奇安信吴云坤：内卷、破局和万物生长(14)

当时，奇安信有一个“天眼”实验室，目标是独立开发一款基于大数据和人工智能技术的威胁检测工具。“天眼”最早的研发负责人是张卓——他是奇安信最早的一批技术管理者之一，一直到现在，“天眼”仍然是他直接负责的产品。
在张卓的记忆里，当时，他们这一群研发人员和吴云坤有着同样的困惑：“‘天眼’项目开始之后，第一件事情，就是利用人工智能技术，挖掘研究公司的安全大数据。我们知道，这些数据非常有价值，却不知道该如何用。”
吴云坤来公司后，带的第一个产品就是“天眼”。很快，他找到了破局的支点，豁然开朗。
当时，某地市的案件侦查部门交给公司一个木马文件。但是打开一看，这个木马文件是过期的，早就被查杀过了，里面无法读取出有效信息。这时候，吴云坤带领张卓等核心骨干，做了一件以前没人干过的事。他们拿着这个文件，在公司的云端数据库里开始做同源性分析，找出来十几个和该木马文件高度相似的新样本。如果没有之前那个被认为可疑的木马文件，这十几个样本根本不可能在大数据的海洋里面被发现。但是一旦经过数据比对溯源分析，就会发现，这些样本实际上都是窃密木马，有些进入了某生产系统，有些进入了某相关业务局，有些进入了某行业监管部门。继续溯源的结果发现，这个木马家族最早的样本出现在2012年，来自某省一所大学的留学生宿舍，而这台电脑上使用的是某东南亚国家的语言输入法。
这样一来，就可以基本判定，这是一桩在中国境内潜伏了3年左右的跨国网络间谍案件，而攻击方来自该东南亚国家。后来，这个APT组织被命名为“海莲花”。
经过“海莲花”，吴云坤恍然大悟：“原来数据的价值是这样的，原来数据还可以这样用。”
“我们以前对数据的理解太狭隘了。”他说，“从本质上说，数据应该分为外部数据和内部数据。外部数据又分为C端数据，和从外部到内部的访问数据。而内部数据——政企客户内部产生的大量和业务相关的数据，才是解决问题的关键。如果这次不是因为有重要的内部数据作为线索，找出‘海莲花’是不可能的。”
“我是学数学的人，在我眼里，数学就是哲学。”他进一步解释说，“数据有两个特点。第一，它有时间性。当你想要回溯三年前的事，数据能告诉你，设备不能告诉你，因为设备的存储空间太少了。第二，数据有空间性。我今天可以把一二三个单位的数据连在一起看。”
他开始理解网络空间里的数据之美。
“以前我们做防护，需要一些技术高手去把攻击特征抽取出来，然后把它写成机器可以识别的各种符号，很多符号在一起，就形成一个特征库。通过这个特征库，为攻击来画像，以方便机器进行捕捉识别。”