齐向东:360的互联网安全技术颠覆之路

  • 来源: 驱动中国 文:itcom   2014-11-04/20:51
  • 11月3日,360在线上举办了首个用户节,以旗下全线产品抽奖放送的方式答谢用户多年来的支持。与此同时,作为360安全的核心产品,360安全卫士的用户数已突破5亿,在PC端的覆盖率超过了93%,其倡导的“免费安全”理念,带动了中国安全软件的普及。

    相关数据显示,中国网民安全软件的普及率从10%提升至95%以上,每年为中国互联网用户节省400亿至800亿元的安全软件开支。来自微软官方博客的安全报告指出,中国电脑的恶意软件感染率全球最低,仅为0.6‰,还不到全球平均线的十分之一,这一切要得益于免费安全带动的安全软件的普及。

    “免费安全”之外,360利用互联网安全技术思维对传统安全技术的颠覆,也奠定了其第一大互联网安全公司之路。在庆祝首个用户节之际,360公司总裁齐向东也专门撰文总结了360的互联网安全技术颠覆之路,文中称,360将互联网技术与安全技术结合,创造了QVM人工智能引擎、世界上最大最全的高纯度白名单库、云查杀引擎、60亿样本构成的全球规模最大的云安全系统等颠覆性技术,颠覆了传统安全的杀毒引擎思维和理念,创造了一条互联网安全的全新的技术之路。以下齐向东文章全文:

    安全的核心就是对抗,就是病毒与反病毒、黑客与反黑客的魔道之争。安全虽然符合魔道之争的螺旋上升式的发展规律,但当安全遇到互联网时,还是发生了裂变,安全也走向了一条技术颠覆与创新之路。

    黑白名单传奇

    安全界最大的创新就是以黑技术为核心思想向以白技术为核心思想的过渡。特征库是典型的黑技术,造就了反病毒20年的技术底蕴,但是白名单的出现则进行了彻底颠覆,360将白名单发展到了极致,成为自己的核心安全技术,而自此之后,所有技术思想开始从判黑转变到了判白,以判白为核心的安全技术成为发展的主流。比如病毒监控被主动防御代替、漏洞扫描被补丁管理代替,入侵检测被准入与行为管理代替、样本分析被大数据分析代替。

    回溯反病毒技术的历史可以发现,黑名单是反病毒产品最核心的技术。通过对样本进行“捕获—分析—升级”的传统三段式处理,产生了病毒样本黑名单;通过对病毒有害代码的分析,产生了启发式查毒黑名单。反病毒企业的任务就是尽可能地收集到更全的病毒样本,产生更全的黑名单。

    然而随着世界的互联网化、病毒自动化和免杀化的发展,导致病毒爆发式的增长,病毒样本则从每年几百万种发展到了今天的每年几亿种,而且随着地下利益链的发展,也使黑样本从早期的炫技变成了今天的利益驱动。在这种情况下,漏掉一个黑样本,就有可能对用户产生极大的威胁。

    这种情形为白名单技术的发展提供了很好的温床,我们只要尽可多地识别正常的样本(白样本),那么剩下的就是可疑的,在关键时刻,采用非白即黑的强白名单技术,则能更好地解决安全问题,也正因为如此,国外BIT9公司才能发展得如此迅速,不是因为他们有什么军方背景,而是这种方式确实能够保证足够的安全。

    虽然判白思想是安全思维里最重要的转换,但是白名单却不是什么高深的技术,它最大的难点在于收集和提纯。据IDC统计,全球大约有4000万的软件开发人员和编程爱好者,这些人员平均每天生成一个程序文件,则每天就有4000万的白文件,再加上一些其它的程序自动机、网站生成等因素,每天产生的白文件数量将是黑文件的100倍,那么要将这些白文件都收集起来以然很难,再对这些文件进行判白,则更是一件难上加难的事情,360依靠自己的样本收集体系和文件研判系统,形成了世界上最大最全的高纯度白名单库。

    黑白名单就象向左走向右走的关系,哪边都会面临着海量的数据收集困境,但是360       QVM的出现,则彻底解决了这一困境。QVM是未知病毒识别领域的又一个突破,它将人工智能技术应用于病毒识别的过程当中,首先通过对病毒样本的分析和分类形成样本向量和向量机,然后建立一个机器学习的决策机模型,利用决策树和向量机,对大量样本进行学习,从而识别恶意程序或非恶意程序。不用分析文件和添加特征,QVM对黑样本的识别率就可以达到95%以上。按理说这是一个非常好的解决方案,但是识别率与误报率天生就是一对孪生兄弟,QVM在带来高识别率的情况下也带来了极高的误报率,在重要的场合,识别出来的样本不敢轻易处理,而白名单则很好地解决了病毒的误报问题,QVM识别出来的黑样本再用白名单过滤一下,如果不存在于白名单之中,则极有可能是真正的病毒,就可以进行相应的处理。

    如果在一些对安全要求较高的场合采用一些非白即黑的强白名单策略,几乎能够带给企业最大的安全。说到几乎,那是因为非黑即白的防护层只在一种情况下失效,那就是漏洞。不管白名单体系有多强,漏洞的存在就象在最坚硬的墙壁上开辟了一扇可以自由来去的隐形门,攻击者能够拿到系统的最高权限,则攻击就可以畅通无阻,任何安全手段都无法洞察。因此漏洞的挖掘能力,则代表了黑白名单防护体系真正的安全能力,掌握的漏洞越多,则能够让你构建的安全体系越安全。事实上,在漏洞挖掘能力上,360已经不输于世界上任何一家安全公司,至今360因提交微软漏洞并受到微软致谢59次,在全球安全软件厂商中排名第一。

    表:主流安全软件厂商和中国安全企业因获微软致谢次数

    公司

    总计

    360

    59

    趋势科技

    18

    神州绿盟

    17

    Norman

    7

    赛门铁克

    6

    翰海源

    5

    腾讯

    4

    启明星辰

    3

    卡巴斯基

    3

    McAfee

    3

    知道创宇

    3

    东软

    2

    Avast

    1

    Bitdefender

    1

    Prevx

    1

    ESET

    1

    VBA(VirusBlockAda)

    1

    金山

    1

    百度

    1

    椒图科技

    1

    Keen Team

    1


    总的来说,整个安全界的飞速发展正是黑白名单造就的传奇。

    60亿样本之路

    病毒样本庞大的规模和每天上百万种产生的速度,彻底击穿了传统的样本分析体系,无论多么有实力的安全公司也无法提供与病毒产生数量相匹配的样本分析人员,安全界迎来了一次真正的危机,而云安全技术的出现则适时挽救了整个安全,对传统的样本分析体系进行了颠覆。云安全的思想是用病毒处理的网络化来对抗病毒产生的网络化,用计算机集群强大的计算能力对病毒进行并行的、自动化的分析和处理,从而能够有效地遏制病毒爆炸式的产生速度。

    虽然360不是云安全体系的首创者,但是360利用自己的互联网思维则进行了颠覆,形成了全球最大,也是最强的云安全体系,而且还首创了云查杀的模式,重新定义了云安全。最初的云安全体系是以网络爬虫为基础,遍历互联网内容,用文件信誉、邮件信誉和URL信誉来对整个信息世界进行安全判定。之后云安全体系变成了以软件客户端收集用户电脑上的可疑样本,上报到云端样本分析系统进行自动分析,然后将分析的结果形成特征库再下放到客户端的一个基于个人PC与云端PC的闭合的样本收集和分析体系,所谓取之于民用之于民的循环再生系统。

    但是不管如何发展,都可以看出云安全只是传统病毒查杀的一个补充,只是用机器代替了部分人工分析。而360则创造性地在用户样本上报和样本分析的闭环系统中又加入了云查杀的概念,所有病毒特征库不再下放到本地,而是直接存在云端,通过云端鉴定的方式来进行样本识别,不光是病毒特征库,白名单也放在云端,本地只保留一个很小的引擎和库,然后通过强大的云端鉴定系统,则能够在不过多占用用户电脑资源的情况下,提供给用户最大的安全。当其他安全企业只是把云安全体系当做本地特征库的机器化手段时,360已经将特征库完全云化,让本地的客户端真正轻载。

    云安全是一个颠覆式创新的技术,它的出现,不但拯救了整个安全,也拯救了整个互联网。在云安全体系出现之前,所有病毒的识别都是基于对文件格式的解析,通过反病毒引擎和反病毒特征码协同工作来对样本进行安全判定,样本的分析、特征库的积累、引擎的开发,在十几年的发展过程中已经形成很高的壁垒,所有的互联网公司都无法在短时间内叩开安全的大门,而此时后进者开始尝试以文件哈希的方法来代替传统的特征码技术。文件哈希技术就象指纹一样可以唯一标识样本,但是只要目标文件改动一个字节,也会导致文件的哈希值产生极大的变动,这会使哈希特征库在短时间迅速增大,最终使用户电脑无法承受,因此在传统安全领域,这种技术虽然可以避开传统反病毒引擎技术和特征码的积累,但是还是相当落后的。

    云安全的出现很好地解决了两个矛盾,一是解决了无限增长的特征库与用户电脑资源不增长的矛盾,把特征库放在云端,极大地降低了本地资源占用。另一个是解决了传统特征码技术与自动化分析之间的矛盾。传统特征码技术基于人工分析,可以一条特征匹配多条样本,一条优质的特征码往往可以匹配上百万的样本,这无疑极大地降低了特征库增长的速度,但是这种技术是基于文件的个体分析,无法让机器自动化处理。而哈希技术却由于不依赖于样本自身的结构,可以自动化处理,曾一度被认为是落后的技术,但在云安全体系里,却成了最先进的样本判定技术,而云鉴定也不再依赖样本文件的上传,只要上传十几个字节的哈希值就能对文件进行快速鉴定,拥有极高的效率。

    云安全并没有改变安全黑白名单的本质,但是云安全却强化了黑白名单的能力,以一种网络化的分析手段来对抗网络化的威胁产生,形成了一个正向的生态链,360正是依靠这样的一个体系,获得了60亿的样本,成为全球规模最大的云安全系统。虽然病毒样本会不断产生,但是随着云安全规模的不断扩大,病毒会以更快的速度消亡。

    正是QVM人工智能引擎、世界上最大最全的高纯度白名单库、云查杀引擎、60亿样本构成的全球规模最大的云安全系统,构建了360安全卫士、360杀毒等安全产品的核心技术引擎,不断颠覆着传统安全的杀毒引擎思维,走向了一条互联网思维下的技术颠覆与创新之路。


    评论 {{userinfo.comments}}

    {{money}}

    {{question.question}}

    A {{question.A}}
    B {{question.B}}
    C {{question.C}}
    D {{question.D}}
    提交

    驱动号 更多