击的差别,或在同一攻击类型识别上造成混淆。
“看不远”,是因为病毒等攻击代码会不断迭代,当变异完成,传统的技术会无法及时更新,造成滞后。
谈及落地过程,公司认为首先需要界定软件里的什么要素信息属于基因,第二还需要提取基因片段并以图的形式进行存放,第三需要通过大量已知答案的数据验证基因算法模型的准确性,并且不断优化算法。戎磐网络如今已经通过实践,建立了国内最大的软件基因库,这一基因库目前还在以每日10万条的速度动态更新。借助这个全球软件基因库,在恶意代码家族基因检测应用方面,戎磐网络已经追踪到全球200余个黑客组织并建立了相应的基因判决识别模型。可以实时对全球海量APT组织的样本、安全事件、IP指纹、IOC等威胁情报进行分析、提取、识别和跟踪。
在传统信息安全防护领域,戎磐网络“软件基因”技术方案可与之形成互补。如公司研发的软件基因防火墙、软件基因IDS、软件基因态势感知、软件基因杀毒软件等系列产品,将有效弥补现有安全检测能力短板。此外,对于物联网、工业互联网、边缘计算等典型的“小存储、弱计算”新场景网络安全需求,公司利用“软件基因”的分析方法优势,可以解决上述场景下无法满足的特征库庞大、“云+端”带宽要求高等突出问题。
公司介绍,其有2份产品实验报告,分别是软件恶意性判定测评和APT家族模型测评。在恶意性判定实验中,从全球范围内145万样本中随机抽样1000个,戎磐网络的“智戎”产品识别率高达96.9%,判定精确度99%,各项指标处于国际头部地位。在APT家族模型判定准确率实验中,平均获得了95%以上的准确率。公司“智戎”态势感知产品曾预警到境外某APT组织正利用教育网络当作跳板向国内其他企业和关键部门发起网络攻击,2个月后才被国内其他安全企业确认为网络攻击事件。
全球软件基因库
团队方面,戎磐网络创始团队由来自于信息安全领域国家队专家组成,拥有20年的信息安全技术研究经验和对安全需求的深入理解。在全球对标公司中,其认为以色列的 Intezer与自身颇为相似。
公司目前已经经过两轮数千万元融资。据介绍,经过近3年的发展,戎磐网络的产品和解决方案得到了进一步市场认可,公司营收也始终保持高速增长。未来,其计划继续深挖软件基因技术的应用场景(如网络安全、软件测评、代码检测等),也即将推出自己的云安全产品,帮助更多客户获得态势感知能力。