私人博客,观点意见与360无关。
当前位置: 探秘360 » 评论观点 » 文章正文

360安全卫士6.0版发布会 奇虎360董事长周鸿祎激情演讲

 

360最近两年来一直在耕耘,因为在我觉得我们做得还不够好。按进化论的“用进废退”,如果天天在这种会上在闪光灯下给媒体讲话,会越讲越溜;让我突然站在这样一个讲台上去讲,我反而觉得心很虚,千言万语不知道怎么讲,所以工作人员安排了砸木马的程序,让我觉得有些信心吧。

  现在把360做云查杀的事情和大家分享。实际上刚才齐总也总结了过去的一些创新,虽然我们通过免费杀流氓软件、通过免费给用户查漏洞、打补丁,赢得了中国70%的用户,刚才冯鑫他们给360很多夸奖,但是我们没有成功的感觉。现在流氓软件是被遏制了,但是整个互联网的安全形势实际上越来越严峻,我今天在这儿不多讲,大家从电视、报纸、广播上都可以看到木马越来越肆虐,大家上网没有保护就像裸奔一样,在网上各种对你电脑的威胁,对个人的隐私,包括虚拟资产会失窃,这两年木马越来越严重,谁能够真正解决这个问题,这才是对360真正的挑战。

 我有两个感觉:第一个是关于杀毒软件,一个已经做20年的行业,它的核心技术可以说是一直基于收集病毒样本,采集病毒特征,组成病毒库,在每个用户的机器上按图索骥,像通缉令查坏人一样去查杀病毒。现在木马起来之后,当你手里有一把榔头的时候,看所有的东西都是钉子,但一个事实就是,杀毒软件是已经教育了20年的产业,今天不需要我在这里多讲,每个人都用过,每个人的机器装过一套,甚至是很多套,如果杀毒软件真能解决问题,今天木马不应该这么猖狂,我们也看过很多评测,一个非常有意思的现象,评测方找一些死木马、死样本,放在用户的磁盘上,因为这些木马和病毒安全厂商都已经拿到过,所以他们做到了查杀率99%。但实际上是怎么样的?如果你是一个做木马的小弟,过去做病毒是高水平的黑客,由于有了互联网、互联网的沟通,很多黑客也在出卖他们的技术,交流技术,今天只要花很少的钱就可以买一个木马的内核,在网上通过各种免费的工具,也就是一个不太会编程的小弟,社会青年就会造成一个属于他自己的木马。我也和一些做木马的人微服私访去聊过,他一定会拿杀毒软件试一下,如果纷纷报警,再傻也不会放出去,今天在搜索引擎里面输一个词“免杀”,会有无数的免杀的工具,所以就形成了这样一个悖论,一方面说话的杀毒软件都在宣称自己的查杀能力高达99%,拿了无数的国际评测标准,但是在真实的用户环境里面,新木马层出不穷,甚至只有几天、一周的传播周期,等杀毒软件得到样本能够杀了,这个木马该偷的都已经偷完了,盗来的号都已经销赃了,所以现在大家感觉杀毒软件很难对付这些新木马、快木马。

  第二个比较奇怪、滑稽的现象,现在的计算机配置越来越高,都是多核的CPU、上G的内存,可是大家没觉得机器快多少,就是因为杀毒软件成功做到了病毒没做到的事,它成功地把你机器的CPU耗尽了,成功地把你的内存耗尽了,所以现在很多人不是不想用杀毒软件,实在是用了杀毒软件会导致他的机器的资源、速度会严重降低。杀毒软件本来是对你有帮助的保镖、一个助手,却让你的计算机变得非常慢,需要不断的升级。有一些病毒是通过恶作剧让我们的机器变慢,劫持我们的电脑,现在杀毒软件已经成功做到了这件事情,所以很多人不装杀毒软件裸奔,就是觉得杀毒软件太慢、开销太大。

  这两个现象我们很多人都感同身受,打一个比方,世界再危险,穿上防弹衣、坐上防弹车,每小时速度只有20公里,即使他保证这个东西很安全,可能你也不会有上网的乐趣,用电脑也会有很多痛苦。这个原因特别简单,我给大家做一个解释,因为在过去20年里面,所有的安全公司、所有的杀毒软件都是基于一个对病毒库、木马库的样本采集,然后把它采集到的病毒库、木马库放在你的电脑上,今天你装一个杀毒软件,光有一个杀毒引擎起不到作用,没有了病毒库木马库、杀毒软件就像一堆废铁,不能有任何作用。以前每年撑死有几百种病毒,杀毒公司雇一些精英采集这些病毒,再把特征码更新到用户的机器里面,这种模式在过去的十几年可以工作,但是现在随着互联网的流行,我想在网上有很多这样的文章,像木马产业链的发达,木马制作技术的门槛降低了,使得今天木马已经变成互联网的最大威胁,甚至每秒钟可能都会有新的木马被制作出来。即便是已经被杀毒软件发现的木马,经过任何一款免杀工具制作,只要杀毒厂商没采集到,杀毒软件就看不到这个免杀的木马,所以在很多有杀毒软件的机器上,木马依然横行。这就是我刚才说的杀毒软件杀不了木马的问题。

  你们回去安装任何一款杀毒软件,你发现杀毒软件现在动辄是50兆起步,甚至有的杀毒软件基本上到了七八十兆、上百兆,一个软件为什么那么大?就是因为病毒库。随着病毒样本的增加,大家想象一下,杀毒软件的病毒库会无限膨胀,最后你的硬盘要给它腾出很大的空间来存放病毒库。而杀毒软件的引擎在查杀病毒的时候,把病毒库放在内存里,所以你可以理解,装了杀毒软件,2G、4G的内存,要拿很多内存来装病毒库。最后杀毒软件非常“成功”,成了你机器开销最大、占内存最大、CPU占用最大的一个软件。我们可以说让我们的计算机不断升级,双核变四核,我们可以装64位的操作系统,但是前面讲了木马病毒每天还在不断涌现,所以我们要不断升级病毒库、木马库,所以叫脉动升级、秒级升级,无论是在打游戏、看视频,杀毒软件无时无刻不断的加病毒库、木马库,其实还是亡羊补牢。

  我们就在想,这难道是唯一的解决之道?在360冲击这个市场的时候,对于这样一个20年没有什么革命和创新的市场、我们在商业市场给了他们一个创新,我们认为杀毒软件不是用来卖的,安全软件是免费的,不给木马、病毒留出繁殖的土壤。

  对于木马泛滥,我们在“云查杀引擎”技术上可以用与众不同思路解决这个问题。实际上在做360云查杀引擎之前,我们在过去三年做了一些尝试。

  我举两个例子:因为对今天的安全厂商来说,20年如一日干一件事,他们已经把传统的杀毒软件做得炉火纯青,每天在你的论坛里面,拿几十兆的病毒库去按图索骥,我们没有想按互联网的方式解决问题。刚才齐总说了360给用户打补丁,很多人忽视给自己的机器及时发现漏洞,打上补丁。过去大家觉得不方便,也想不起,也不知道为什么要打补丁,对杀毒公司来说打补丁也不一定重要,但是我们换一种思路说苍蝇不叮无缝的蛋,就是因为有漏洞木马才会渗透进来,我们360第一时间发现漏洞、打上补丁,让你的机器没有缝隙
,让木马没有机会渗透进来,你也不需要花很多的精力、金钱去查杀。无论是微软操作系统,还是应用软件,在第一时间发现了漏洞,我们就会第一时间告诉用户,赶快把你的漏洞补上,只要用户OK我们会自动做这个事情,坦率说这件事没什么技术难度,只是需要我们投入服务器和带宽,但是非常有效地在中国解决了木马泛滥的问题,即使没有装传统的杀毒软件,也不是因为我们做得有多好,而是漏洞被补上了中招的概率小了90%。漏洞补丁只是我们的一种思考,我们希望跟传统杀毒公司用不一样的思路来解决问题。

  这一次我们推出的云查杀引擎,实际上就是基于云安全、云计算做出来的引擎,刚才冯鑫和齐总都提到零升级,这是这个引擎最大的一个特点,就是在本机上有扫描和查杀的引擎,但是没有任何病毒库和木马库,我们把所有的病毒库和木马库都放在中央服务器集群上。大家知道真正的云计算就是把计算从每个用户的终端电脑上搬到中央服务器,只要在用户的机器上体现结果、成果就好了,所以我们在中国25个省建立了数据中心,我们投入的几千台服务器成为云计算的一个核心,大家知道360的技术团队前身是做搜索引擎的,所以我们今天把做搜索引擎的技术,实际上是在服务器端做了一个安全引擎,来帮助我们的360的云查杀前端,能够把机器里面的这些文件的状态和信息送到服务端来进行及时、迅速的查询。这样的话在任何时候,你不需要去下载任何的病毒库和木马库,当然也谈不上升级木马库和病毒库,只要在服务器端发现任何木马病毒,客户端只要扫描就会享受这种成果,包括我们把大量的查询、分析工作放在服务器端,使我们今天的云查杀引擎实现了中国电脑教育报给大家做的报告,我们内存开销大概是杀毒软件的1/5,我们的扫描速度大概是他们的10倍。这我们谈的零升级、零负担,这是是否云安全、云计算的标志。

  仅仅是把木马库、病毒库放在服务器端还没有真正解决问题,如何查杀未知木马呢?刚才我指出的杀毒软件的问题是不是360也有呢?是不是能查杀随时变换的木马呢?

  第二点,我们的云安全和别人不同的地方,也就是说对于很多已知的木马和现在新出来的木马,我们构造了两个云,一个云是几千台服务器构造的中央处理集群,现在我们拥有2亿4000万用户、他们使用的1.2亿台电脑,构成了一个网络,这个网络越强大,就越能帮助我们快速发现新的威胁,因为里面有很多技术细节,就举一个例子让大家理解。

  现在360用户查杀到木马,大概只有20%是和中央服务器的木马库去进行对比,我们还有80%是基于我们对木马本身行为的判断,基于我们对木马通用特征的判断,然后在服务器进行一种智能的通信和分析。我想讲得更贴切一些,而不是举例子。一个新的木马在没抓到之前,通过一台孤立的机器,无论装的杀毒引擎有多么强大,都无法判断木马是否有威胁;假设是Vista的UAC,运行一个程序有没有危害,会询问用户yes还是no,因为在一台机器上并不知道是好坏,有的用户按了yes,有的用户按了no,所以不是解决之道。

  云查杀引擎是,在用户的电脑上,我们发现一个陌生的程序,我们就会关注,我们会采集它的行为特征,我们不会让用户做判断,因为用户是没有判断能力的,除非木马的行为非常拙劣,我相信很多主动防御软件已经实现了类似的功能,但是今天的木马变化越来越多、行为越来越复杂,包括恶意软件和正常软件也很难区分,所以我们会把刚才采集的信息传到中央服务器集群,如果这个木马不再做任何传播,是一个安安静静的死马,我们认为这个木马没有威胁,我们的系统不会有反应,但是这个木马一旦传播,又传播到一个新的机器里面,也是在网络里面马上就感知到,这台机器也会向中央集群报告,当100、500、1000台机器报告了,中央集群服务器会统计、搜集信息的分析和反馈,会智能的判断出来这个文件不一般,在这么短的时间里面能够迅速流行,而且它的流行有很多的相似形,我们的警报就会报警,这个软件的样本会在我们后台有一个自动化的流程进行分析,一旦判断完就会把它加到我们数据中心的木马库里面。当传播到1001台机器的时候,这时候云查杀引擎的传感器已经能够通过和总部的通信知道这是一个危险的程序。

  我举两个例子:当年我在雅虎的时候,大家都知道反垃圾邮件是非常难做的事情,通过分析垃圾邮件的正文来判断是否是垃圾邮件,只要把写信的风格一变就分辨不出来了,但是雅虎当时反垃圾邮件也是用互联网的思路解决问题,这个方法跟我们有异曲同工之妙。你想象一下,一个垃圾邮件的作者不会只发一千封,可能一次发一万封以上,当发几万封以上,雅虎所有的邮件都存在中央服务器,当发现一个邮件发了一千、一万个邮箱,根本不用判断这封信的内容,就可以判断是一封垃圾邮件,所以道理是一样的。

  大家如果还有印象,在03年非典刚起来的时候,当时没有一个中央疾病采集和控制机制的时候,比如说非典在各地出现,各地的医院凭着自己的经验去判断,它的特征很不明显,有地方把非典当感冒治、肺炎治,结果就没有意识到是一个流行病毒的威胁,所以到今天甲流肆虐的时候,每个国家都有中央疾病控制中心,及时采集各种样本和病例,哪怕不知道,虽然现在不知道病毒内部的DNA和分子结构是什么样的,但也能有预警和控制。

  所以这次的云查杀引擎并不是建立了中央服务器,这样的网络也是一个新的防护网络,不是靠一台电脑在做判断,而是靠上亿部的电脑在做采样、分析。摆脱了过去非常被动的采集病毒样本、人工分析病毒样本再来进行追杀的机制。今天我们对很多的病毒木马,甚至不需要了解,这个木马内在的技术,我们甚至不需要分析,只要在一定的机器上有过传播之后,我们的云安全中心就能捕获到及时清理出去。

  我举了一些例子、比喻,我不知道是不是讲清了云安全的原理。当然知易行难,可能对我们很多同行来说,由于他们做传统的杀毒20年,应该说20年积累了很多技术积累、优势,在木马产业规模很大的时候,在互联网对产业带来变革的时候反而成了包袱。

  我们很幸运,我们是无意中闯到了安全领域,我们是光脚的,不是穿鞋,没有过去传统思维的束缚,也没有包袱,同时也迫使我们必须用与众不同的方式去解决安全问题。我相信优秀的安全公司做的事,我们不可能做得更好,现在杀毒软件应付木马都这么难,我们干吗走这条老路?

  所以今天我们推出云查杀引擎,我们是把互联网和安全技术结合起来,当然有人可以说这是一个革命,可能是一个颠覆,我是觉得做公司越久越不敢说大话,我只能说“是骡子、是马拉出来遛遛”,大家用一下我们的引擎,看看它的效果是不是能够真正做到比杀毒软件更好,是不是比杀毒软件占内存少80%,快10倍,让安全软件在保护电脑安全的同时,把电脑还给用户,我觉得这是我们努力的目标。

  我一直坚信新发明的抗生素、新药,并不能杀很多的细菌,木马也会躲避云查杀的分析,它们会有新的方法,但是我觉得道高一尺、魔高一丈。至于我们今天为什么像传统公司一样搞一个发布会,其实我想通过发布会向行业发起几个呼吁,我们发现木马产业链的问题比很多人想象的更严重,靠少数的安全公司、少数的精英对抗木马产业链里的上百万的人员,肯定已经是日暮西山了。我把360定位为创新,我们希望把互联网安全技术方向讲出来,希望有更多的安全厂商能够意识到不是360在砸你们的锅,是互联网在改变这个行业,是互联网在冲击这个技术结构,希望有更多的安全厂商也和360一起意识到未来的前景,携手把互联网和安全紧密的结合,我认为只有众多厂商都意识到这个问题,抛弃原有的20年亘古不变的技术体系结构,走到真正的云安全体系来,才可以说遏制木马的威胁。

  今天我们也请了很多合作伙伴。我想冯鑫知道,现在电影文件可能也会被塞着一个木马,我们做了云查杀之后是瘦客户端,真正的判断处理逻辑是在服务器端。很多做企业内网的厂商,很多做企业级的厂商,他们面临的问题和我们一样,我们可以免费把云查杀引擎的SDK提供给他们,哪怕像暴风影音、迅雷,很多娱乐化的软件,用户在看电影之前,包括今天我们请了网易、盛大这些做游戏的公司,用户在玩游戏之前可以用软件做一下查杀,用10倍速的速度给用户创造一个安全环境,我们需要更多的厂商合作,而不仅仅是靠360一家之言、一家的能量,这次开会也希望跟媒体的朋友、合作伙伴、公众来分享我们对互联网安全的一个思考。

  所以,在未来我相信,360会继续保持创新精神,也就是说我们会不走寻常路,我们希望能够把在互联网这么多年的技术积累,包括技术创新能够真正的用到互联网安全上面;我们也希望未来会继续信守我们的承诺,继续把我们跟安全有关的、每个人都需要用到的基础服务保持永久免费,这不仅是当初我们对公众、对用户的一个承诺,更重要的是我们再次意识到网络安全不是杀毒厂商的事,是每个互联网网民的事,搜索引擎、电子邮件、网络聊天是互联网的基础服务,网络安全现在也成了基础服务,这样一定是免费的,这是360的一个理念,我们希望在免费的理念下面,能够把我们的产品做得比收费的产品更优秀,从而实现我们的一个梦,我们希望互联网无论是在电子商务、网络游戏、社交网站、游戏,我们都在保护中国几亿网民的安全,因为变得安全,从而让中国互联网有更好的发展。

本文地址 : http://www.tanmi360.com/post/65.htm

TrackBack地址 : http://www.tanmi360.com/post/65.htm/trackback

标签们 :

大家怎么说?大家这样说!
  • Hobo说道:

    没办法哈哈,我觉得防病毒和木马关键在个人的水平提高.你自然知道怎样能减少中病毒和木马的几率,再说病毒啊,木马啊,传播最多也就那么几种方式.360仅仅是简化了一些过程,使一些技术水平比较匮乏的人能够解决一些徒手无法解决的问题呵呵.

  • YY说道:

    是骡子、是马拉出来遛遛
    这句话对了

 昵称(*)

 邮箱地址(*)

 个人网站

想说点什么:

       

注意: 评论者允许使用'@user:'的方式将自己的评论通知另外评论者。