可视化百人谈丨张卓：可视化为产品重赋生命力

  可视化是什么？对学术界而言，可视化是帮助人们看到事物发展过程的“白盒子”，是帮助人们理解数据的“翻译语言”，是帮助人们探索规律的“直达桥梁”，然而，对于企业界而言，可视化是什么？可视化如何为企业赋予生命力？如何将可视化真正投入到正常的使用中......就此，中国图象图形学学会可视化与可视分析专委会与九州连线联合推出“可视化百人谈”，对可视化领域的内容及成果进行专访，

  张卓：360企业安全集团天眼事业部总经理，长期耕耘在安全研发，大数据威胁分析，可视化与可视分析等技术领域。毕业入职360。作为天眼产品创始人，组建带领团队将360原本自身信息安全防护的技术理念，用于打造高级威胁检验测试产品，并成功推向市场，帮助政府、企业、事业单位发现多起高级攻击事件。

  张卓：在没有真正接触可视化以前，我对于可视化的认知一直停留在“好看的界面”这个认知水平上。2013年，当时跟着360的技术总裁谭晓生，参观北京大学机器感知与智能教育部重点实验室袁晓如老师的实验室，系统性地了解到可视分析、信息可视化、科学可视化等方向。由于之前对于里面用到的方法和技术知之甚少，很多可视分析的思路更是从来就没接触过，因此当时给我带来了极大的震撼与启发，让思想打开了一个全新的窗口，从此就投身进这个领域。

  张卓：我觉得可视化对于整个360企业安全，就是为产品赋予了新的一种生命力和表现形式，让它更生动。我们有大量与安全相关的数据，也有很多安全相关的脑力知识，但是如何让客户理解，让不懂安全的人理解是个难题，可视化就是这里面的粘合剂。

  同时对于安全专家或者有安全背景的人而言，他们怎么样更好地操纵这一些数据。这时候就是用可视分析的方法去分析挖掘探索安全相关的数据，从里面得到线索和结论，提高分析的效率，我觉得这是我们的收获。

  张卓：其实不然，数据可视化有可视化与可视分析之分。对于360企业安全而言，我们更看重可视分析。因为可视分析是基于应用场景落地所以与安全结合的场景比较多。加之，在这样的一个过程中，360作为国内最大的网络安全公司，拥有很多安全数据及安全场景。尤其现在直接面向政府机构和企业，有需求便会产生驱动。所以用可视分析和可视化的工具处理问题，是我们此后发展的目标。

  张卓：伪基站监测是我们最早应用可视化的一个领域。当时我们把所有360手机卫士发现的伪基站数据，结合可视化的可视分析系统，来看伪基站的轨迹、活动模式，之后把这套系统提供给公安机关，帮助打击犯罪。

  从整个监测而言，伪基站只是一个点，除此之外，还有威胁情报中心，以及总共上万亿的各种各样的样本数据，我们要从中找到样本家族、或者攻击者背后的攻击手法、犯罪特点，或者攻击过程，攻击目标......但是这一些数据看起来只是一行行日志，难以分析。而可视化恰恰帮助人类打开了对于数据理解的新世界。

  现在，个人会使用的可视分析的技术和原料，可以从界面上直观的看到他们之间的关系，并且让人交互使用这一些数据，比如根据时间分布、地域分布等做切换，让人能更好的理解数据。此外，我们在看数据时还得到更高级的结论和知识，这是做可视化时最大的收获。这一收获指导着我们自己开发各种产品，做出更多态势感知系统。

  张卓：伪基站短信的呈现效果是很有趣的。在当前的系统中我们得知，早晨有一拨人从京通进入北京市区，另一拨人从八达岭高速进入，之后沿着三环绕一圈，到了晚上，我们得知一部分小车在三里屯附近绕圈，这时候伪基站开始活跃，时间从晚上10点一直持续至半夜1点，而且大家接收的短信大多是色情相关的；切换视角，在北京西站附近，则发现很多诈骗类的。

  从中国整个地域上看，四川地区大多与麻将赌博相关。随着地区工作节奏不一样，四川可能八点多才出门，而北京则五点多就出门了。诸如此类，有很多有趣的现象。以前仅通过数据挖掘，我们并不能看到这么多数据，而可视化则相当于让每一个人都拥有了上帝视角，能够正常的看到数据背后由日志呈现出的轨迹全局。

  张卓：对于研究成果的评价我们分为两类：一是内部使用，主要看安全研究人员、各种数据分析员他们在使用工具时能否处理问题，提高开发效率？二是对于客户而言，看最终结果是不是能够帮助客户解决实际问题。我们是站在有没有为使用者和用户带来价值的角度去评定的。

  比如伪基站可视化可以看见伪基站的活动轨迹，如每天一批伪基站在六点多沿着京通快速公路一路抵达四惠或三里屯，看到他们的行动轨迹时，公安机关就会出动警力抓获违法人员。只要不难发现伪基站，这个系统此时的工作就是有价值的。相反，如果可视化只注重视觉感，没实际反馈，那它带来的价值就很低。

  张卓：值得一提的是，可视化在360企业安全拥有独立的平台部门，并且明确对外的岗位，有可视化工程师、可视分析研究员此类岗位。此部门将各种各样的可视化方法和布局的算法，变成抽象的组件，供公司其他的各个产品业务线使用。如此一来，学界的研究成果通过360可视化平台与实验室紧密合作，便会形成很多的通用组件、或者一些公共的数据库，将这种能力赋予360企业安全旗下各种产品。

  除此之外，我们和学界一直在持续的进行很多活动，比如我们参与合作组织ChinaVIS可视分析挑战赛；比如我们最早做与北大合作伪基站的监测系统。我们大家都希望通过合作增强学界和工业界的紧密结合，并吸引这样的领域的学生，促进良性循环。

  张卓：学界和工业界对于可视化的一开始认知不一样。大家的沟通不在一个频道上，学界是从学术的角度看问题，但工业界很多的时候是从成效的角度或者从投入产出上看问题，大家视角不太一样。但是在这样的一个过程中经过慢慢的磨合，相互理解，大家的沟通会越来越顺畅。学术界优点是科学，体系，以及方法论，工业界优点是工程化落地能力，两者结合会爆发出惊人的创造力。

  为了弥补我们之间的认知差距，我们彼此也做出更多的努力。比如跟我们合作的北京大学的大部分学生要提升工程能力，因此暑期会有一些学生在360企业安全实习，360企业安全的同事会帮他们提高工程能力。此时他们就可以积累很多可视化的方法算法，做好工程优化。

  同时北京大学袁晓如老师也会举办可视化暑期培训学校，360企业安全的同事会去参加，在参加培训时，就会想了解最新的科学是什么？这样的一个问题的本质是什么？这一系列的问题有没有理论支撑？怎么系统性的去思考问题？通过长期互相的交流合作，现在双方就形成一个比较默契的状态。

  九州连线：由于学校和公司的认知等不同，那学生从学校进入企业，应该具备哪一些要素？

  张卓：作为这一领域的学生，首先应该有好奇心。因为可视化面对的问题可能是各种各样的，需要学的技能也有很多。比如 图形学、计算机视觉、数据分析、数据挖掘等，工具层面需要熟悉Java 、openGL等相关编程语言。

  其次，是否愿意在这件事上投入精力，最关键的是是否有持续学习的能力或者动力。当面对一个新的场景和一个陌生领域的时候，是否会主动学习。总而言之，可视化是与应用结合很紧密的学科，学生需要具备的素质也比较综合，只有具备与时俱进的能力，才能适应这个行业的发展。

  结语：一千个读者，就有一千个哈姆雷特。无论是学界还是企业界，对于可视化都有不一样的认识。或深或浅，或高或低，只有全方位、多维度的综合，才能构建可视化发展的远大蓝图。不仅是技术发展，产业进步亦是如此，不同技术、不同应用的综合，才能促进人类科学的加速进步。