360最近两年来一直在耕耘,因为我觉得我们做得还不够好。虽然我们通过免费杀流氓软件、免费给用户查漏洞打补丁,赢得了国内70%的用户,但是我们没有成功的感觉。
现在流氓软件是被遏制了,整个互联网的安全形势实际上却越来越严峻,我在这儿不多讲,大家从电视、报纸、广播上都可以看到木马越来越肆虐,上网没有保护就像裸奔一样。在网上有各种对电脑系统的威胁、偷个人隐私的威胁,虚拟资产可能会失窃,木马、肉鸡被用来做各种坏事。能不能真正解决用户上网的安全问题,这才是对360真正的挑战,也是我们现在做“云查杀引擎”的原因。
一、杀软的“榔头”敲不动木马的“钉子”
在分享“云查杀引擎”的理念和实现方式之前,首先谈一下我自己用杀毒软件的一些感觉。
1、杀毒软件杀不了新木马、快木马
杀毒软件,一个已经做20年的行业,它的核心技术一直是基于采集病毒样本、分析病毒特征、组成病毒库,然后在每个用户的机器上按图索骥,像通缉令查坏人一样去查杀病毒。
当你手里有一把榔头的时候,看所有的东西都是钉子。现在木马起来了,网上到处是木马的制作教程、免杀教程,一群不懂技术的人培训两天就可以去偷游戏账号、给你疯狂弹广告、弹假的中奖消息,杀毒软件还是把木马当成病毒来对付,老三样亘古不变,这合理么?几乎每个人都用过杀毒软件,如果杀毒软件真能解决问题,今天木马不应该这么猖狂。
我们也看过很多评测,一个非常有意思的现象:评测方找一些死木马、死样本,来测杀毒软件的查杀率,因为安全厂商已经拿到过这些木马和病毒,所以他们做到了查杀率99%。
但实际上怎么样呢?如果你是一个做木马的小弟,花点钱买个木马的内核,在网上再找些免费的免杀工具,你会放出去一个谁都能杀的木马吗?我也在网上和一些做木马的人“微服私访”去聊过,他一定会拿杀毒软件试一下,如果纷纷报警,再傻也不会放出去。大家可以在搜索引擎里面输一个词“免杀”,看看有多少结果。
所以就形成了这样的悖论,一方面说话的杀毒软件都在宣称自己查杀能力高达99%,通过无数国际评测标准,另一方面在真实的用户环境里面,新木马层出不穷,比较快的几个小时就一次变形。等杀毒软件得到样本能够杀了,木马该偷的也已经偷完了,盗来的号都已经销赃了,所以其实杀毒软件很难对付这些新木马、快木马。
2、杀毒软件拖慢了用户电脑,做了病毒都做不到的事
第二个更滑稽的现象,计算机配置越来越高,都是多核的CPU、上G的内存,可是大家没觉得机器快多少,就是因为杀毒软件成功做到了病毒没做到的事,它成功地把CPU耗尽了,成功地把内存耗尽了。很多人不是不想用杀毒软件,实在是用了后慢得受不了。
杀毒软件本来是干保镖的活儿,却生生把计算机的配置降了几级。从前有一些破坏型的病毒能让我们的机器变慢,搞一些花屏的恶作剧,现在没人再做这类病毒,杀毒软件却成功做到了这些事。
大家安装任何一款杀毒软件,会发现它们动辄是50兆起步,甚至有的已经到了100兆。一个软件为什么那么大?就是因为病毒库。做木马的人越多,样本越来越多,大家想象一下,杀毒软件的病毒库会无限膨胀,最后你的硬盘要给它腾出很大的空间来存放病毒库。
再说杀毒引擎的工作原理,它不管扫描还是监控都要把病毒库放在内存里,只要开着,不管有没有木马病毒都先把系统资源占住。最后杀毒软件非常“成功”,成了你机器开销最大、占内存最大、占CPU占用最大的一个软件。
计算机可以不断升级,双核变四核,可以装64位的操作系统,但是木马每天还在不断涌现,谷歌上搜“免杀”就是1120万个网页,所以还要不断升级病毒库,所以叫脉动升级、秒级升级,无论你打游戏、看视频,杀毒软件无时无刻不在向病毒库加新特征。
3、杀毒软件“脉动升级”,其实还是亡羊补牢
上面两个现象很多人都感同身受。打一个比方:世界很危险,你穿上防弹衣、坐上防弹车,时速只有20公里,还不能保证安全,这又何苦呢?现在很多人干脆就上网裸奔,其实不是他们不需要安全,实在是整个杀毒行业都应该变革,有限的改良是没意义的。
我给大家做一个解释,在过去20年,所有的杀毒软件都是基于病毒库工作的,没病毒库的杀毒软件就像手无寸铁,光一个杀毒引擎起不到什么作用。以前每年撑死有几百种病毒,杀毒公司雇一些技术精英采集分析这些病毒,再把特征码更新到用户的机器里面,这种模式在过去的十几年没问题,但现在木马的制作门槛这么低、木马产业链这么发达,网上每1秒都有新木马出现,老木马换身“马甲”杀毒软件又不认识了,还得再采集再分析,就算真做到脉动升级、秒级升级,其实还是亡羊补牢。
所以很多有杀毒软件的机器上,木马依然横行。这就是我说的杀毒软件杀不了木马的问题。
二、为什么要用“云查杀引擎”解决木马问题
杀毒公司都在说木马也是病毒,没有正视网络环境的变化。对于木马,“杀毒引擎+病毒库”难道是唯一的解决之道?我们就在想,网络安全行业需要创新。
对于这样一个20年没什么革命性创新的市场,360首先在商业上进行创新,我们认为安全是互联网的基础服务,按互联网的规律,基础安全服务就应该免费,360永久免费的冲击下,杀毒软件的价格已经从每年300块缩水到了2、30块;今天,我们又从技术上进行创新,推出“云查杀引擎”,打破杀毒软件20年常规,取消本地特征库,实现0升级,速度也提升了10倍,是用完全不同于杀毒软件的思路解决木马泛滥的问题。
1、“云查杀引擎”的第一朵云:5000台服务器构成的数据中心
这一次我们推出的“云查杀引擎”,实际上就是基于云安全、云计算做出来的引擎。用户从直观上看,我们是把所有的病毒库和木马库都放在中央服务器集群上,也就是0升级,不需要你的计算机再下载什么病毒库木马库。
大家知道真正的云计算就是把计算从每个用户的终端电脑上搬到中央服务器,只要在用户的机器上体现结果、成果就好了,所以我们在国内建立了25个数据中心,投入5000台服务器成为云计算的核心。大家知道360技术团队的很多人以前是做搜索引擎的,所以我们今天把做搜索引擎的技术用到了安全领域,实际上是在服务器端做了一个安全引擎,来帮助360的云查杀前端,能够把机器里面的文件状态和信息送到服务端进行及时、迅速的查询。
这样的话,在任何时候你不需要去下载任何的病毒库木马库,只要我们在服务器端发现任何木马病毒,比如哪些新的木马挂到了恶意网页上,客户端就能够监控和查杀到。同时我们把大量的查询、分析工作放在服务器端,使“云查杀引擎”实现了给用户减负的任务。我们内存开销大概是杀毒软件的1/5,我们的扫描速度大概是他们的10倍。在这里我们谈的“零升级、零负担”,才是云安全的标准。
2、“云查杀引擎”的第二朵云:能对付未知木马的2.4亿用户的电脑
仅仅把木马库病毒库放在服务器端还没有真正解决问题,那是用户能看到的改变。那么“云查杀引擎”如何监控和查杀未知木马呢?刚才我指出的杀毒软件的问题是不是360也有呢?360是不是能查杀随时变化的木马呢?
其实“云查杀引擎”构造了两个云,一个云是几千台服务器组成的中央处理集群,可以存储已知木马的木马库,还有很多分析计算;另一个云,是我们拥有的2.4亿用户、他们使用的1.2亿台电脑构成了一个网络,这个网络越强大,就越能帮助我们快速发现新的威胁,在这里举一个例子简单说明一下。
360用户查杀木马,大概只有20%是和中央服务器的木马库进行对比后扫描到的,还有80%是基于对木马本身行为的判断,基于我们对木马通用特征的判断,然后和服务器进行智能的通信和分析。
说得更具体一些,一个新的木马在没被抓到之前,通过一台孤立的机器,无论装的杀毒引擎有多么强大,都无法判断木马是否有威胁;假设是Vista系统的UAC,这个木马一旦运行,UAC会询问用户yes还是no,因为用户的判断能力不同,可能有的用户会选yes,有的用户选了no,这也不是解决之道。
云查杀引擎的做法是,用户的电脑上只要出现一个陌生程序,我们就会关注,会采集它的行为特征,我们不会让用户做判断,因为很多用户是没有判断能力的,除非木马的行为非常拙劣。我相信一些主动防御软件已经实现了类似的功能,但是今天的木马变化越来越多、行为越来越复杂,恶意软件和正常软件也很难区分,所以我们会把刚才采集的信息传到中央服务器集群,如果这个木马不再做任何传播,是一个安安静静的死马,我们认为这个木马没有威胁;但是这个木马一旦传播,又到一个新的机器里面,360用户这朵云的网络马上就会感知到,中央服务器集群会搜集、统计信息的反馈,会智能判断出来这个文件不一般,它在这么短的时间里面能够迅速流行,而且它的流行有很多相似形,“云查杀引擎”就会报警,这个未知的木马会在我们服务器端进入自动化的流程进行分析,然后我们把它加到数据中心的木马库里面,中招的用户也能通过“云查杀引擎”的传感器知道电脑中存在恶意威胁。
3、怎样理解“云查杀引擎”
分别举两个例子。大家都知道反垃圾邮件非常难,通过分析垃圾邮件的正文来判断的话,只要邮件风格一变就分辨不出来了。当年我在雅虎的时候,当时雅虎就用了互联网的思路反垃圾邮件,这个方法跟“云查杀引擎”有异曲同工之妙。
你想象一下,一个垃圾邮件的作者不会只发几封,他肯定会一次发成千上万封,雅虎所有的邮件都存在中央服务器,如果发现同一封邮件被发到了很多邮箱里,根本不用分析这封邮件的内容,就可以判断这是封垃圾邮件。
360的“云查杀引擎”和雅虎反垃圾邮件的思路是相通的,如果类比到杀毒软件上,那么杀毒软件就会分析每一封邮件的内容,去找垃圾邮件可能用到的关键词,而这个邮件换换形式就可能认不出来了。
还有个例子。大家如果有印象,在03年非典刚起来的时候,当时没有一个中央疾病采集和控制机制的时候,比如说非典在各地出现,各地的医院凭着自己的经验去判断,它的特征很不明显,有地方把非典当感冒治、肺炎治,结果就没意识到这是一个流行病毒的威胁。所以到今天甲流肆虐的时候,每个国家都有中央疾病控制中心,及时采集各种样本和病例,哪怕不知道病毒内部的DNA和分子结构,也能有预警和控制。
所以只依靠用户电脑采集上传样本,查杀木马还靠一台电脑独立判断,是假云查杀;同时,只是建立了中央服务器,用中央数据库代替本地特征库也不是真正的云查杀;现在360公布的云查杀引擎的两朵云,才是完整的云查杀体系。现在对于很多的病毒木马,我们甚至不需要了解这个木马的技术,我们甚至不需要分析,只要在一定数量的机器上有过传播,我们的云安全中心就能捕获而且及时清理出去。
三、杀毒软件应付木马都这么难,360要做创新不走老路
对杀毒厂商来说,20年如一日干一件事,他们已经把传统的杀毒软件做得炉火纯青,但就是不愿正视网上每天都有人游戏丢号、机器被劫持,他们把扩充病毒库当作任务,把杀毒当作安全。但我们是在按互联网的方式解决安全问题,无论是云查杀引擎,还是360以前推出的一些功能,都是要保护用户的上网安全。
在360提供查漏洞、打补丁的服务之前,很多人忽视了给自己机器及时修复漏洞。过去大家觉得不方便,也想不起,也不知道为什么要打补丁,杀毒公司也一直没提要给用户打补丁。但是我们换一种思路说“苍蝇不叮无缝的蛋”,因为有漏洞木马才会渗透进来,360第一时间发现漏洞、打上补丁,让你的机器没有缝隙,让木马没有机会渗透进来,你也不需要花很多的精力、金钱去查杀。无论是微软操作系统,还是应用软件,只要发现了漏洞,我们就会第一时间告诉用户,赶快把你的漏洞补上,只要用户OK我们会自动做这个事情。
坦率说这件事没什么技术难度,只是需要投入服务器和带宽,但是非常有效地在中国解决了一定的安全问题,也不是因为我们做得有多好,而是漏洞被补上中招的概率就小90%。漏洞补丁只是我们的一种思考,我们希望跟传统杀毒公司用不一样的思路来解决问题。
我举了一些例子,不知道是不是讲清了“云查杀引擎”。当然知易行难,可能对我们很多同行来说,由于他们做传统的杀毒20年,应该说积累了一些杀毒的技术优势,但是在木马产业规模很大的时候,在互联网对产业带来变革的时候,这反而成了包袱。
我们很幸运,我们是无意中闯到了安全领域,我们是光脚的,不是穿鞋的,没有传统思维的束缚,也没有包袱,同时也迫使我们必须用与众不同的方式去解决安全问题。我相信优秀的杀毒厂商做的事,我们不可能做得更好,但现在杀毒软件应付木马都这么难,我们干吗走这条老路?
所以今天我们推出“云查杀引擎”,我们把互联网和安全技术结合起来。当然有人可以说这是一个革命,可能是一个颠覆。我是做公司越久越不敢说大话,我只能说“是骡子是马,拉出来遛遛”,大家用一下“云查杀引擎”,看看它的效果是不是能够真正做到比杀毒软件更好,是不是比杀毒软件占内存少80%,快10倍,让安全软件在保护电脑安全的同时,把电脑还给用户,这是我们努力的目标。
我一直坚信新发明的抗生素、新药,并不能杀很多的细菌,木马也会躲避云查杀的分析,它们会有新的方法,但是魔高一尺、道高一丈。至于我们为什么像传统公司一样搞一个发布会,其实我想通过发布会向行业发起几个呼吁,我们发现木马产业链的问题比很多人想象的更严重,靠少数的安全公司、少数的精英对抗木马产业链里的上百万的人员,肯定已经是日暮西山了。我把360定位为创新,我们希望把互联网安全技术方向讲出来,希望有更多的安全厂商能够意识到不是360在砸你们的锅,而是互联网在改变这个行业,是互联网在冲击这个技术结构,希望有更多的安全厂商和360一样意识到未来的前景,携手把互联网和安全紧密的结合,我认为只有众多厂商都意识到这个问题,抛弃陈旧的技术体系结构,走到真正的云安全体系来,才可以说遏制木马的威胁。
今天我们也请了很多合作伙伴,我们做了云查杀之后是“瘦客户端”,真正的判断处理逻辑在服务器端。很多做企业内网的厂商,很多做企业级的厂商,他们面临的问题和我们一样,我们可以免费把云查杀引擎的SDK提供给他们,比如像暴风影音、迅雷这些娱乐化的软件,用户在看电影之前就能先查一查是不是安全。包括今天我们请了网易、盛大这些做游戏的公司,用户在玩游戏之前可以用360做一下查杀,用10倍速的速度给用户创造一个安全环境,我们需要更多的厂商合作,而不仅仅是靠360一家之言、一家的能量,这次开会也希望跟媒体的朋友、合作伙伴、公众来分享我们对互联网安全的一个思考。
所以,在未来我相信,360会继续保持创新精神,也就是说我们会不走寻常路,我们希望能够把在互联网这么多年的技术积累、技术创新能够真正用到互联网安全上面;我们也希望未来会继续信守我们的承诺,继续把我们跟安全有关的、每个人都需要用到的基础服务保持永久免费,这不仅是当初我们对公众、对用户的一个承诺,更重要的是我们再次意识到网络安全不是杀毒厂商的事,是每个互联网网民的事。搜索引擎、电子邮件、网络聊天是互联网的基础服务,网络安全现在也成了基础服务,这样一定是免费的,这是360的一个理念,我们希望在免费的理念下面,能够把我们的产品做得比收费的产品更优秀,从而实现我们的一个梦,我们希望互联网无论是在电子商务、网络游戏、社交网站、游戏,我们都在保护中国几亿网民的安全,因为变得安全,从而让中国互联网有更好的发展。 |