DDoS攻擊素來以成本低廉（相比防御）、效果顯著、影響深遠(yuǎn)為攻擊者所青睞，經(jīng)過長時間的發(fā)展，DDoS攻擊方式有很多種，最基本的DoS攻擊利用單個合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。DoS攻擊通常采用一對一的方式，在目標(biāo)系統(tǒng)帶寬、內(nèi)存、CPU等各項性能指標(biāo)都不高時，具有明顯的效果。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機的處理能力迅速增長，內(nèi)存大大增加，千兆級別的網(wǎng)絡(luò)出現(xiàn)，目標(biāo)系統(tǒng)的“消化能力”倍增，這時候，分布式的拒絕服務(wù)攻擊手段——DDoS就出現(xiàn)了。

利用網(wǎng)絡(luò)上已被攻陷的電腦作為“肉雞”，通過一定方式組合形成數(shù)量龐大的“僵尸網(wǎng)絡(luò)”，采用一對多的方式進(jìn)行控制，向目標(biāo)系統(tǒng)同時提出服務(wù)請求，殺傷力大幅度增加。DDoS攻、防對抗多年，從DoS到DDoS，從以流量取勝到以技巧取勝，從單一攻擊到混合攻擊，攻擊手段正不斷進(jìn)化，本文將一一介紹最常見、最具代表性的攻擊方式，企業(yè)運營者做到知己知彼，才能有備無患。

一、攻擊帶寬：以力取勝

如同城市堵車一樣，當(dāng)數(shù)據(jù)包超過帶寬上限，就會出現(xiàn)網(wǎng)絡(luò)擁堵、響應(yīng)緩慢的情況。流量型DDoS攻擊就是如此，發(fā)送海量數(shù)據(jù)包，頃刻占滿目標(biāo)系統(tǒng)的全部帶寬，正常請求被堵在門外，拒絕服務(wù)的目的達(dá)成。

ICMPFlood

ICMP（Internet控制報文協(xié)議）用于在IP主機、路由器之間傳遞控制消息，控制消息是指網(wǎng)絡(luò)通不通、主機是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息，雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。通過對目標(biāo)系統(tǒng)發(fā)送海量數(shù)據(jù)包，就可以令目標(biāo)主機癱瘓，如果大量發(fā)送就成了洪水攻擊。

UDPFlood

UDP協(xié)議是一種無連接的服務(wù)，在UDPFlood中，攻擊者通常發(fā)送大量偽造源IP地址的小UDP包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。100kbps的UDPFlood經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個網(wǎng)段的癱瘓。

上述傳統(tǒng)的流量型攻擊方式技術(shù)含量較低，傷人一千自損八百，攻擊效果通常依賴受控主機本身的網(wǎng)絡(luò)性能，而且容易被查到攻擊源頭，單獨使用的情況已不常見。于是，具有四兩拔千斤效果的反射型放大攻擊就出現(xiàn)了。

NTPFlood

NTP是標(biāo)準(zhǔn)的基于UDP協(xié)議傳輸?shù)木W(wǎng)絡(luò)時間同步協(xié)議，由于UDP協(xié)議的無連接性，方便偽造源地址。攻擊者使用特殊的數(shù)據(jù)包，也就是IP地址指向作為反射器的服務(wù)器，源IP地址被偽造成攻擊目標(biāo)的IP，反射器接收到數(shù)據(jù)包時就被騙了，會將響應(yīng)數(shù)據(jù)發(fā)送給被攻擊目標(biāo)，耗盡目標(biāo)網(wǎng)絡(luò)的帶寬資源。一般的NTP服務(wù)器都有很大的帶寬，攻擊者可能只需要1Mbps的上傳帶寬欺騙NTP服務(wù)器，就可給目標(biāo)服務(wù)器帶來幾百上千Mbps的攻擊流量。

因此，“問-答”方式的協(xié)議都可以被反射型攻擊利用，將質(zhì)詢數(shù)據(jù)包的地址偽造為攻擊目標(biāo)地址，應(yīng)答的數(shù)據(jù)包就會都被發(fā)送至目標(biāo)，一旦協(xié)議具有遞歸效果，流量就被顯著放大了，堪稱一種“借刀殺人”的流量型攻擊。

面對洪水般的流量，花高價進(jìn)行抗D帶寬擴容和多運營商鏈路冗余，雖一定程度可提升抗D能力，但面對大量攻擊仍舊于事無補，而且浪費資源。知道創(chuàng)宇旗下抗DDoS云防御平臺——抗D保，橫跨全國的分布式數(shù)據(jù)中心，600G以上帶寬抗DDoS，并可隨時應(yīng)急調(diào)用騰訊自有帶寬1.5Tb，這使得抗D保擁有超過2個Tb的防御能力。 

二、攻擊系統(tǒng)/應(yīng)用：以巧取勝

這類型的DDoS攻擊走的是巧勁，利用各種協(xié)議的行為特性、系統(tǒng)的缺陷、服務(wù)的脆弱性、軟件的漏洞等等發(fā)起攻擊，不斷占用目標(biāo)系統(tǒng)的資源以阻止它們處理正常事務(wù)和請求。

SYNFlood

這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負(fù)荷或內(nèi)存不足）的攻擊方式。建立TCP連接，需要三次握手——客戶端發(fā)送SYN報文，服務(wù)端收到請求并返回報文表示接受，客戶端也返回確認(rèn)，完成連接。

SYNFlood就是用戶向服務(wù)器發(fā)送報文后突然死機或掉線，那么服務(wù)器在發(fā)出應(yīng)答報文后就無法收到客戶端的確認(rèn)報文（第三次握手無法完成），這時服務(wù)器端一般會重試并等待一段時間后再丟棄這個未完成的連接。一個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待一會兒并不是大問題，但惡意攻擊者大量模擬這種情況，服務(wù)器端為了維護(hù)數(shù)以萬計的半連接而消耗非常多的資源，結(jié)果往往是無暇理睬客戶的正常請求，甚至崩潰。從正?？蛻舻慕嵌瓤磥恚W(wǎng)站失去了響應(yīng)，無法訪問。

CC 攻擊

CC攻擊是目前應(yīng)用層攻擊的主要手段之一，借助代理服務(wù)器生成指向目標(biāo)系統(tǒng)的合法請求，實現(xiàn)偽裝和DDoS。我們都有這樣的體驗，訪問一個靜態(tài)頁面，即使人多也不需要太長時間，但如果在高峰期訪問論壇、貼吧等，那就很慢了，因為服務(wù)器系統(tǒng)需要到數(shù)據(jù)庫中判斷訪問者否有讀帖、發(fā)言等權(quán)限。訪問的人越多，論壇的頁面越多，數(shù)據(jù)庫壓力就越大，被訪問的頻率也越高，占用的系統(tǒng)資源也就相當(dāng)可觀。

CC攻擊就充分利用了這個特點，模擬多個正常用戶不停地訪問如論壇這些需要大量數(shù)據(jù)操作的頁面，造成服務(wù)器資源的浪費，CPU長時間處于100%，永遠(yuǎn)都有處理不完的請求，網(wǎng)絡(luò)擁塞，正常訪問被中止。這種攻擊技術(shù)性含量高，見不到真實源IP，見不到特別大的異常流量，但服務(wù)器就是無法進(jìn)行正常連接。

之所以選擇代理服務(wù)器是因為代理可以有效地隱藏自己的身份，也可以繞開防火墻，因為基本上所有的防火墻都會檢測并發(fā)的TCP/IP連接數(shù)目，超過一定數(shù)目一定頻率就會被認(rèn)為是Connection-Flood。當(dāng)然也可以使用肉雞來發(fā)動CC攻擊，攻擊者使用CC攻擊軟件控制大量肉雞發(fā)動攻擊，肉雞可以模擬正常用戶訪問網(wǎng)站的請求偽造成合法數(shù)據(jù)包，相比前者來說更難防御。

CC攻擊是針對Web服務(wù)在第七層協(xié)議發(fā)起的攻擊，在越上層協(xié)議上發(fā)動DDoS攻擊越難以防御，上層協(xié)議與業(yè)務(wù)關(guān)聯(lián)愈加緊密，防御系統(tǒng)面臨的情況也會更復(fù)雜。比如CC攻擊中最重要的方式之一HTTPFlood，不僅會直接導(dǎo)致被攻擊的Web前端響應(yīng)緩慢，對承載的業(yè)務(wù)造成致命的影響，還可能會引起連鎖反應(yīng)，間接攻擊到后端的Java等業(yè)務(wù)層邏輯以及更后端的數(shù)據(jù)庫服務(wù)。

由于CC攻擊成本低、威力大，知道創(chuàng)宇安全專家組發(fā)現(xiàn)80%的DDoS攻擊都是CC攻擊。帶寬資源嚴(yán)重被消耗，網(wǎng)站癱瘓；CPU、內(nèi)存利用率飆升，主機癱瘓；瞬間快速打擊，無法快速響應(yīng)。知道創(chuàng)宇頂級安全研究團(tuán)隊為抗D保自主研發(fā)的Anti-CC防護(hù)引擎可以根據(jù)訪問者的URL、頻率、行為等訪問特征，智能識別CC攻擊，迅速識別CC攻擊并進(jìn)行攔截，在大規(guī)模CC攻擊時可以避免源站資源耗盡，保證企業(yè)網(wǎng)站的正常訪問。

抗D保-抗CC攻擊數(shù)據(jù)（監(jiān)控）

DNSQueryFlood

DNS作為互聯(lián)網(wǎng)的核心服務(wù)之一，自然也是DDoS攻擊的一大主要目標(biāo)。DNSQueryFlood采用的方法是操縱大量傀儡機器，向目標(biāo)服務(wù)器發(fā)送大量的域名解析請求。服務(wù)器在接收到域名解析請求時，首先會在服務(wù)器上查找是否有對應(yīng)的緩存，若查找不到且該域名無法直接解析時，便向其上層DNS服務(wù)器遞歸查詢域名信息。

通常，攻擊者請求解析的域名是隨機生成或者是網(wǎng)絡(luò)上根本不存在的域名，由于在本地?zé)o法查到對應(yīng)的結(jié)果，服務(wù)器必須使用遞歸查詢向上層域名服務(wù)器提交解析請求，引起連鎖反應(yīng)。解析過程給服務(wù)器帶來很大的負(fù)載，每秒鐘域名解析請求超過一定的數(shù)量就會造成DNS服務(wù)器解析域名超時。

根據(jù)微軟的統(tǒng)計數(shù)據(jù)，一臺DNS服務(wù)器所能承受的動態(tài)域名查詢的上限是每秒鐘9000個請求。而一臺P3的PC機上可以輕易地構(gòu)造出每秒鐘幾萬個域名解析請求，足以使一臺硬件配置極高的DNS服務(wù)器癱瘓，由此可見DNS服務(wù)器的脆弱性。

抗D保在全國多個城市采用分布式集群方式部署了上千臺高效DNS服務(wù)器，從而保證各個地區(qū)的查詢響應(yīng)速度?？笵保的高防DNS服務(wù)，可有效解決突發(fā)的上億級別的隨機HOSTA記錄查詢攻擊、遞歸DNS穿透攻擊、DNS流量攻擊等多種針對域名解析的攻擊請求。

抗D保防御DNS攻擊效果示意

三、混合攻擊：流量與技巧并用

在實際情況中，攻擊者只求達(dá)到打垮對方的目的，發(fā)展到現(xiàn)在，高級攻擊者已經(jīng)不傾向使用單一的攻擊手段作戰(zhàn)了，而是根據(jù)目標(biāo)系統(tǒng)的具體環(huán)境靈動組合，發(fā)動多種攻擊手段，既具備了海量的流量，又利用了協(xié)議、系統(tǒng)的缺陷，盡其所能地展開攻勢。

對于被攻擊目標(biāo)來說，需要面對不同協(xié)議、不同資源的分布式的攻擊，分析、響應(yīng)和處理的成本就會大大增加。

抗D保擁有國內(nèi)最大的抗D集群，使用騰訊宙斯盾流量清洗設(shè)備并結(jié)合由知道創(chuàng)宇研發(fā)的Anti-DDoS引擎，5秒發(fā)現(xiàn)惡意攻擊，10秒快速阻斷，2T帶寬儲備，通過多種防御手段，防御各種類型、形態(tài)的DDoS攻擊，包括基于網(wǎng)絡(luò)層的攻擊，如TCPFlood、UDPFlood、ICMPFlood，以及應(yīng)用層攻擊，類似HTTPFlood這種試圖耗盡服務(wù)器資源的攻擊，同時可以有效防御各種反射攻擊和僵尸網(wǎng)絡(luò)攻擊。

面對一次次攻擊，即使是去年10月讓美國半個互聯(lián)網(wǎng)癱瘓的DDoS攻擊事件，也只是讓很多人小心臟稍微顫抖了幾下，在大家的印象中，DDoS只是一陣海嘯，很快就能恢復(fù)了往日的平靜。但是，DDoS在互聯(lián)網(wǎng)發(fā)展進(jìn)程中已經(jīng)留下了太多不可磨滅的破壞，許多企業(yè)就此一蹶不振。而且隨著互聯(lián)網(wǎng)+的不斷推進(jìn)，商業(yè)競爭的愈演愈烈，它的危害越來越大，任何企業(yè)組織都應(yīng)該考慮自己的DDoS防護(hù)方案，而不是成為攻擊的炮灰，也盡量避免遭受攻擊后再亡羊補牢。

相關(guān)新聞

2016-12-20

2017-03-06

2017-07-28

2017-08-17

2017-09-04

“98/485，約20%”。

這是BlueSpike聲稱持有的美國專利數(shù)量與小米已獲得授權(quán)的中國專利數(shù)量之比。單純從數(shù)據(jù)來看，兩者之間的差距似乎很大，而小米持有的專利規(guī)模要遠(yuǎn)大于BlueSpike。不過，BlueSpike卻將小米起訴至美國法院，指責(zé)小米涉嫌侵犯其專利權(quán)。

11月19日，一家名為BlueSpike的NPE將小米東德州聯(lián)邦地區(qū)法院馬歇爾分院，訴至美國東德州聯(lián)邦地區(qū)法院馬歇爾分院，指責(zé)小米通過Tomtop銷售的智能通信設(shè)備涉嫌侵犯其在美國擁有的專利權(quán)。

按照過往經(jīng)驗，伴隨小米布局美國市場的步伐不斷提速，自然會有越來越多NPE把小米當(dāng)作攻擊的“靶心”，那么，懷揣“美夢”的小米，到底該如何應(yīng)對來自NPE的專利侵權(quán)訴訟“圍剿”?

緣起：NPE訴訟策略堅持“冒頭就打”?

眾所周知，包括專利在內(nèi)的各類知識產(chǎn)權(quán)保護(hù)具有較強的地域或國別屬性。簡單說，只有產(chǎn)品進(jìn)入一國市場，才可能發(fā)生侵犯該國特定權(quán)利人知識產(chǎn)權(quán)的可能。

所謂NPE，是英文Non-Practicing Entity的縮寫，中文名稱為“非專利實施實體”或“非生產(chǎn)專利實體”。簡單說，NPE是指代那些擁有專利但不從事專利產(chǎn)品生產(chǎn)的機構(gòu)。

最常見的NPE應(yīng)該算是科研機構(gòu)，當(dāng)然，還有一些NPE主要以專利授權(quán)許可為其主要盈利模式，同時以發(fā)起專利訴訟作為主要促成合作手段。

而作為一家NPE，BlueSpike對外宣稱擁有98項專利，主要集中在“數(shù)據(jù)安全、深度檢測、軟件簽名”等諸多領(lǐng)域。

美國專利商標(biāo)局網(wǎng)站的統(tǒng)計數(shù)據(jù)顯示，截止12月1日，BlueSpike的專利檢索量為47件，小米手機的專利檢索量為5件。

顯然，僅從專利持有數(shù)量來看，BlueSpike并不算一家大型的NPE機構(gòu)。但是，與小米相比，其專利規(guī)模優(yōu)勢還是比較領(lǐng)先的。

更重要的是，作為一家NPE機構(gòu)，其以專利許可為核心業(yè)務(wù)，并不直接從事商品生產(chǎn)，勢必增加了小米與其談判合作的難度。

而從發(fā)起的專利訴訟來看，BlueSpike確實一家久經(jīng)沙場的老手。比如，在2012年至2013年間，不到兩年時間，BlueSpike曾以其持有的四項與信號提取(signal abstracting)相關(guān)的專利，前后在德州聯(lián)邦地院提起超過70起的專利侵權(quán)訴訟，被告中不乏大眾所熟知的Google、Yahoo、Adobe等公司。

根據(jù)一份哈佛大學(xué)的研究顯示，從2001年到2011的十年之內(nèi)，在美國內(nèi)被NPE發(fā)起訴訟的企業(yè)從11家激增到336家。

而PatentFreedom2014年所作的統(tǒng)計顯示，被NPE起訴的對象高達(dá)50%以上都是高科技產(chǎn)業(yè)。

事實上，大多數(shù)NPE機構(gòu)多采取“冒頭就打”的策略，通常會把知名公司列為靶心，有的會先發(fā)送侵權(quán)警告函，促使雙方談判，如果對方不予理會則會發(fā)起專利侵權(quán)訴訟。有的則跳過通知，直接發(fā)起專利訴訟。

教訓(xùn)：黑莓手機曾賠償NPE6億多美金

談及NPE與實業(yè)公司之間的專利侵權(quán)糾紛，最著名的案例應(yīng)該是發(fā)生在2000年-2006年間的黑莓手機被訴無線接收郵件專利侵權(quán)案。

當(dāng)時，生產(chǎn)黑莓手機RIM公司的(全稱“ResearchinMotion”)被一家名為NTP公司的NPE機構(gòu)訴至美國弗吉尼亞東區(qū)聯(lián)邦地區(qū)法院。

事實上，NTP公司也是一家小型NPE機構(gòu)，其持有的專利僅有25件。但是，這家公司最終讓黑莓支付了高達(dá)6.12億美金的和解費用。

那么，這家小公司是如何讓當(dāng)時鼎鼎大名的黑莓手機付出了堪稱天價的和解費用呢?究其原因有二，其一，該公司持有的專利含金量高;其二，黑莓歷經(jīng)6年還是無法贏得訴訟。

在該案中，NTP公司訴黑莓手機侵權(quán)的專利為“整合既存電子郵件系統(tǒng)(網(wǎng)絡(luò)線系統(tǒng)，wireline systems)與廣播頻率(RF)無線通信網(wǎng)絡(luò)”的系統(tǒng)科技，通過該技術(shù)可讓手機用戶通過無線網(wǎng)絡(luò)接收電子郵件。

值得一提的是，NTP公司當(dāng)時沒有任何員工，而且訴爭專利也非NTP公司直接發(fā)明。只不過，與電子郵件系統(tǒng)相關(guān)的五件美國專利后來都轉(zhuǎn)至NTP公司名下。

2000年，NTP公司向RIM公司發(fā)出警告信函，索取授權(quán)金，RIM公司沒有響應(yīng)，隨后，2001年11月13日， NTP公司將RIM公司訴至法院，聲稱黑莓手機侵犯了其五項專利中的40個系統(tǒng)請求項和方法請求項。

案件審理過程中，針對14件請求是否構(gòu)成侵權(quán)，曾進(jìn)入陪審團(tuán)審理環(huán)節(jié)。陪審團(tuán)于2002年11月21日作出裁決，認(rèn)定RIM公司構(gòu)成侵權(quán)，應(yīng)賠償約2300萬美金。但RIM公司不服，要求法院直接判決，法院于2003年8月5日作出判決，認(rèn)定RIM公司侵權(quán)，需支付約5300萬賠償金。

對此，RIM公司不服提起上訴，聯(lián)邦巡回上訴法院作出判決，部分維持地區(qū)法院判決。此后，RIM公司試圖上訴到聯(lián)邦最高法院，但最高法院拒絕受理其案件。

專利訴訟期間，RIM公司也在通過申請專利無效試圖“釜底抽薪”。但在聯(lián)邦巡回上訴法院作出判決后，專利商標(biāo)局才作出認(rèn)定，認(rèn)為該案系爭專利全部無效。而NTP公司明確表示不服，將對專利無效認(rèn)定向聯(lián)邦巡回上訴法院提起訴訟。

至此，黑莓手機已基本窮盡了所有法律救濟(jì)手段。迫不得已，RIM公司與NTP公司開始和解談判，并于2006年達(dá)成和解，最終的和解費用高達(dá)6.12億美金。包括：支付侵權(quán)的損害賠償費用和未來永久使用的許可費用。

應(yīng)對：針對不同NPE應(yīng)采取差別策略

在美國，包括蘋果、三星、HTC等在內(nèi)的諸多知名企業(yè)，常常成為NPE機構(gòu)發(fā)起的專利訴訟被告。

2015年2月25日，在Apple Watch以及新Macbook發(fā)布會前夕，蘋果被美國聯(lián)邦法院判決侵犯了Smartflash所擁有的三項專利，必須支付其5億多美元的賠償金。與此同時，這家名為Smartflash的NPE機構(gòu)也將三星、谷歌、HTC起訴至法院。

顯然，小米手機進(jìn)軍美國市場，面臨的最大訴訟壓力未必是來自同業(yè)競爭對手，而更多是NPE機構(gòu)。那么，磨刀霍霍欲搶灘美國的小米，該如何應(yīng)對來自NPE的“圍剿”?

一般來說，根據(jù)NPE的運作模式或訴求不同，可以分為三類：1)研究型NPE機構(gòu)，主要以科研機構(gòu)為主，一般不以盈利為目的，側(cè)重于科技創(chuàng)新，比如一些高?；蚩蒲性核?2)營利性NPE機構(gòu)，主要通過許可授權(quán)或訴訟獲得收入，由于自己不從事商品生產(chǎn)，不擔(dān)心被訴也無專利交叉許可需求，比如高智公司，以及前文提到的BlueSpike、NTP、Smartflash等;3)聯(lián)盟型NPE機構(gòu)，此類NPE相當(dāng)于特定領(lǐng)域或行業(yè)的聯(lián)盟機構(gòu)，通過匯集成員專利或購買專利，方便成員使用，比如美國專利公司RPX(Rational PatentExchange)。

由于不同NPE機構(gòu)的訴求不同，面對來自NPE機構(gòu)發(fā)起的專利訴訟，需要采取不同的策略。

首先，對于研究型NPE機構(gòu)，應(yīng)該加強合作。通過項目資助等方式，提早獲得一些前瞻性技術(shù)專利的許可授權(quán);

其次，對于聯(lián)盟型NPE機構(gòu)，可選擇性加入。則需要根據(jù)自身的專利積累情況，結(jié)合所處行業(yè)的特點，選擇加入一些NPE機構(gòu)，通過支付少量的費用，獲得大量的專利授權(quán)許可使用。

最后，對于營利性NPE機構(gòu)，則需多加小心。從市場競爭的角度，可以在適當(dāng)?shù)臅r候，通過投資或入股的方式，掌握一定的NPE機構(gòu)資源，藉此可以遏制競爭對手。而一旦被此類機構(gòu)起訴，則需要綜合考慮通過投資、談判、訴訟以及無效認(rèn)定等手段，有效化解一些風(fēng)險。

對于小米來說，如果想好了要搶灘美國市場，也必須有全面的應(yīng)對NPE機構(gòu)策略，否則，稍有不慎，就可能為名所累，成為各路NPE機構(gòu)爭相起訴的對象，而一旦陷入訴訟泥潭中，漫長的訴訟周期以及高額的賠償費用，都有可能把自己拖垮。

作者：李俊慧|來源：iDoNews專欄

AlphaGo在代表最高水平的智力游戲圍棋與人類頂尖選手對決，但凡虛心一點的科學(xué)家都明白，這不過是個100萬美金的超值廣告。

而從媒體到普通民眾，都擔(dān)心某一天AI具備自我意識后，在高速進(jìn)化中全面超越人類。

這根本是孤陋寡聞的恐慌。

哲學(xué)上有一個懸而未決的問題，意識和智能產(chǎn)生自大腦，但是意識和智能能夠理解大腦本身嗎?

索羅斯在他著名的通俗著作《金融煉金術(shù)》開篇提到了一個問題，所有能被人類主觀意識影響的東西，都不具備“客觀性”(這句話請讀三遍想三遍)，因為“反身性”原理，所有有人類參與和影響的活動，從金融投機所屬的經(jīng)濟(jì)學(xué)到預(yù)測社會發(fā)展的歷史和人文類科學(xué)，都不具備真正的規(guī)律。某種程度上它們本質(zhì)上都是偽科學(xué)。

這句論斷讓筆者印象尤其深刻。從量子力學(xué)主宰的微觀世界被驗證了無數(shù)次的“不確定性原理”，到索羅斯的“反身性”原理，背后揭示了一個深刻的規(guī)則：人不能跳出“人的視角”去驗證人。

“不畏浮云遮望眼，只緣身在此山中”

人工智能大家都在追風(fēng)談deeplearning，也就是程序員設(shè)計算法，訓(xùn)練計算機群從海量數(shù)據(jù)中習(xí)得 “特征”，也是這次AlphaGo不同以往圍棋軟件的地方，它能夠與頂尖高手的大量切磋練習(xí)中“自動學(xué)習(xí)”提高技術(shù)。但是AlphaGo習(xí)得的那點“人工智能”與人類所真正代表的強人工智能相比，還有兩個巨大的門檻。

第一個問題，歸根結(jié)底，人是不是一部自動反應(yīng)的機器?

《生活大爆炸》里有一個男主角叫SheldonCooper，他很萌，但卻是對情境感知能力較差，并伴隨著嚴(yán)重強迫癥。

社交困難、溝通困難、固執(zhí)或狹窄興趣。類似SheldonCooper的人，在幼年時，會經(jīng)常遇到這樣的尷尬：

–孩子沒有交作業(yè)，老師很生氣，便諷刺地說道：

–老師：“狗把你的作業(yè)吃掉了嗎?”

–孩子：“老師的狗會吃掉紙?”

孩童是因為不能理解老師的提問而保持沉默，并會認(rèn)為老師有養(yǎng)狗、而且狗會吃紙。但老師想要表達(dá)的其實是“你忘記交作業(yè)了”，而孩童本身沒有辦法了解這類的隱喻。

世界上真實存在著這樣一群人?，F(xiàn)代精神病學(xué)指出，這是一種溫和的自閉癥叫阿斯伯格綜合癥(Aspergersyndrome)，不同于一般自閉癥， Aspergersyndrome保有社交的意愿卻缺乏相關(guān)的能力，他們看起來像“機器人”，但大多心智正常。

Aspergersyndrome 從某種程度上反映了人類心智并不神圣，是有跡可循的。而認(rèn)知心理學(xué)的發(fā)展，卻越來越向人們揭示一個可能的結(jié)論，無論是自閉癥患者、阿斯伯格綜合癥患者、還是普通人，實際上都是基本自動的機器。

神經(jīng)科學(xué)家安東尼奧·R。達(dá)馬西奧所著述《SelfComestoMind》(自我在大腦當(dāng)中是怎么生成的)中認(rèn)為，通常人們混淆了 emotion(直覺情緒)和feeling(感受)?！拔矣X得怎么樣，我覺得受委屈了，我覺得被尊重了”，這種“我的feeling”是杜撰的、虛假的。

一個比較典型的例子，這也是原來心理學(xué)經(jīng)常引用的故事，在加拿大做的實驗。在一個石橋上和一個鐵橋上招募一幫人去談戀愛，隨機抽取一對一對去談。石橋因為很堅固，有風(fēng)也不會晃。鐵橋是鐵索橋，是吊橋，有風(fēng)就會晃。因為一晃就會緊張，緊張恐懼是一個 emotion，恐懼來的時候又帶來什么呢，內(nèi)部是腎上腺素分泌;外部的表現(xiàn)，比如瞳孔放大，面部會發(fā)紅，鼻孔會擴張，有各種各樣的表現(xiàn)。

但是很有意思是，緊張的外在表現(xiàn)和愛情出現(xiàn)的外在表現(xiàn)是一致的。理論上講，環(huán)境不應(yīng)該對你是不是對對方有好感能夠產(chǎn)生影響，不管你是在石橋上跟人談戀愛，還是在晃動的鐵橋跟人談戀愛，理論上講，你愛上對方的幾率是差不多的。但一個很有意思的現(xiàn)象是，在晃動的鐵橋上愛上對方的幾率大大超過在一個穩(wěn)定的石橋上，因為剛才講的 feeling部分，就是這個自我部分，它不知道emotion 出了什么事兒，它只是去讀取。它讀取的數(shù)據(jù)是，原來所有的征兆，所有的征兆符合談戀愛的特征，我就一定愛上對方了，我既然愛上對方了，我就一定要真的去愛她，因為如果我覺得我是，而又沒有真的去愛的時候，又會出現(xiàn)另一個，叫做認(rèn)知失調(diào)。這樣的話，他就以為自己是這樣的，就那樣去做了。這是真實研究的成果。

之前人們認(rèn)為emotion就是 feeling，達(dá)馬西奧研究發(fā)現(xiàn)不是，emotion不能改變，見到什么樣的情況你就會產(chǎn)生怎樣的反應(yīng)，是下意識的，是不能控制的。而feeling是“我” 在作怪，受這個所謂的“我”來控制的，它首先讀取emotion的數(shù)據(jù)，經(jīng)過處理之后告訴“我”，我感受到了什么。

“處理”的過程十分關(guān)鍵，它能否被模擬，與實現(xiàn)真正的人工智能息息相關(guān)，這是人工智能已有部分答案(比如deeplearning )的第一個重大問題。而所謂的“我”，自我意識甚至自由意志都是幻覺，是假的，不存在。我們實際上是個基本自動的機器，99.9% 自動處理的機器，只不過這個機器有一個特別特殊的軟件，就監(jiān)控這個機器本身的“我”。

身體是遍布傳感器(耳鼻口舌目身體，聽覺嗅覺味覺觸覺視覺)的硬件，又運行著一個產(chǎn)生“自我”的軟件，從某種程度上來說，我們確實只是機器人。

但“自我意識”是如何產(chǎn)生的，目前還沒有徹底搞清楚，也是人工智能最重要的、且尚無頭緒的問題。

第二個問題，100%的正確誕生不了真正的智能

所見與真實有很大的狹隘和偏差。

普通人的視力系統(tǒng)就是一種用于獲取和分析可見光的信息接收系統(tǒng)，倘若缺少一類，或是性能不足，就會發(fā)生：盲人無法感知光線、色盲缺乏分辨色彩的能力、健全人的眼睛看不見紫外線、紅外線，分辨不出偏振光……但真正的，健全人看待世界的方式其實與盲人摸象別無二致。

一個已知的事實是地球面向太陽的區(qū)域每平方厘米每秒會穿過大約650億個來自太陽的中微子，然而由于缺乏感知能力，不僅人類自身無法察覺。比如我們所謂的 “錯覺”，錯覺是在已獲取信息的基礎(chǔ)上，進(jìn)行額外加工所獲得的認(rèn)知，有一個非常著名的例子就是卡尼薩三角形錯覺;錯誤則是計劃之外發(fā)生的隨機突變。一些特殊的神經(jīng)性疾病將使得我們感知到與常人完全不同的世界，例如擁有斷續(xù)影像視覺(Cinematographic vision，一種罕見的精神異?，F(xiàn)象)體驗的人，大概會認(rèn)同芝諾關(guān)于飛矢不動的論斷所言非虛。

我們所謂的存在皆由我們的觀察而得，而我們的觀察方式存在先天性的漏洞。但奇妙的是，從感知、觀察、形成概念、到邏輯推理均存在缺陷的人類，實現(xiàn)了真正的智能。

圖靈開創(chuàng)了現(xiàn)代意義上的計算機科學(xué)，幾乎同時代，美妙而強大的人工智能其實早在50、60 年代就開始研究了，但一直沒有大的進(jìn)展。之前的研究重點是精確的數(shù)理統(tǒng)計與創(chuàng)新算法，直到人們把眼光從線性系統(tǒng)放到非線性系統(tǒng)，從邏輯編排到混沌系統(tǒng)，從機器到人。才取得了一些有限的進(jìn)展。比如模仿大腦神經(jīng)元多層鏈路循環(huán)遞進(jìn)處理信息的方式，誕生了時下火熱的深度學(xué)習(xí)。

計算機的發(fā)展，核心是邏輯門的堆疊帶來的超高效率和超高準(zhǔn)確性。100% 正確卻誕生不了智能。非線性系統(tǒng)、混沌理論指導(dǎo)下，即使目前流行的分布式計算、并行計算，還沒有真正有 “容錯”的能力。模擬錯誤的信息輸入，輸出錯誤的模型，能在下一次模型實踐中發(fā)現(xiàn)模型本身的錯誤或局限，在沒有程序員沒有旁人主動干擾指出中習(xí)得 “錯誤”，并從中學(xué)習(xí)進(jìn)化。這需要部分拋棄冰冷的邏輯和理性，一場真正的哲學(xué)革命。

生命體是各種不同細(xì)胞的堆疊，涌現(xiàn)了意識、智能、情感、道德、乃至今天人類的一切，以至于反作用于現(xiàn)實世界本身。計算機實現(xiàn)強人工智能的一天，必然也具備意識、情感、道德等表面上與 “智能”無關(guān)的東西，那時候恐怕就不是一種機器和工具，變成活生生的生命體，而我們成為了造物主，成為了上帝。

宇宙的圖像和大腦神經(jīng)元的圖像何其相似，真正人工智能的問世，筆者深信，那就是另一種創(chuàng)世。

作者：青山

　蘋果公司的ApplePay移動支付服務(wù)在2016年2月18日來到了中國大陸，在國內(nèi)的iPhone用戶中掀起了一陣熱潮，甚至有很多果粉不惜等待更長的隊伍而體驗科技帶來的“便利”。

三星在去年8月也推出了移動支付服務(wù)“三星智付(SamsungPay)”，并于同年在韓國本土以及美國上市。并于今年2月24日證實在國內(nèi)公測。

那么三星智付的體驗如何？與ApplePay又有什么區(qū)別？新浪科技本文將為你帶來大概是最全的三星智付講解。

支持設(shè)備

在公測階段，僅國行版GalaxyS6edgePlus和Note5兩款手機支持，主要限制在于手機硬件。

由于三星智付支持基于NFC(近場通訊)和MST(磁力安全傳輸)兩種不同技術(shù)的零售交易，所以可運行三星智付的手機必須同時內(nèi)置了NFC和MST兩款芯片。

目前三星手機中，只有以上兩款手機同時內(nèi)置這兩款芯片，國行版GalaxyS6和S6edge已閹割MST芯片，故目前僅兩款產(chǎn)品可用。

是否支持非國行版手機？

三星方面表示，國內(nèi)的三星智付并非僅僅是韓國、美國的漢化版，三星中國在原版的基礎(chǔ)上進(jìn)行了一些代碼以及用戶體驗的優(yōu)化。只有國行版的手機才能收到帶有三星智付的系統(tǒng)更新推送。

以上是軟件層面的，在硬件層面，國行版S6和S6edge被閹割了MST芯片。所以這兩款設(shè)備無望接入三星智付。

其他地區(qū)版的S6以及S6edge是支持MST芯片的，硬件層面理論上是支持的，是否會適配就要期待三星或者民間大神移植了。

綁卡流程

在綁卡之前，需要完成兩個準(zhǔn)備工作：

1。確定手機已經(jīng)錄入了指紋信息、

2。已經(jīng)注冊三星賬戶(沒有的可以去三星官網(wǎng)注冊下)。

這兩步完成后可選擇右上方的“添加銀行卡”，可選擇攝像頭識別和手動輸入兩種方式。按照提示輸入信息，綁定就完成了。

綁定完成后系統(tǒng)會下載一些配置文件，所以這個環(huán)節(jié)還是建議在WiFi環(huán)境下完成。

支持銀行

本次三星智付也是由銀聯(lián)牽頭達(dá)成合作的，所以與ApplePay相同，只有接入銀聯(lián)系統(tǒng)的卡才能綁定，像單VISA或Master卡是不能用的。同時支持和銀聯(lián)機構(gòu)的卡綁定后將僅能支持銀聯(lián)系統(tǒng)支付。

在本次公測階段，目前只支持7家銀行的信用卡和兩家銀行的借記卡，分別是

信用卡：中國工商銀行、中國建設(shè)銀行、廣發(fā)銀行、中信銀行、中國光大銀行、中國民生銀行、平安銀行

借記卡：中國建設(shè)銀行、中信銀行

三星方面表示，發(fā)卡量較大的招商銀行目前正在洽談中，將于近日上線。其他銀行也將陸續(xù)登陸三星智付。

使用場景

主要應(yīng)用場景包括國內(nèi)外絕大多數(shù)銀聯(lián)POS機、公交地鐵和應(yīng)用內(nèi)支付。

三星智付由于加入了MST技術(shù)(模擬磁條)，理論上可以兼容市面上絕大多數(shù)POS機產(chǎn)品，無論POS是否帶NFC功能。不像蘋果只支持帶有云閃付技術(shù)的POS機，

值得一提的是，經(jīng)三星測試，不僅限于大陸，在全球范圍內(nèi)銀聯(lián)POS機上基本都可以使用。

國內(nèi)公共交通支付系統(tǒng)也是基于MST技術(shù)的，所以刷三星手機也可以乘坐公交、地鐵等交通工具的。不過目前這一功能還未上線，官方預(yù)計在今年第二季度登陸國內(nèi)市場。

為什么三星能兼容絕大多POS機ApplePay不行

這就要從三星智付的原理說起了。

簡單來說NFC是近幾年飛利浦、諾基亞、索尼聯(lián)合研發(fā)的一種通信標(biāo)準(zhǔn)，需要單獨的接收、發(fā)送芯片來進(jìn)行數(shù)據(jù)傳輸。而MST磁力安全傳輸技術(shù)是另外一種傳輸方式，這種通信方式可兼容POS機側(cè)邊的刷卡槽。ApplePay只支持前者，而三星智付支持全部兩種通信方式。

目前市面上的POS機產(chǎn)品，大多想對較老，僅支持側(cè)邊磁條刷卡，并沒有內(nèi)置NFC芯片。這就造成了同樣是POS機，ApplePay不能哪里都能用的原因。

而三星通過支付公司LoopPay從而獲得MST技術(shù)，可完美兼容老式POS機的側(cè)邊刷卡槽通信，從而可以實現(xiàn)絕大多數(shù)設(shè)備的兼容。

使用流程

介紹三星之前我們先來回顧下支付寶/微信和ApplePay的體驗。

支付寶/微信：點亮手機——解鎖——進(jìn)入應(yīng)用——點付款——輸入密碼(或指紋)——確認(rèn)付費。同時全程需要聯(lián)網(wǎng)。

ApplePay：手機碰一下刷卡器——輸入指紋(或密碼)。不需聯(lián)網(wǎng)。

三星智付：在黑屏待機/鎖屏/主界面狀態(tài)下從Home鍵向上滑動屏幕——輸入指紋(或密碼)——手機放在POS機附近。不需聯(lián)網(wǎng)。

要提示的是使用NFC支付時需要把手機放倒POS機附近，而實用MST方式則需要把手機放在刷卡磁條附近。

三星的工程師認(rèn)為，從用戶體驗出發(fā)，相比熄屏直接支付，加入一個呼出虛擬卡片的過程能給用戶帶來心理層面的安全感，讓用戶覺得什么時候支付可以受到掌控，減少誤操作的幾率。

除了指紋需要在POS機輸入密碼么？

密碼這部分需要分NFC和MST兩部分講。NFC方式支付和ApplePay一樣，輸入完指紋后是否需要在POS機上輸密碼，取決于綁定的銀行卡刷卡時是否需要輸入密碼。

大多數(shù)國人的借記卡和信用卡在交易時候都是需要輸入密碼的，而只有部分銀行卡是可以支持小額免密碼“閃付”快捷支付的。而至于小額閃付是否需要輸入密碼，這也和店家也有關(guān)。

而使用MST方式的話，只要銀行卡有密碼，那么就一定要在POS機輸入密碼了。

手機套影響支付么？

只要背部手機套不是金屬的都沒有影響，已實測塑料、硅膠以及皮質(zhì)手機殼，均不影響兩種方式支付。

手表能使用三星智付么？

不能。官方并未解釋原因，也未透露上線日期。

安全性如何保障

MST確實是模擬磁卡的技術(shù)，磁卡也是可以被復(fù)制，但這并不意味著三星的MST技術(shù)就不安全。這要從軟硬兩部分來解答。

硬件方面三星智付采用了類似蘋果的機制，所有記錄的銀行卡信息將單獨紀(jì)錄在獨立芯片中，且只有SamsungPay的應(yīng)用可以調(diào)用該芯片的數(shù)據(jù)。

此外，銀行卡號并非直接存儲在芯片中，而是經(jīng)過了兩層加密。

首先不同通信方式會有不同的算法進(jìn)行加密，也就是說一個銀行卡賬號在通過NFC支付時候是一個虛擬號碼，通過MST支付時候是另外一個虛擬號碼。這只是第一層。

三星智付與蘋果相同同樣使用了token加密。儲存賬戶信息的獨立芯片內(nèi)部有實時簡單應(yīng)用，根據(jù)實時算法在不同時刻加密出不同結(jié)果。由于帳號是動態(tài)的，即便有人竊取了這一時刻的虛擬帳號，也很難盜取資金。

在軟件方面，三星曾經(jīng)于2013年MWC上推出了KNOX系統(tǒng)，這是一款基于Android平臺的安全解決方案。簡單來說可以把KNOX理解成一個安全容器、在硬盤上隔離出一塊獨立的區(qū)域，使得系統(tǒng)其他程序都不可見更無法訪問。三星智付正好就在這個容器里面。

KNOX系統(tǒng)還可依靠軟硬件可檢測手機是否會被root，如果被root，手機將無法啟動knox，保證內(nèi)部信息的絕對安全。

假設(shè)你的手機不小心遺失了，在別人破解你的指紋或備用密碼之前，你也有充足的時間來用FineMyMobile遠(yuǎn)程清除手機上的內(nèi)容。

三星智付有什么折扣或者優(yōu)惠么？

三星官方表示這個目前還不便透露具體相關(guān)信息，但正式上線后會有很多宣傳活動。

按照以往三星死磕蘋果的經(jīng)歷，為了趕超蘋果，三星在營銷上的支出從未手軟過。不過與支付寶、微信這種大金主相比，三星的優(yōu)惠力度還是要看上市以后的具體規(guī)則了。

最后用一張表格來對比SamsungPay和ApplePay的區(qū)別