私人博客,观点意见与360无关。
当前位置: 探秘360 » 行业新闻 » 文章正文

EmTech世界新兴技术峰会 周鸿祎发表主题演讲谈云安全

6月25-26日,EmTech世界新兴技术峰会在广州白云国际会议中心举行。“EmTech世界新兴技术峰会”是Technology Review杂志每年承办的大型峰会,它聚焦最重要和最前沿的科技创新,许多创新发明都是在这个峰会上第一次与世人见面。

EmTech世界新兴技术峰会 周鸿祎发表主题演讲谈云安全

以下为其演讲实录:

周鸿祎:非常感谢。我一般演讲从来不用PPT的,后来看这个会的规格很高,所以就配合做了一个,上一场论坛我看几个嘉宾差点吵起来了,在讲云计算的概念,我讲的是我们公司的云安全的运用,这不是一个使用系统,也不是一个概念系统,我们投了近3万台服务器,每天在跑运安全系统。

云计算把大量的计算和应用转动到中央服务器,这是大家都理解的,邓迪讲的是云计算的极端,云计算的安全很重要,你要关注终端,首先只是把终端做成一个傻终端,这是不会成功的模型。

云不仅仅是中央服务器所组成的云,当你的用户群到达一定规模的时候,我们的分布式P2P,形成一个网络。有本书《IT不再重要》,我同意这个观点。像当年爱迪生法发明了电以后,有很多单位买发动机。最后最伟大的发明不是爱迪生发明了电,而是有人统计这个电的标准,只要建中央的标准,通过线路传输到每一个单位。

大家用谷歌的邮箱,包括云游戏都是一个典型。所以在未来我相信中央服务器或是IDC机房提供的强大能力,会像电力、煤气、自量水一样输送到各个家庭。

现在木马和病毒的威胁我就不讲太多了,如果大家不装打补丁,装杀毒软件基本上算是裸奔了。我们都是和恶势力做斗争,更多的是黑色产业集团在网络上形成了一个非常大的利益群体,有人去卖,有人负责去设计,有人负责去销赃。对行木马不是一个人的战斗,我觉得是一个非常艰巨的任务。我们有一个摩尔定律,现在木马增长的速度是10倍,现在世界上最好的木马技术是在中国,而且技术越来越好,最好是在中国。

有些人说我上网从来不上黄网,洁身自好就可以了。但是你如果点击一个视频,都有可能中招,你装在防火墙也没有用。有一个黑客发了一个邮件给谷歌的员工,这个员工是用IE的浏览器,结果这个木马就种入到了这个公司里面。现在大家会疑惑一个问题,我现在不仅是木马的敌人,而且是杀毒软件的敌人,现在大家装传统杀毒软件,基本上没有什么用。

传统杀毒软件做了20年,也赚了20年的钱,基本上没有什么用,每年就换一个号,一个公司能挣十几亿。现在有点像黑名单,要先找到一个病毒或是木马,把特征叫一个病毒库,就是一个黑名单,杀毒软件照着黑名单来对照,在三年前不超过1万种黑名单杀毒软件是有效的,现在木马已经上亿,感染一次就可以变形,现在每家杀毒软件的黑名单的病毒库会越来越庞大,你们每年用一个杀毒软件,这里面程序很好,大部分是病毒库。

大家把这些病毒库调入内存,病毒没有抓住,你的电脑每天用杀毒软件占用了,所以我说祸害电脑的不是病毒而是杀毒软件,因此影响你得网速的是杀毒软件。所以杀毒软件扫描也比较慢,有这一个最重要的特点是杀毒软件没办法对付新木马。有的很多人都装了杀毒软件,但是还是中毒了。如果你做了一个木马出来,你不会往外放的,你会先放在杀毒软件试一下,如果能立刻杀掉,你就不会放到外面。杀毒软件消耗你的内存和 CPU,每天在狂扫,但是没有什么效果。

对360来说,很多人鄙视我们,因为我们在安全方面没有积累,因为我们是无意中闯起来的公司。我们没办法重复以客户端为主的技术,因为这种技术别人已经做了20年,我们也做不过别人。我们本身是作搜索引擎的,是典型的云计算,你打一个字,会把搜索结果拼出来。我们是想用搜索引擎了云计算的思路来解决安全问题。我们构造了一个模型,这个模型很简单。我们也有传统的病毒库和木马库,我们放入终端的服务器上,我们不是把整个文件放到到服务器上,这样我们的带宽吃不消,而是把文件做一个条纹,传给中央服务器。比如我们的黑名单高达数十亿,或者是十数百亿,做搜索引擎的公司。我们能搜索上上百页的网页,用分布式的集群是没有问题的。这样就可以把远大病毒库的庞大解决了。为什么云查杀比较块,就是把问题转移给了服务端。

这个比邓迪讲的模型要少很多,我觉得它运用最大的问题是视频会吃掉很多的带宽。我们只是传一个文件的指纹,服务器告诉你,是好的,还是不好的。对很多未知的样本我们引入了白名单的技术,木马只要变形,只要改动一个字节,就马上从你黑名单消失,但是绝大多数人并不是天天装乱七八糟的软件。中国是一个比较复杂的国家,国外都用正版的,中国有了番茄花园等等,有了很多山寨板的Windows,中国人力便宜,我们把常见的软件,比如QQ、迅雷把所有的文件每个版本都收集到了,所以建立了白名单。我们发现这个文件很重要,由躲在WINDOWS的目录底下,跟我手机的白名单对不上,这个文件一定有问题。白名单技术是非常有效的解决木马变形的问题,我们有一个口号叫“非白即黑”。绝大多数电脑里,发现90%不才白名单里面内,基本上是病毒。

对服务器来讲,根据一个文件的指纹,快速在10亿甚至是上百亿的文件里搜索,我们可能在0.01毫秒里面得出这个结果。还有一个未知的东西,我们不知道他是否在白名单里面,我们可以通过预算的模型把可持续性的样本传到中央服务器。在中央服务器我们会有程序监视他的行为,我们就会很快对他做一个判断。现在我们在一分钟里面,就可以判断加到白名单里面还是黑名单里面。现在云查杀也不是那么神秘,只是服务器承担了过去比如笔记本或者是台式机对病毒查杀。它的优点对客户端的要求降低了很多。云计算终端的可移植性,过去厂商在PC机上对病毒做了很多的探测方法,但是几乎是不可能转移到手机上的。现在我们把云查杀移植到了手机上,我们这次来广州做了一个调查。你们买的手机回去一看,都可以看到被经销商里面装了很多软件,里面有3G的是有用的软件,有很多是收费的软件,甚至有的是卧底软件。当服务器承担了大量的开销之后,对终端的要求就降低了很多,云计算为什么把都放在服务器端,它可以产生统计定律或者是数据分享。比如一个陌生的文件,在一台电脑里有奇怪的行为,我们很难判断是不是木马。

我们用统计的方法可以看到有一个奇怪的程序在很多电脑里面迅速的传播和蔓延,这可能是特别一个流行的软件很火爆。因为在中国这个可能性不高。另外是你基本上不用判断,这一定是一个可疑的东西。在雅虎里面,用云计算的思想来反垃圾文件,在客户端如果老是想通过垃圾来撰写模式,他们都在躲避这种模式。当时雅虎有很大的邮件帐户,全球有一半的用户都在用雅虎的邮箱。每个人发的邮件在一天不会很多,如果在雅虎里面同样一封信同时发给1万一人,我们通过统计就可以判断这一定是一个垃圾文件,这就是云计算。

当你把数据当中存储对数据的挖掘和分析,你可以得出更多的结论。这些细节我就简单跳过了。实际上我们原来做搜索引擎,发现市场被谷歌、百度占了就算了。后来我们就做一个查文件的搜索引擎。虽然现在所有的安全公司都在谈云计算,但是据我的判断,绝大多数本地化软件的公司是没有能力做这种大规模的集群服务器的管理、数据的手机和并发的控制能力。据我们了解,包括国外很多著名的安全公司,目前真正把云安全投入使用的,应该就只有我们一家。我们有3亿用户,他们不用云计算可能还有一个原因是历史的包袱,在终端上编软件的人编久了,大家就会有一定的质疑。因为我们没有历史包袱,光脚的不怕穿鞋的,所以我们利用互联网的结合就闯出了这样一条路。

最近我们把云计算云查杀的思路运用到了网页的识别,下一步对大家的威胁实际是各种恶意的网页。我知道在北京看病很难,在其他地方,如果要找一个好的医生要找关系,基本是不用打广告的。据我们了解,在网页上打广告的基本上是有问题的,这些都是欺诈,这也都是信息的不安全。你怎么去判断,包括现在有什么判断,现在出现什么“兽兽门”、“车振门”很多的“门”,因为现在黑客组织自己会拍一些有争议的视频,让你去点击,这样你就会中毒。如果用传统的方式,你需要用蜘蛛把它扒下来。中国大概有100亿网页,大概1个月以后才能出扫描的结果。目前这种传统的技术基本上不能使用,我们用户端的云,我们有两个云,一个是将近上万台中央服务器组成的中央处理模型,还有所有的三一用户,包括我们有一个安全浏览器,每天的浏览量超过了4千万一,就构成了一个用户云,用户用这些浏览器的时候,会感受到安全的威胁,他们把恶意网址传递过来,我们就把这些网址入库。目前我们把云安全用在浏览器里面,用在主动防御用在主动杀毒里面效果是非常好的。

云安全现在面临一个挑战,一旦网络断了,云安全就相当于你的传感器和中央司令部失去了联系,这样中央司令部就没有作用了。现在木马本身要依赖于网络才能传播,我们在国外买了一套,以便于断网的时候用,有网的时候和我们的云查杀结合起来用。我们每天监测2000网页,累计文件知识库有与6亿,覆盖率98%。

对安全的问题非常重要,我们本身是一个安全厂商,还有就是隐私的问题。因为大家的数据都在服务器上,我们在安全和隐私方面我们做了很多的工作,第一所有上传的文件是可执行性文件,第二是文件指纹。我们原来是想做开源的,但是由于怕做木马的人进行攻击,最后做有线开源,这也符合国家的要求。有些单位会怀疑我们是否有问题,这样他们就可以来查我们的原代码。

云安全要有很多的投入,但是投入是很有限的,我们通过免费杀毒,免费杀木马,用户越多,可以把我们的成本降得越低,另外也可以真正做到免费成为彻底的可能。做免费并不忽悠的概念,我们在过去四年已经承诺和免费安全的承诺,我们在未来也会继续做下去。卖杀毒软件的人就希望你们种病毒,这样我的杀毒软件才可以卖出去。我是不会这样做的,因为我不是卖药的。我们让广大的客户的电脑得到安全。做木马的也是出来赚钱的,也不能用报复的方式来说服他们,你抓几个人根本解决不了问题。最有效的让木马得不到传播的机会,让木马再从你的电脑里面偷你的隐私和资产,他们就挣不到钱,他们就会改行。最后才能真正让中国的互联网得到安全,360一半是公益,一半是商业。我们会集中模型来推动,我们知道云查杀的模型在中国的成长,所有的360杀毒在半年已经成为了中国杀毒的第一名,大概有50%的市场占有率。可能我们不是最复杂的一个模型,我们用很多专家的眼光来看,很简单。但是它是真正有效的利用云计算来保障实际运转系统的。今天我就拿这个作用一个例子来给大家介绍一下,谢谢大家!

本文地址 : http://www.tanmi360.com/post/896.htm

TrackBack地址 : http://www.tanmi360.com/post/896.htm/trackback

标签们 :

大家怎么说?大家这样说!

 昵称(*)

 邮箱地址(*)

 个人网站

想说点什么:

       

注意: 评论者允许使用'@user:'的方式将自己的评论通知另外评论者。