分享

[弯曲评论：本文为转载。文章观点不代表弯曲评论的立场］

分享

分享

2009年2月19日，Nature上刊登了一篇关于Google预测flu trends的文章。（Ginsberg J, Mohebbi M H, Patel R S, et al. Detecting influenza epidemics using search engine query data[J]. Nature, 2009, 457(7232): 1012-1014.）准确的说，编辑部在2008年8月14日收到文章，在11月13日确定录用，11月19日首次在网上公开，最终出版是在2009年2月9日。（这解释了为什么文章中的预测时间截至2008年5月中，可参考下图。）

从下图可以看出，在Google这篇论文发表时（之前），Google Flu Trends（GFT）的预测很准。

文献来源：Ginsberg J, Mohebbi M H, Patel R S, et al. Detecting influenza epidemics using search engine query data[J]. Nature, 2009, 457(7232): 1012-1014.

无需多说（或在以后单独撰文细说），关于大数据或其他类型铺天盖地的UGC（User-generated content）的研究在学术界风生水起，相关研究人员前赴后继（不知道有没有先后死在沙滩上[捂嘴笑]）。大数据过分热门，其中自然不乏反思（调侃）的声音，比如以下：

Big Data is like teenage sex. Everyone talks about it, nobody really knows how to do it, everyone thinks everyone else is doing it, so everyone else claims they are doing it too.

（来源于网络，此仅为其中一个版本，其出现时间笔者最早可追溯到2013年1月23日。）

也许就这样，GFT和CDC在一起幸福的生活着。直到2013年2月，Nature上出现文章，表示GFT预测的全国范围的流感样疾病（占全国人口的比例）近乎是实际值的2倍，如下图。（原文：Its estimate for the Christmas national peak of flu is almost double the CDC’s.）

文献来源：Butler D. When Google got flu wrong[J]. Nature, 2013, 494(7436): 155.

注：图中出现的Flu Near You是一个号召注册用户上传自己及家里人的流感样疾病情况的组织，他们根据这样得到数据来预测Flu Trends。创建于2012年初，所以只有2012年以后有数据。

从图上看，GFT真的错得有点离谱（有木有同学留意到即便是其他非大数据方法的预测结果也没有准确的反映出当时的实际情况）。GFT现在怎么样了呢？请看下图：

数据来源：Google 流感趋势 (http://www.google.org/flutrends)

从图上可以看出，历史上的那段时间确实是不准的（还是全无古人后无来者的不准呢），但此后又恢复到可以接受的水平。（笔者需坦白：导致上图结果的原因还未探究，比如，Google是否修改了算法，若没有，当时的数据特殊在哪里，导致模型的输出有这么大的误差？）

2014年3月14日公开发行的Science上，有文章提出了2个导致GFT困境的原因，并（通过实证研究的辅助）给出如何继续推进大数据研究的建议。（Lazer D, Kennedy R, King G, et al. The Parable of Google Flu: Traps in Big Data Analysis[J]. Science, 2014, 343(6176): 1203-1205.）

那么，关于这个任何人都可以并且（赶时髦地愿意）挂在嘴边的“Teenage Sex”，这群牛逼的作者们究竟说了哪些（值得发表在Science上）？

1. 傲娇的大数据（Big Data Hubris）

意思是说，大家都把大数据作为传统数据收集和分析的“终结者”，而非锦上添花的角色。（原文：Big data are a substitute for, rather than a supplement to, traditional data collection and analysis.）

2. “唯一不变的就是不停在变的”算法（Algorithm Dynamics）

这种变化包括两个方面：Google工程师的优化，用户使用习惯的进化。（原文：Algorithm dynamics are the changes make by engineers to improve the commercial service and by consumers in using that service.）

（进一步粗略了解以上两点可参考果壳网报道http://www.guokr.com/article/438117/，笔者将在近日结合论文原文附带的补充资料作详细阐述。）

这篇叼炸天的文章共3页，陈述和论证前面2个观点分别用去一页。剩下的一页是作者们的吐槽专版，作者们亲切的称它（们）为critical lessons。原谅笔者实在是不知道如何在众多critical的中文义项中挑出一个来准确表达论文作者们复杂的感情。

1. 【特别地献给Google】关于数据公开的事儿事儿（Transparency and Replicability）

经过（靠谱）科研训练（实在是不敢恭维一些科研单位的教学质量）的同学都应该有印象，科学研究的特点之一是可复制，也就是原文的Replicability。

首先，作者们知道Google不可能完全将数据攻来，伦理上也不能被接受（隐私问题）。这件事的亮点在于，即便是有人能够接触到Google的数据，想要重复做一遍Google原来那篇论文的研究也不可能。（原文：Even if one had access to all of Google’s data, it would be impossible to replicate the analyses of the original paper from the information provided regarding the analysis.）

有个东西叫Google Correlate，表面上看（原文：ostensibly，请体会作者们写作时的心情）能够模拟GFT，而实际上是不能的[捂嘴笑]。作者们悻悻地猜测，Google的人大概没觉得有必要遮掩。原文：Clicking the link titled “match the pattern of actual flu activity (this is how we built Google Flu Trends!)” will not, ironically, produce a replication of the GFT search terms. Oddly, the few search terms offered in the papers do not seem to be strongly related with either GFT or the CDC data – we surmise that the authors felt an unarticulated need to cloak the actual search terms identified.

（涉及到另一篇文章：Cook S, Conrad C, Fowlkes A L, et al. Assessing Google flu trends performance in the United States during the 2009 influenza virus A (H1N1) pandemic[J]. PloS one, 2011, 6(8): e23610.）

2. 大数据有继续揭露未知的潜力（Use Big Data to Understand the Unknown）

3. 科研人员要关注生产大数据的算法（及变化）（Study the Algorithms）

4. 不全是“大小”的事儿（It’s Not Just About Size … of the Data.）

分享

分享

Prong

 www.goprong.com 

该公司2011年成立，专注于设计和制造原创性的电子产品配件。总部位于佛罗里达州迈阿密市，并在加州和中国拥有分部，Prong是一个对设计充满激情的团队。PocketPlug是该公司设计的世界上第一款集成了充电器的移动手机保护壳，如iPhone 4，iPhone 5和Galaxy S III。

该公司于2014年3月获得147万美元的第一轮风险投资。

Amplifinity

www.amplifinity.com

该公司2007年成立，是众多社会营销平台的开拓者之一。该公司的Advocacy Management Platform (AMP) 平台被主流的公司用来促使客户、员工和合作者进行社交来推荐新兴的前景机会、宣传产品以及放大市场信息从而产生社会行为。基于AMP系统，新的品牌能够以远小于传统渠道成本获得更多的顾客，从而增加营收、保持能力和利润率。

Richard Beedon同时兼任该公司的CEO和创始人。

该公司于2011年12月获得250万美元的首轮投资。

接着于2014年3月获得266万美元Partial Close投资。

Verdasys

www.verdasys.com

该公司成立于2003年，为终端设备提供先进的数据保护解决方案。这是唯一一家针对内部和外部安全威胁为企业提供预防数据损失和保护公司敏感数据的厂商。Verdasys通过确保敏感数据不从任何存在风险终端上泄漏保护着世界上安全要求最严格的组织的敏感数据。Digital Guardian产品是唯一一款能够在公司商业中检测和终止内部和外部攻击威胁的单一平台解决方案。

Kenneth Levine任该公司的CEO和创始人。

该公司历次融资和筹资的情况如下：

2004年9月获得720万美元的第二轮投资。

2005年6月获得2090万美元第三轮投资。

2011年4月筹集2500万美元资本。

2011年4月获得2890万美元创业融资。

2012年7月获得7.5万美元资助资金。

2014年3月获得1200万美元创业融资。

分享

分享

编者注： 腾讯核心创始人、CTO张志东的退休告别信，以及马化腾的回信。此文为转载文章，BTW。

分享

分享

系统架构是一个工程和研究相结合的领域，既注重实践又依赖理论指导，入门容易但精通很难，有时候还要讲点悟性，很具有“伪科学”的特征。要在此领域进阶，除了要不断设计并搭建实际系统，也要注意方法论和设计理念的学习和提炼。

经常有同学询问如何学习，特贴一篇学习材料，供大家参考。09年时写的，在系统领域浩如烟海的文献中提取了一些我认为值得研究和学习的项目，没包括近几年出现的一些工作，也不够全面。不过，其实也足够了，看paper是一个从少到多再到少的过程。对问题本质、背景和发展历史有大致了解，再辅以hands-on的实践（长期的真正的实践），足以摸到本领域的门径。

此文在网上转载不少，但多数没有说明出处。今天在这里重发，也顺便向315致敬。

—

对于工程师来说，到一定阶段后往往会遇到成长瓶颈。要突破此瓶颈，需要在所属技术领域更深入学习，了解本领域的问题本质、方法论与设计理念、发展历史等。以下提供一些架构相关领域的学习材料，附上简单点评，供有兴趣的工程师参考。希望大家能通过对这些领域的了解和学习，掌握更多system design principles，在自己的工作中得心应手，步入自由王国。

1. Operating Systems

Mach [Intro: http://www-2.cs.cmu.edu/afs/cs/project/mach/public/www/mach.html,Paper: http://www-2.cs.cmu.edu/afs/cs/project/mach/public/www/doc/publications.html]

传统的kernel实现中，对中断的响应是在一个“大函数”里实现的。称为大函数的原因是从中断的入口到出口都是同一个控制流，当有中断重入发生的时候，实现逻辑将变得非常复杂。大多数的OS，如UNIX，都采用这种monolithic kernel architecture。

1985年开始的Mach项目，提出了一种全新的microkernel结构，使得由于70年代UNIX的发展到了极致而觉得后续无枝可依的学术界顿时找到了兴奋点，也开始了沸沸扬扬的monokernel与microkernel的争论。

插播一个花絮：Mach的主导者Richard Rashid，彼时是CMU的教授，受BillGates之托去游说JimGray加盟MS。结果把自己也被绕了进来，组建了Microsoft Research。他到中国来做过几次21Century Computing的keynotes。

Exokernel [Intro:http://pdos.csail.mit.edu/exo/，Paper:http://pdos.csail.mit.edu/PDOS-papers.html#Exokernels]

虽然microkernel的结构很好，但实际中并没有广泛应用，因为performance太差，而且大家逐渐发现OS的问题并不在于实现的复杂性，而更多在于如何提高application使用资源的灵活性。这也就是在kernel extension（例如loadable module in Linux）出现后，有关OS kernel architecture的争论就慢慢淡出人们视线的原因。

Exokernel正是在这样的背景中出现的，它并不提供传统OS的abstraction（process,virtual memory等），而是专注于资源隔离与复用（resource isolation and multiplexing），由MIT提出。在exokernel之上，提供了一套库，著名的libOS，用于实现各种OS的interface。这样的结构为application提供了最大的灵活度，使不同的application可以或专注于调度公平性或响应实时性，或专注于提高资源使用效率以优化性能。以今天的眼光来看，exokernel更像是一个virtual machine monitor。

Singularity [Intro:http://research.microsoft.com/os/Singularity/,Paper: http://www.
research.microsoft.com/os/singularity/publications/HotOS2005_BroadNewResearch.pdf]

Singularity出现在virus，spyware取之不尽、杀之不绝的21世纪初期，由Microsoft Research提出。学术界和工业界都在讨论如何提供一个trust-worthy computing环境，如何使计算机系统更具有manage-ability。Singularity认为要解决这些问题，底层系统必须提供hardisolation，而以前人们都依赖的硬件virtual memory机制并无法提供高灵活性和良好性能。在.Net和Java等runtime出现之后，一个软件级的解决方案成为可能。

Singularity在microkernel的基础上，通过.Net构建了一套type-safed assembly作为ABI，同时规定了数据交换的message passing机制，从根本上防止了修改隔离数据的可能。再加上对application的安全性检查，从而提供一个可控、可管理的操作系统。由于.NetCLR的持续优化以及硬件的发展，加了这些检查后的Singularity在性能上的损失相对于它提供的这些良好特性，仍是可以接受的。

这种设计目前还处于实验室阶段，是否能最终胜出，还需要有当年UNIX的机遇。

2. Virtual Machines

VMWare ["MemoryResource Management in VMware ESX Server"，OSDI’02,Best paper award]

耳熟能详的vmware，无需多说。

XEN [“Xen and the Art of Virtualization”, OSDI’04]

性能极好的VMM，来自Cambridge。

Denali [“Scaleand Performance in the Denali Isolation Kernel”, OSDI’02, UW]

为internetservices而设计的application level virtual machine，在普通机器上可运行数千个VMs。其VMM基于isolation kernel，提供隔离，但并不要求资源分配绝对公平，以此减少性能消耗。

Entropia [“The Entropia VirtualMachine for Desktop Grids”, VEE’05]

要统一利用公司内桌面机器资源来进行计算，需要对计算任务进行良好的包装，以保证不影响机器正常使用并与用户数据隔离。Entropia就提供了这样的一个计算环境，基于windows实现了一个application level virtual machine。其基本做法就是对计算任务所调用的syscall进行重定向以保证隔离。类似的工作还有FVM：“AFeather-weight Virtual Machine for Windows Applications”。

3. Design Revisited

“Are Virtual Machine Monitors Microkernels Done Right?”，HotOS’05

这个题目乍听起来，十分费解，其意思是VMMs其实就是Microkernel的正确实现方法。里面详细讨论了VMM和Microkernel，是了解这两个概念的极好参考。

“Thirty Years Is Long Enough: Getting Beyond C”, HotOS’05

C可能是这个世界上最成功的编程语言，但其缺点也十分明显。比如不支持thread，在今天高度并行的硬件结构中显得有点力不从心，而这方面则是functional programming language的长处，如何结合二者的优点，是一个很promising的领域。

4. Programming Model

“Why Threads Are a Bad Idea”

单使用thread结构的server是很难真正做到高性能的，原因在于内存使用、切换开销、同步开销和保证锁正确性带来的编程复杂度等。

“SEDA: An Architecture for Well-Conditioned, Scalable Internet Services”，OSDI’01

Thread不好，但event也没法解决所有问题，于是我们寻找一个结合的方法。SEDA将应用拆分为多个stage，不同stage通过queue相连接，同一个stage内可以启动多个thread来执行queue中的event，并且可通过反馈来自动调整thread数量。

Software Transactional Memory

如果内存可以提供transaction语义，那么我们面对的世界将完全两样，language, compiler, OS, runtime都将发生根本变化。虽然intel现在正在做hardware transactional memory，但估计可预见的将来不会商用，所以人们转而寻求软件解决方案。可想而知，这个方案无法base在native assembly上，目前有C#,haskell等语言的实现版本。资料比较多，参见Wikipedia。

5. Distributed Algorithms

Logical clock, [“Time,clocks, and the ordering of events in a distributed system”, Leslie Lamport, 1978]

这是一篇关于Logic clock, time stamp, distributed synchronization的经典paper。

Byzantine [“The ByzantineGenerals Problem”, Leslie Lamport, 1982]

分布式系统中的错误各种各样，有出错就能停机的，有出错了拖后腿的，更严重的是出错了会做出恶意行为的。最后的这种malicious behavior，就好像出征将军的叛变，将会对系统造成严重影响。对于这类问题，Lamport提出了Byzantine failure model，对于一个由3f+1个replica组成的statemachine，只要叛变的replica数量小于等于f，整个state machine还能正常工作。

Paxos [“The part-time parliament”, Leslie Lamport, 1998]

如何在一个异步的分布式环境中达成consensus，这是分布式算法研究的最根本问题。Paxos是这类算法的顶峰。不过这篇paper太难了，据说全世界就3.5人能看懂，所以Lamport后来又写了一篇普及版paper：“Paxos Made Simple” ，不过还是很难懂。另外，也可参看Butler Lampson写的“The ABCD’s of Paxos”（PODC’01），其中关于replicated state machine的描述会严重启发你对并行世界本质的认识，图灵奖的实力可不是盖的。

这上面反复出现了一个名字：Leslie Lamport，他在distributed computing这个领域挖坑不辍，终成一代宗师。关于他，也有几则轶事。记得以前他在MSR的主页是这么写的，“当我在研究logicalclock的时候，BillGates还穿着开裆裤(in diaper)…”（大意如此，原文现在找不到了）。另外，他在写paper的时候，很喜欢把其他牛人的名字变换一下编排进去。这可能也是他还没拿到图灵奖的原因。

关于Lamport的其他成就，还可以参见这篇向他60岁生日献礼的paper：“Lamport on mutual exclusion: 27 years of planting seeds”, PODC’01。

6. Overlay Networking, and P2P DHT

RON [“Resilient Overlay Networks”, SOSP’01]

RON描述了如何在应用层搭建一个overlay，以提供秒级广域网网络层故障恢复速度，而现有的通过路由协议来恢复通信的时间至少在几十分钟。这种快速恢复特性和灵活性使得overlay networking现在被广泛应用。

Application Level Multicast

“End System Multicast”, SigMetrics’00

“Scalable Application Layer Multicast”, SigComm’02

关于ALM的paper很多，基本上都是描述如何搭建一个mesh network用以鲁棒的传输控制信息，另外再搭建一个multicast tree用以高效传输数据，然后再根据多媒体数据的特点做一些layered delivery。前几年出现的coolstream, pplive等系统都是这类系统的商业化产品。

P2P

P2P的出现改变了网络。按照各种P2P网络的结构，可以分为三种。

1.    Napster式，集中式目录服务，数据传输Peer to peer。

2.    Gnutella式，通过在邻居间gossip来查询，也被称为unstructured P2P。

3.    DHT，与unstructured P2P不同的是，DHT进行的查询有保证，如果数据存在，可在一定的hop数内返回。这个hop数通常为logN，N为系统节点数。

典型的DHT有CAN, Chord,Pastry, Tapestry等四种。这些研究主要在算法层面，系统方面的工作主要是在其上建立广域网存储系统。还有一些人在机制层面进行研究，例如如何激励用户共享、防止作弊等。

7. Distributed Systems

GFS/MapReduce/BigTable/Chubby/Sawzall

Google的系列paper，大家比较熟悉，不再多说。在此可查。

Storage

Distributed storage system的paper太多了。下面列出几篇最相关的。

“Chain Replication for Supporting High Throughput and Availability”, OSDI’04。

“Dynamo: Amazon’s Highly Available Key-value Store”，SOSP’07。

“BitVault: a Highly Reliable Distributed Data Retention Platform”, SIGOPS OSR’07。

“PacificA: Replication inLog-Based Distributed Storage Systems”, MSR-TR。

Distributed Simulation

“Simulating Large-Scale P2P Systems with the WiDS Toolkit”, MASCOTS’05。Distributed simulation有意思的地方是simulated protocol是distributed的，而这个simulation engine本身也是distributed的。Logical和physical的time和event交杂在系统中，需要仔细处理。

8. Controversial Computing Models

现在的软件系统已经复杂到了人已经无法掌握的程度，很多系统在发布时都仍然带着许多确定性(deterministic)或非确定性(non-deterministic)的bugs，只能不断的patch。既然作为人类，不够精细的特性决定了我们无法把系统的bug fix干净，我们只能从其他角度入手研究一种让系统在这令人沮丧的环境中仍能工作的方法。这就像一个分布式系统，故障无法避免，我们选择让系统作为整体来提供高可靠性。

以下3个便是典型代表。基本上，主要研究内容都集中于1) 如何正确保存状态；2)如何捕捉错误并恢复状态；3)在进行单元级恢复时，如何做到不影响整体。

Recovery Oriented Computing

Failure oblivious computing, OSDI’04

Treating Bugs as Allergies, SOSP’05

9. Debugging

系统很复杂，人类无法从逻辑上直接分析，只能通过data mining的方法在宏观上进行观察。

Black box debugging[“Performance debugging for distributed systems of black boxes”, SOSP’03]

对大型系统的performance debugging非常困难，因为里面的问题很多都是非确定性的，而且无法重现。只能通过对log的挖掘，找出配对的调用/消息以定位问题。

CP-miner [“A Tool for Finding Copy-paste and Related Bugs in Operating System Code”, OSDI’04]

很多人在重用代码的时候，都使用copy-paste。但有时候简单的CP会带来严重的问题，例如局部变量的重名等。CP-miner通过分析代码，建立语法树结构，然后mine出这类错误。

分享

分享

真正的难点在于，转向NFV过程中的平台迁移，如果采用IT的方式搭建电信网络，势必要涉及从专有平台迁移到通用平台的问题。

 （此文原载与《next新运营》2013年第二期）

通信业创新求变的脚步从未停止，NFV的出现为传统的电信网络打开了另外一扇大门。现在，国内外的运营商们开始思考，如何将通过引入IT增加电信网络的开放性和通用性，从而更好地应对不断升级的业务竞争？

一直以来，电信网络采用的都是专有私用的网元设备，虽然确保了网络的高效稳定，但同时也存在着系统封闭、灵活性差等问题。相比于IT领域的开放与通用，电信网络俨然还是“封闭的花园”，NFV为电信网络融入IT基因提供了可能。目前，来自全球范围内的众多运营商都在积极探索NFV的适用场景和业务需求，而一些NFV案例也在悄然落地。

NFV意在打破电信设备“黑盒子”模式

Q：目前在业界，NFV与SDN都被看作是下一代电信网络的发展趋势，那么这两者之间本质上有何不同？

A：NFV与SDN虽然都聚焦于网络层，但两者无论从出发点还是实现方式，都存在很大的差异。

SDN即软件定义网络，重在实现了控制与转发的分离。在过去，网络流表都是通过路由学习等方式相互转发，缺乏统一策略，而SDN通过中心控制器（Control）将流表统一下发给各设备，各设备再根据其制定的规则来执行，由此带来了集中配比更灵活，接口开放可编程，以及更适应业务的灵活迁移等多种优势。

NFV即网络功能虚拟化，它并非如SDN这样的技术，而是由运营商根据自身实际需求提出的一种全新的网络搭建方式。以前，电信设备都是垂直一体化，软硬件产品都来自同一家厂商，且不同厂商间的设备无法实现互通，都是一个个的“黑盒子”。NFV将原本封闭设备中的网络功能释放出来，并通过搭建开放的网络平台统一承载。在实践的过程中，NFV不仅会涉及网络层的SDN技术，同时也会应用如定制服务器、一体机等相关技术。

如此看来，SDN重在解决网络技术问题，主要应对网络在云计算、虚拟化中的一系列技术问题，以及网络如何保障并跟随业务的灵活迁移；而NFV是电信网络构建思路的转变，旨在以IT的视角重新审视电信网络，采用“通用换私有”的方法，打破过去封闭私有的电信“黑盒子”，以x86通用平台实现更低廉的设备成本和更灵活的网络能力。

当然，运营商的电信网络转向NFV是一个逐渐的，循序渐进的过程，目前在全球范围内已经成立了NFV标准工作组，其负责提出适合NFV的网络场景和实现需求，国内三家运营商也均有所涉猎，而中国电信对于NFV的进展正处在前期的预研阶段。

低成本和灵活性是运营商的核心诉求

Q：NFV为何如此为运营商看重，其中蕴含着哪些内在驱动力？能否归纳下适宜NFV的电信网络具备哪些特点，目前哪些场景已成为全球运营商公认的适宜场景？

A：虽然业界提出了NFV架构的诸多优势，但归结起来，低成本和灵活性是NFV的两大核心优势，也是运营商最根本的诉求点。

首先低成本，由于采用x86架构的开放平台，NFV摒弃了传统网元设备中专有芯片、专有板卡，以及专用机柜的设计思路，硬件资源得以复用，并通过服务器的数量堆叠和提高密度实现扩容，其性价比远远高于那些专有私有的电信“黑盒子”。

其次是灵活性，NFV将网络功能虚拟化，使得网络新业务的开发、调试和上线都更加灵活和快速，由此更好地支撑和满足上层应用，NFV所带来的网络功能的多样性和灵活性正是目前处在转型中的运营商所亟需的能力。

目前，国外一些运营商已经针对NFV提出了适宜的应用场景，比如城域接入网中的BRASE、DPI，核心网中的PDSN以及无线网络侧的基站虚拟化等等。个人认为，电信网络中只涉及连接和传输的网络场景，无需采用NFV；如果网络中涉及灵活调配、数据交换或是承载业务的环节，才是适宜NFV应用的场景。

电信设备商在NFV中依然存在优势

Q：业界将NFV看作是下一代电信网络的重要趋势，我们应该如何看待NFV在电信网络中的定位？有观点认为NFV是“设备商的冬天，IT厂商的春天”，您对此如何看待？

A：将NFV作为电信网络的下一代趋势无可厚非。而论及NFV在电信网络中的定位，可以拿云计算在IT架构中作类比——云计算并非具体技术，也不是某个演进方向，而是IT构建方式的一种改变和革新，NFV的作用也是如此。

事实上，NFV反应的是对传统电信网络搭建方式的一种改变，运营商开始以IT的视角，重新审视电信网络，希望逐渐以IT设备来取代通信设备，进而实现开放和灵活的目标。

NFV是运营商最终的实现目标，从结果上看虽然是IT设备取代了传统的电信设备，但这并不代表“电信设备商进入了冬天”，毕竟电信网络转向NFV无法一蹴而就，NFV在现阶段更多的还是对现有设备的改造和替换，这方面运营商仍然需要长期合作的电信设备商们的支持和协作。而在这方面，IT厂商并不具备明显优势，毕竟他们对于电信架构和在网设备不够了解。

况且，NFV并非电信运营商的专利，设备商近几年对于产品线的优化和调整，也体现了NFV的一些思路，比如设备商已经逐渐将过去种类繁多的网元设备，归纳为几款主流的硬件平台，运营商需要什么样的网元设备，设备商只需要在相应的硬件平台上运行相应的软件即可实现交付。

NFV推广关键在于找到新的应用场景

Q：您认为，运营商转向NFV是否存在一些难点或者障碍，推动电信网络转向NFV的关键因素有哪些？

A：个人认为，目前NFV在性能和功耗方面已经不存在技术障碍，x86系统的性能近年来不断翻番，处理能力通过集群方式也可满足，这一点，谷歌的数据中心集群系统就是很好的范例。

真正的难点在于，转向NFV过程中的平台迁移，如果采用IT的方式搭建，势必要涉及从专有平台迁移到通用平台的问题。那么，如何平滑过渡、原有软件是否需要重构、操作系统能否适配等都是运营商、平台厂商以及IT厂商需要考虑和权衡的重要问题。

对于NFV规模推广的关键点，找到适合的场景是运营商当下的重要工作。个人认为，对于电信网络中比较成熟、运行良好的网络架构采用NFV的意义并不大，比如核心路由层。运营商需要为NFV找到新的应用场景，以更经济的搭建方式改变传统模式，由此带来新的业务增量。另外，明确了场景也就明确了需求，如此运营商才能联合厂商共同推动和研发创新。

开放网络能力对电信业务创新意义重大

Q：NFV将网络功能虚拟化并运行在通用的平台上，是否意味着网络应用软件的开发和编程能力也被开放出来，如此一来，运营商不仅可以自行开发，也可以招揽更多的第三方开发商？这种变化对运营商有何益处？

A：随着NFV逐渐在电信运营商的网络中推广采用，基于通用平台上的软件开发和编程接口将会被开放出来，这将吸引越来越多的开发者加入到网络功能开发的行列中来。

个人认为，运营商在未来的重点应该是平台运营而不是长尾业务的开发。运营商的作用在于搭建系统并维护平台的正常运行，建立成熟的开发流程和分成模式，以此吸引越来越多的第三方软件商加入其中。

对于运营商而言，NFV所能够带来的通用、开放的平台环境对于运营商的业务创新意义重大。随着移动互联网应用、OTT业务的不断发展和成长，运营商在业务创新能力和开发速度上已经感受到了明显的压力。在过去，运营商的网络追求的是稳定性，而现在网络功能的多样性和灵活性是首要目标。运营商一方面需要不断降低投入成本、提高网络资源利用率，另一方面也在寻求加速业务开发、调试和最终上线运行的提速办法，而NFV也正是在这样的需求下孕育而生的。

分享

分享

［编者注： 原文来源于新浪微博http://www.weibo.com/u/1401461852  作者微博地址@皮克斯007。文中观点不代表弯曲评论观点］

今年的RSA2014终于落下了帷幕，又见到了很多老朋友，认识很多新朋友，幸甚至哉。

各大安全公司一如既往的挥金如土，占据最好的展台，聘请最漂亮的mm吸引眼球。大公司的展台策略都是大而全，网络到终端，盒子到云端，俺们啥都有。OneStopShop是也。 新技术方面，很多大公司们基本上都是在跟进PANW和FEYE的技术，争先恐后的表达着我们没有停滞不前，什么流行我们也都玩什么的思路，Fortinet，Intel Security，Trend等等都出了基于虚拟技术的安全方案，虽然技术上是初代产品，但也给了自己的客户一个定心丸。

今年可能是巧合，PANW和FEEYE的展台和演讲不约而同的都没有提任何评测的东西，基本上都当评测机构不存在。PANW和FEYE都是出了名的把用户体验放在第一位的企业安全厂商，也许这也多少说明了他们对评测的看法。

其实评测这种东西对于小公司的市场宣传是很有意义的。但是现如今评测陷入了一个怪圈。很多大公司都在专门为了评测做优化，设立了专门的团队， 甚至用评测来指导产品开发的方向，这个就变成了舍本逐末，把整个研发的团队都投入到评测这种假的不能再假的东西上面换取一张废纸文凭，实在是令人扼腕叹息。

评测机构也要反省自己。当现在0day泛滥，攻击猖獗，木马挂马满天飞，人人都觉得现在的企业安全技术已经无法适应新型攻击的时候，你出来说厂商的IPS检测率是99.6%，你是当用户是白痴还是厂商是白痴。测试的最大问题是都是replay，没有什么人用真正的攻击做测试，说到底还是测试厂商的技术功底不够。自己的声誉被糟蹋的差不多的时候，也就是整个评测产业凤凰涅磐的时候了。

今年令人眼睛一亮的东西，还是在小公司扎堆的南区。

开会前我就说过大家要关注小公司。安全业主要的创新都是来自小公司。这要归功于硅谷的创业文化，而且另外一方面也是大公司的大企业病导致了他们做大做强之后就变得步履蹒跚。

第一要讲的就是Shape Security.

这家公司有着一个一流创业公司的几大要素。 第一，他的创业团队很好很强大。CEO是安全界的牛人Derek Smith。此公有强大的政府安全背景，早年曾经创立了Oakley Systems，专做政府生意，于2007年卖给了Ratheon，这个20B年销售额的巨无霸。Derek之后做投资人，投资了几个不错的小公司。创始人好多都是NSA的人。其中他投资的Morta Networks被安全界的高大上PANW看中于2013年年底收购。Derek带着自己的老部下创立了Shape Security，里面包括了几个响当当的牛人。随便说几个：前ZScaler的VP Engineering，前PANW里面虚拟安全的技术和市场的负责人，google的大牛等等。

第二，他们的技术独一无二，非常新颖。他们解决的问题是针对网站的自动化的攻击。主要的思路是对网页内容的随机化。具体技术细节他们已经放在他们的网站上。他们承认他们不能解决所有的攻击问题，但是他们的技术可以极大的增加敌人攻击的难度。而且他们的技术不需要做检测，就是那种一招鲜，吃遍天的全自动防御。

第三，他们的VC很不错。这个不需要多说，看看他们两年拿了三次钱，6千6百万美金就知道那帮子土财主不差钱呀不差钱。。。

明星的创业团队，独特的技术和极强的专利壁垒，强大的VC，都让人无法忽视这个公司。

接下来的挑战很明显，就是，呃，做出产品来。。。是的，你没有听错，他们的最终产品还没有出来呢。目前铺天盖地的只不过是他们的市场宣传。他们的Marketing团队是当年的PANW的老班底。顺便说一下，当年PANW在Fortinet和其他防火墙厂商的层层绞杀下，定义出了整个一个NGFW市场并且杀出一个50亿美金的巨无霸出来，当年的marketing 团队绝对是功不可没，希望这个团队可以在Shape再创辉煌。

我个人认为他们的技术很有新意，但是产品需要把性能做好需要一个真正懂企业级高性能网络设备的牛人。最近他们刚刚重金请到了一个Aruba的研发总监加盟。此人乃当年Netscreen创业团队里面的清华牛人，当年PANW捧着金闪闪的Offer都挖不动， 一路辅佐Aruba上市并且一手开创了Aruba中国公司。这个人的到来相信Shape的老总们做梦都要笑醒，希望他丰富的经验可以帮助他们解决这个短板。

另一家Derek投资的小公司是SynAck。估计明年就可以在RSA看到他们了。

前文讲了Shape以及Derek系的几个创业公司。其实硅谷里面安全圈子说大不大，说小不小。既然开始讲系列了，我们就索性说个痛快。

今天谈谈Fengmin系。如果说Derek是政府圈里的高大上（当然不只他一个，其他的日后再说），Fengmin绝对是近几年工业界里面最德高望重的技术领袖之一。Fengmin不仅自己成功，而且为安全界培养了无数的人才，下面我们来细数Fengmin系的创业公司。

Fengmin最早的成功始于Intruvert。这家公司创造了安全界多项纪录。他于2000年初创，是业界第一个基于协议解析技术的硬件IPS，而且是第一个千兆的IPS。整个创业团队，就只有Fengmin是真真正正的安全专家，其他人都是做系统和做应用软件的。Fengmin抛弃了美国东部的汽车洋房和高薪教职，不远万里来到硅谷这个什么都贵的离谱的地方来作Intruvert的首席科学家，这是什么精神？（旁白:显然是做死的精神啊。）那时候正是。com泡沫，硅谷一片哀鸿遍野，要是为了钱谁也不会来这种地方啊。

话说回来了，当时正是ISS和Snort这两个 IDS 红火的时候。ISS是软件协议解析，而Snort是简单的模式匹配。Fengmin坚信IPS一定会替代IDS这种陈旧迂腐的旧概念，大旗一招立志挑战所有权威。Intruvert是业界第一个硬件协议解析的千兆IPS，2002年成功做出产品，2003年就被NetworkAssociate相中收入旗下。2004年DCERPC下的漏洞大爆发，硬件协议解析下的IPS技术立刻体现出绝佳的优势，可以不用任何新规则，成功阻断所有利用同一漏洞的变种蠕虫。从而一举成为入侵防御的标准技术。美国著名分析商Gartner甚至说出IDS已死，有事烧纸的话来，实际上宣判了IDS技术的死刑。

Intruvert产品的体系结构和实现也极为优异。一方面有Fengmin这个总架构师，另外当时有几个技术牛人（后来这几人都在硅谷最火的创业公司里面担任核心位置，当时这些人能聚在一起也真是机缘巧合）把握细节，整套体系结构基本上工作了10年没有大的变化而且稳坐业界IPS第一的宝座，在硅谷这种竞争环境下也真是难得。

阅读全文»

分享