黑客围猎(中)
2017-01-09丁一鹤
丁一鹤
·连载
黑客围猎(中)
丁一鹤
如果说郑文彬亲自掌控的挖漏洞的攻防团队是他的杀手锏、血滴子,那么他统领的近500人的安全团队,就是360的御林军。我们电脑上常用的XP盾甲、360云查杀、360云防御等都是出自他们之手。
经过近10年的磨砺,郑文彬对于网络安全,也从兴趣转为责任。他经常对同事说:“网络安全的攻防永无止境,只有不断创新和进步,才是最好的安全解决方案。”
郑文彬进入奇虎360之后,一清插件,二灭木马,三补漏洞,很快在360内部成了大神级的人物。当时的360安全卫士属于安全辅助软件,并不是严格意义上的杀毒软件。360挥刀杀入安全市场,就必须帮没有装杀毒软件的用户解决杀毒问题。
奇虎360调整市场策略确定进入杀毒市场决策之后,原360安全卫士负责人成为360杀毒软件开发的负责人,但在360杀毒软件上线的紧张时刻,他突然提出辞职。
在周鸿祎与360安全卫士负责人的博弈中,周鸿祎的底线之一是:你走可以,但不能挖走郑文彬,把他给我留下!
360安全卫士负责人爽快地答应了。事实上,在360安全卫士负责人决定离开时,也跟郑文彬谈过,但郑文彬婉言拒绝了:“老周对我不错,我决定留下!”
360安全卫士负责人出走后,奇虎公司正式挥师杀毒领域。奇虎高层注意到,在此之前,中国互联网软件推广过程中,共发生了两次收费PK免费的战争,前两次战争分别发生在电子邮箱、电子商务领域,每次战争都是以免费的胜利而告终,并带来更好的产品、服务和商业模式。奇虎公司内部达成共识,互联网安全软件免费是大势所趋,至于带来什么新的商业模式,谁都不知道,但有一点是实践证明了的,只要有用户支持,就会创造新的商业模式。
周鸿祎力排众议,做出推出免费杀毒软件的决策。尽管周鸿祎觉得这个决策事关自己的声誉与梦想,但多数人都认为周鸿祎在进行一场豪赌!
2008年7月17日,奇虎公司召开新闻发布会,宣布正式推出杀毒软件,并宣布永久免费。周鸿祎在发布会上豪情满怀地说:“杀毒软件市场,到了重新洗牌的时候了!”
周鸿祎当然明白,推出安全免费软件,就等于把以前做安全的公司全得罪了。瑞星、江民、金山,人家可都是靠卖安全软件生存的。而且那时候,这几家杀毒厂商都是大款,周鸿祎的奇虎公司却是个穷小子,公司一分钱没挣呢,全靠投资人给钱做公司。而听说周鸿祎要搞免费杀毒,着急上火的投资人恨不得给周鸿祎下跪!
而用户们最关心的是,你奇虎360宣称免费,会不会永久免费?好不好用?
很快,奇虎公司为仓促上阵而吞下苦果。360免费杀毒软件推出不久,很多用户发现,这款杀毒软件只是将罗马尼亚厂家的软件汉化后,就投入市场,并没有更多的创新与进步,安装后不是死机就是查杀不了病毒。郑文彬他们在做杀毒第一个版本时遭遇了滑铁卢,当时引进罗马尼亚的一个软件,采用的方法是包装罗马尼亚的杀毒引擎,再加上360的杀毒程序帮用户解决问题。
本来360安全卫士挺受欢迎,但360杀毒的第一个版本做得实在很差,推出之后,网上骂声一片。便宜没好货,很多用户发现不好用的时候,立即边骂边卸载了360杀毒软件。
把心提到嗓子眼儿的杀毒厂商们,本来拉开架势准备与周鸿祎一决雌雄,这下都纷纷笑了:傻小子睡凉炕,全凭火力壮,周鸿祎闯进杀毒市场,完全是蹚浑水来搅局了,这下丢人现眼了吧。
当一种产品免费的时候,用户选择你很容易,卸载也只在举手之间。新上线的杀毒软件因为存在缺陷,很快被用户弃用。眼看着360杀毒软件装机量一路走低,奇虎公司高层急得像热锅上的蚂蚁。
此时的奇虎人心浮动,风雨飘摇。360安全卫士负责人出走之后,再遭遇用户的信任危机,360安全团队虽然勉强聚拢起来,但人心已经完全涣散,让这个团队攻城拔寨去打攻坚战,谁心里都没底。
为确保攻克杀毒软件,奇虎公司拉开架势,从奇虎搜索团队临时抽调了几个可靠的帮手,与郑文彬他们成立了360杀毒应急小组展开攻关。
攻关成功也就罢了,一旦失利怎么办?那就意味着满盘皆输!周鸿祎在电光火石之间想到了他担任天使投资人时期曾经投资过的一个人:波波虎公司的掌门人朱翼鹏。
攻克杀毒软件难关,必须同时展开内外两条战线作战。奇虎360力邀外援朱翼鹏加盟,请他带领突击小分队连续突击。
在奇虎360内部团队,总负责人是周鸿祎,其他参与者全是奇虎公司的一流高手。
其次是首席技术官李钊,他是周鸿祎上大学时候的师兄,更是引导周鸿祎进入方正的引路人,是资深技术大咖,鲜有敌手的程序高手。后来360上市,李钊一人占了公司1%的股份,可见他在业界的分量。
第三个技术大咖叫赵君,业界名头响亮,现在是360公司独当一面的业务经理。
第四个是郑文彬。
“救火队长”朱翼鹏果然不负众望,他带领4个人的突击队外线作战,重新打造出了一款全新的360杀毒软件。随后,郑文彬团队在朱翼鹏开发的杀毒软件基础上,进行了细致的测试,并把杀毒软件的容量缩小,以便快速下载安装同时少占内存。这款软件不但能够查杀硬盘和网络病毒,同时也能查杀U盘等外接硬件的病毒,阻断可能携带病毒的外接硬件对电脑的侵袭。
时隔一年之后,奇虎360再次发布杀毒软件。这次经过两个团队用一年时间打造的杀毒软件一上线,市场就迅速产生巨大变化。瑞星、江民、金山等三大杀毒软件的市场份额均出现了不同程度的萎缩,360的用户数量暴增,大有跃居行业第一的趋势。
仅仅半年之内,360在杀毒市场上就占有了三分之一的份额,超过了带头大哥瑞星,跃居行业第一。而在此前的9年时间里,瑞星连续排名第一。
周鸿祎踌躇满志地对媒体宣称:“网民是互联网商业价值的创造主体,360杀毒的使命就是彻底扭转花钱才能买到安全的历史。”
周鸿祎一手推动的免费杀毒,必然会爆发一场与杀毒厂商的战争。此后360与众多杀毒厂商展开了旷日持久的大战。
开创中国网络安全云时代
2008年8月,新款杀毒软件推出之后没有多久。郑文彬下楼的时候一脚踩空,200多斤的体重瞬间转移到一条腿上,郑文彬只听到耳朵里传来咔嚓一声,这刺耳的声音伴着剧疼和冷汗,瞬间把郑文彬击倒在地。
去医院一拍片子,腿骨折了!
打上夹板和石膏的郑文彬,再也动不了了。
重伤也不能下火线,郑文彬的工作场地从办公室搬到自己的出租屋。郑文彬来北京后,在公司附近租了一套90多平方米的两居室。郑文彬之所以看中这套房子,原因是有一个30平方米左右的客厅,摆满巨大松软的沙发,回到家他就随时可以把自己摔进沙发里。
这个客厅随着郑文彬腿部骨折,很快成了360的会议室和研发中心。每天一上班,周鸿祎安排好公司的事情,就带着团队直奔郑文彬家,几个人身子往沙发里一摔,就开始争论上了。
在郑文彬家的客厅里,周鸿祎抛出了一个令人挠头的问题:“杀毒软件推出之后,我发现一个大问题,传统杀毒软件包括我们的软件,杀毒速度普遍很慢,而且天天要更新。这个问题不解决,我们就无法在这个行业处于领先位置。我们最早是做搜索的,我们的服务器做云端的能力很强,能不能把杀毒软件放到云端?”
“全世界还没有人做这种杀毒技术的,如果发挥我们的长处,这个思路应该是我们做杀毒产品的思路。”郑文彬接话说。
赵君补充说:“安全对于每个用户来说都是很重要的事情,谁也不想让自己的电脑瘫痪。以前的杀毒软件普遍存在一个问题,就是只利用了互联网的传输功能,并没有太好地利用互联网的计算功能。用户还是每次上网之后连接到杀毒软件厂商的网站上,下载病毒库,然后依靠自己的电脑进行查杀。这对用户来说是一件很麻烦的事情。长此以往,客户机上的病毒库会越来越大,占用越来越多的计算资源,最后使得系统越来越慢。我们在使用电脑的时候就有这个体验,往往是把某个杀毒软件卸载之后,速度明显提升了一个档次。”
“因此,老的杀毒模式可能已经走到了尽头,我们必须拿出一个新的杀毒模式。能不能把原来放在客户端的分析计算能力,转移到服务器端上?这样,客户端的容量大大减小,电脑速度就快了。”周鸿祎提出了他的设想。
郑文彬不无担忧地说:“这对我们提出了更高的挑战,意味着我们必须在最短的时间内分析出用户的电脑是否已经被病毒感染了。但是,单纯依靠收集病毒特征,被动地防御还是挺难防住的。要知道,每个小时全世界会产生2万多个新病毒。”
郑文彬提出自己的担忧后,见周鸿祎、赵君等几个人没有插话,只好直接说出自己的见解:“我的设想是,在病毒进入计算机之前进行拦截。因为病毒进入计算机,需要经过传输,而在传输过程中,只要我们发现并提示是否有病毒,并且阻止病毒进入电脑,一切问题迎刃而解。国外有专家提出过这个人工智能的设想,就是利用云端技术,而我们恰恰擅长这个技术。”
周鸿祎分析说:“我们做搜索,云端技术已经很成熟,比如要搜索东西,怎么分类,已经做得很好。但我们需要看看,全世界最牛的安全公司,他们怎么样杀毒?他们有很多的分析员,有的杀毒公司在菲律宾就招了2000多人,那边的人力成本便宜,请他们专门分析病毒。2000多人什么概念?当然我们招不了这么多人,我们可以利用人工智能,去学习一些分析病毒的方法。”
赵君说:“我们都不太懂人工智能技术,但可以找一些人工智能专家,讨论一下这个问题,能不能用人工智能帮助我们杀病毒。”
周鸿祎说:“我也注意到了,国外有最前沿的杀毒公司在论文中提到这个设想,但他们只是理论上的探讨,谁也没做出产品来。所以我们可以先来实践一下,看看能不能实现。”
郑文彬天生具有一种直觉,能从成千上万的可能性中挑出最好的路径。他说:“那就真的是机缘巧合了,一个做搜索的公司去做杀毒软件,有先天优势。我们在搜索中先有人工智能的云端技术,再加上杀毒技术,两下合并起来,说不定搞出个核裂变。”
郑文彬一激动,顾不上腿疼,一下子站起来:“这样一来,就把人力解放出来了,我们把病毒的所有特征和指标做出来,就等于一个过滤网,无论什么软件从这里过一下,人工智能就能分析判断是不是病毒。这办法很多人想过,没在杀毒上做过,都停留在理论的阶段模型上。我们有几个亿的病毒样本数据,用人工智能调整模型,提高判对判错的能力。我看过国外一本书,说的是一位非常优秀的画家同时做顶级黑客。我觉得做安全软件一样,不仅仅是技术的事情,如果把技术思维和艺术家的奇思妙想结合起来,就会出来很新奇的点子。”
这个观点得到大家的赞同,在大家看来,病毒的发展激励着反病毒思维和技术的进步。周鸿祎说:“现在通过提前给病毒画像,病毒来了再作对比的情况就会越来越少。主动防御成为更为广泛的杀毒手段,因为病毒都有一定目的和行为,我们可以利用先进的技术分析它的行为,防御此类以及与其类似的病毒。我们的安全团队已经构建起一套自动化的病毒处理系统,大多数的病毒检测、分析和处理都能靠这套系统解决,系统由云端控制,到时候只需要升级云端就行。这样就可以省出更多的人力负责开发安全产品或者分析更为复杂的病毒。”
“站在云端俯视大地,就像雄鹰在高处,可以随时发现猎物的出现,这样可以根据病毒威胁的趋势变化,进行数据挖掘,具有实时发现、动态调整和快速剿灭的特性。”郑文彬说,“无论是快速爆发的大规模攻击威胁,还是针对特定用户的定向攻击,都可以第一时间发现并进行处理,这可以解决传统反病毒技术的时间差问题。”
“既然问题谈透了,你们这就着手去做吧!”周鸿祎一锤定音。
2008年,“云”成了IT行业最热门的名词。自从Google推出“云计算”以来,IT行业的各大厂商无一例外地卷入了一场“云的战争”。从“云计算”延展开来,很多IT厂商也根据自己所处行业的实际情况推出了相应的“云计划”。
所谓“云”,其实指的是后端(服务器端),也就是平时我们很少能够看到的那一端,正因为平时难得看到,所以有一种虚无缥缈的感觉,也许就是因为这个原因,才被称为“云”。我们平时能够看到的是什么呢,当然是自己用的电脑和手机这些东西了,也就是所谓的“客户端”。
传统的病毒查杀技术落后,是云查杀兴起的原因之一。传统的通过病毒库来识别病毒这种技术远非完美,经常会出现新病毒查不出,不是病毒却被冤枉的现象,给IT界带来很大的损失和纠纷。
云安全思维确定之后,郑文彬带领杀毒团队联手人工智能专家,很快把人工智能杀毒模型做到稳定的水平,领先于全球各大安全杀毒厂家。
云查杀是对传统安全技术杀防能力的一次解放,云查杀是在传统特征查杀的基础上,结合云计算和大数据分析,进行创新和改进。客户端收集本地样本在各个维度上的信息,发送到云端进行鉴定识别。
而发动攻击的黑客,难以快速定位安全软件的检测方式,也就无法快速进行免杀和变形。同时,识别和杀毒在云端完成,避免了传统杀毒软件将病毒数据库存储在用户计算机上所消耗的性能和存储成本。无论是快速爆发的大规模攻击威胁,还是针对特定用户的定向攻击,都可以第一时间发现并进行处理,解决了传统反病毒技术的时间差问题。
云安全打通了病毒的发现和处理两个部分的障碍。也就是说,病毒还没到电脑上呢,就在云端被识别和查杀了。等于有个孙悟空腾云驾雾,手搭凉棚给所有用户站岗放哨打妖怪。
随后,360推出了使用人工智能机器学习的方式,自动分析和鉴定恶意软件的QVM技术,并将其应用到本地防御与扫描引擎中。
人工智能技术本身并非高不可攀,但如何教会机器准确地利用人类的经验,确保在误报和漏报之间实现平衡,是基于人工智能技术的恶意软件识别能否成功的关键,也是这些探索和尝试的最大难点。而帮助郑文彬突破这一难点的关键,正是云安全技术积累的海量样本,以及通过大数据的方法对海量样本的分析和处理。
最终,借助人工智能技术,通过海量云端数据训练锻造的QVM引擎不仅针对恶意软件的检出能力远远超过绝大多数其他安全产品,在误报比率上也比传统安全软件低了很多,真正实现了高速、精准识别的目标。目前,QVM引擎的开发已经到了第三代,并被部署到了云端的自动分析系统上。
互联网安全技术正在经历颠覆与重塑,360敏锐地抓住了这样的趋势,实现了技术上的弯道超车。
沿着这个思路,360在国际上首次推出了云查杀。这款智能防御安全软件的优势在于,在病毒还没有进行破坏的时候,安全软件就发现它有问题,把它给拦住。就像大街上的万人之中有一个小偷,他没下手的时候你不能抓他,但你可以随时盯着他。只要他刚刚把手伸出来,孙悟空就在云端看到这个微小的动作,然后一棍子将妖怪撂倒在地。
无论是白帽子还是黑帽子,所有的黑客都是创造者,像建筑师、作家一样。
云查杀上线之后,郑文彬发现,有一些新出来的软件和病毒,云查杀无法分辨是好是坏,也不敢杀它,但在云端可以实时监控。如果是病毒,只要发现它做违规的操作,就立即抓住它。但另外一个问题是,如果不是病毒呢?整天监视着别人的正常软件也不是个事儿啊,尽管机器不是人,监控那么多海量的软件也累啊。
怎么处理这个问题呢?
360的解决办法是,形成独有的云安全技术体系、智能引擎和白名单收集技术。
用户屡屡中招,是因为现在的病毒更狡猾。郑文彬注意到,在此之前的杀毒模式是找到病毒后给它画个像,如果再遇到攻击,就通过启发式方法找到它。但现在的病毒木马和漏洞更复杂,只是通过画像来寻找病毒的方式落后了。
另外,层出不穷的病毒木马、漏洞在类型上也有了变化。郑文彬注意到,以前是感染性的病毒占主流,但现在窃取用户虚拟资产或网上银行的病毒木马增多,恶意流氓软件、插件、钓鱼网站越来越让用户烦心。
传统杀毒技术是基于本地病毒库来防护和查杀的,也就是俗称的黑名单。传统杀毒软件体积庞大,占用用户大量电脑资源,同时病毒库保存在用户电脑上,更新速度很慢,一旦用户忘记更新,杀毒软件基本形同虚设。这样的先天缺陷导致杀毒软件很难第一时间对付最新的木马和病毒,所以才会发生震荡波、熊猫烧香之类的大规模电脑中毒事件。用户当时的深刻感觉是花钱买了杀毒软件,不管用还导致电脑很卡。
区别于传统杀毒软件,360云安全体系在服务器上不仅有黑名单,还收集了国内最全的白名单,覆盖了99%以上网民常用的操作系统和应用软件。也就是说,只要一个文件不在白名单中,它就很可能是新的木马病毒,360云查杀引擎会限制它的敏感操作,而且尽快进行安全性鉴定,一般在30秒以内就能捕获网上新出现的木马病毒。因为大部分运算都在服务器上进行,不会像传统杀毒软件那样用起来很卡。给用户的直观感受就是杀毒软件变小了,不用总更新病毒库,但防护能力却更强了。
在360白名单机制和云查杀技术刚刚推出时,并不被业界看好,但随着360产品迅速被用户和市场接受,国内外一些老牌安全厂商纷纷开始效仿、跟随360的网络安全新理念,白名单机制和云查杀技术如今已经成为国际上安全软件的一个标配。
这不仅让中国网民率先免费享受了世界领先的安全技术,而且也是中国互联网行业罕见的引领某行业互联网产品世界潮流的成功案例。
做程序在很多人眼里是很枯燥的,但对郑文彬来说,却是一种艺术创作。技术做到一定高度,最后就变成了艺术。
2010年1月27日,360安全卫士发布第二代木马“云查杀引擎”,向各种经过“免杀处理”的木马程序全面开火。第二代云查杀引擎采用了360独创的“程序分级控制”技术,可将电脑中的所有程序按安全级别进行分级管理。该技术彻底改写了传统杀毒软件无法识别未知木马的历史,即便是那些经过免杀处理的未知木马,也难逃360的超级法眼。
所有木马都在做两件事,首先是想方设法潜入用户电脑,然后挖空心思让自己运行起来,进而盗取用户财产和隐私。传统杀毒软件对付木马的做法是一刀切,能识别的木马就杀掉,识别不了就放过,自然就漏掉了大量未知木马。而采用了程序分级控制技术的新版360云查杀引擎,不光能查杀近亿种已知木马,还能有效管理所有陌生程序的危险行为。
郑文彬说:“如果把木马比喻成藏在用户身边的炸弹,360云查杀引擎就能确保把炸弹引信拆除,让它变成不会起爆的哑弹。”
新版云查杀引擎再度通过技术创新,大幅增强了对未知木马的查杀能力,可实时秒杀所有木马、恶意软件等风险程序。
“我们不敢说能够百分之百检测一个陌生程序是不是木马,但绝对能够保证把所有木马变成无害的死马,真正保护用户的上网安全,至少现有的木马技术,还没有能突破360木马云查杀引擎的特例。”郑文彬自信地表示。
(未完待续)
(责任编辑/潍河)
