其实安全软件，首先是一种软件产品，不应该长期被贴上各种神秘的标签。其次，网络包捕获技术只是获取攻击行为的一种手段和方式，其他的方式也应该被放到同样重要的位置上。互联网上的用户请求和响应过程，是一个非常复杂的过程，其中每一个环节都有可能出现问题。所以从这个角度看，安全软件和性能监控软件有着一样的模型。

 

 

安全软件的本质模型和监控软件是一样的，都是一个“Collect-Store-Analytics”的过程，信息可以从网络中获取，可以从应用软件的运行时环境中得到，也可以从日志当中直接分析。APM行业十年前也是以网络包捕获技术为主，这主要是因为当年的计算机软硬件不足以分析动辄几百GB的日志文件，也没有足够的技术创新从应用软件的运行时环境中获取信息。但是随着技术的发展，简单的三层模型让位于复杂的SOA架构，以应用服务器和数据库软件运行在小型机上面的垂直扩展模型被X86的水平扩展模型取代，网络包捕获技术就不再能够满足性能分析的需求。所以，新一代的以应用层探针技术为代表的APM公司就取代了原来的网络包捕获技术的APM公司。

 

现在安全行业正在发生什么样的变化呢？我觉得其实变化非常明显，第一，云的广泛使用的第一个直接后果，就是企业网络边界的逐渐消失。对于一个主要使用公有云的新兴企业来说，不可能有任何机会去使用基于网络抓包技术的硬件形态的安全产品。第二，越来越多的攻击是针对数据层和应用层，而且随着HTTPS、HTTP2.0等技术的普及，网络抓包技术越来越表现出在Performance领域的那种力不从心的态势。根据Gartner统计，目前80%以上的攻击发生在应用层，而如果没有应用上下文，这些攻击不可能在网络层被拦截；同时，越来越多的0Day和APT攻击也让传统的基于规则和特征的防御措施形同虚设。

从这个角度来说，中国安全行业的技术实现，应该是从现在网络安全的一家独大，到应用安全、终端安全和网络安全的三足鼎立，辅助以数据分析技术(SIEM)和人工智能技术。在美国，这个趋势已经逐渐成型，无论是终端安全的代表Tanium、Crowdstrike，还是应用安全领域的ArcSight、SIEM领域的Splunk等公司，在安全行业的地位都可以和传统的网络安全公司如Synmantec等互相竞争和协同，在中国，这一趋势尚未到来，然而我们都知道，中国企业的创新速度在2C领域已经证明了可以超越硅谷，在2B也一定会如此。

 

 

另外，AI的技术在安全行业将会得到全方位的应用。在未来的安全领域中，人工分析将被机器分析所取代，Security Artifical Intelligence将会成为新的“守护者”。

(责任编辑：安博涛)