彭仁诚阐述云查杀误区(1)

　　主持人：感谢陈睿精彩演讲，下面请金山互联网安全中心的云查杀项目经理彭仁诚给大家分享下金山毒霸云查杀的前瞻性研究。

　　彭仁诚：大家上午好，我今天想跟大家说一下我们在互联网安全方面的一些误区，后面会说一些我们的使命。第一个误区，就是我们只做用户想要的产品，这个听起来很有道理，大家可以分析一下这个道理，一般说这个观点，大家就说一切从用户出发，用户想要什么我们就做什么，我们一定是全心全意关注用户，这个感觉非常好，给用户一个安全的感觉，我特意强调一个安全感，大家可以看到，跟真正的安全可能是有区别的。在这种观念之下，可能大部分的厂商会在感觉上面下很多工夫，这样在功能、交互、界面投入方面大于核心技术投入，这是这种观念之下的做法。

　　那么真实情况是什么样的呢，我们可以分析一下，用户为什么要用杀毒软件，是很好玩，还是用杀毒软件可以赚钱？其实不是，用户其实是被迫的，我真的是被迫的，我机器被病毒搞定了，我只好用杀毒软件了。所以从这个角度来说，用户根本需求还是安全，并不是说你给它一种感觉，这像一个医院一样，一个病人到你医院里来，最关键还是治好病，但是感觉就是什么呢？就是我到医院里有一个漂亮的导游，帮我去各个部门，这个感觉就非常好。

　　那么既然用户根本需求是安全的时候，安全本身就像医生一样，是有技术的，是有经验积累的，是必须专业的，大家都知道医生本科是五年，这就是专业性，积累。但是同时我们也认识到安全的企业也很重要，也就是说我们医院开的再好，病人过来的时候很麻烦，自己找很多部门，也很麻烦，所以我们也是说安全体验很重要，但是安全是根本。

　　说一下我们金山这边的思路，第一个方面，我们非常强调杀毒技术的深入研究，从这个角度来说，我们十年积累并不是一句话而已，后面我们会展示我们技术成果。另外一个方面，我们也会对用户体验进行持续改进，这两种过程都是通过运营的模式。怎么说，杀毒技术的研究，这种技术本身是否是好的，是否是实用的，如何去运用，这实际上是通过我们把互联网一些跟技术上相关的数据搜集过来之后经过分析不断改进的。所以金山在杀毒这方面的思路可以归结成一句话，两手抓，两手都要硬。

　　第二个误区，杀毒软件都是传统的，传统都是落后的，这个可能大家从小教育就是这样，万恶的封建社会，传统的怎么怎么，好象一切要反传统。那么这个观点是什么样的呢？目前杀软还是使用病毒库升级模式，十年没有变化，很传统，存在问题太多了，有升级问题，有病毒库的问题，没有变化，太传统了，传统的就是落后的，所以注定是要没落的，所以这样推论就出来了，现有杀软一定是没落的。

　　但实际情况呢，我们看一下，信息安全的源头到底是什么，一个方面，病毒从有计算之后不久就发生了，在中国也有很长的发展时间，刚才陈睿说了病毒发展历史，以前可能是病毒作者专门做一些事情，个人行为、技术炫耀，现在形成很完善产业链，分工非常明确，各跟各的，他们传播，技术分工都是非常明确的，病毒本身的技术也是不断发展的，有很多新病毒出现，同时对病毒的技术也不断变化。那么对应过来，有病毒就有杀毒软件，有病毒产业链，我们就有反病毒厂商，有病毒技术就是反病毒技术。所以这个源头是对抗，是刚开始发展到以后，一直都是对抗。

　　那我们再看杀软的情况，左边是病毒技术，病毒技术专业化分工，特征免杀技术，海量样本，这也是技术来的，我们发现我们经过对海量样本分析之后，海量样本里包含的病毒总例并不像样本数那样海量，为什么样本那么多呢？其实是一些免杀加上变形技术造成这样病毒技术不断的改变和发展。另外一方面，我们杀软也是在不断变化，我们专业化分工之后，会对产业链进行详细分析，对引擎技术进行持续改进，有云端技术的发展。这里最后的结论就是说，杀毒软件一直在改变，并不是传统的再一个点那里做，并不是大家觉得杀软是那么没出息的做事情，杀毒技术一直在积累。一个结论，就是信息安全行业没有后发优势，不可能你新开一个医院，你买来一个新的仪器，你就可以对全世界说，我这个仪器非常先进，我一定就比所有人好，这是不存在的，信息安全行业一定是有积累的，没有后发优势。

　　金山有一个思路就是，传统的杀毒技术，我强调技术，并不是应用模式，它的技术是要持续研发改进，我后面会例举到一些改进，第二个互联网化，我们毒霸实际上在中国是最早做的，04、05年就开始做这个事情，现在也是一直在持续，另外传统技术的新应用，这几个加在一起，就出现了我们的云查杀，或者说不管是云查杀，应该说是云安全，云查杀只是一个应用。

　　误区三，现在提提云安全提乱了，大家都在提云安全，所有杀毒厂商都在定义，但是现在大家都在探索，有一种简单的定义方式就是说，把病毒库，特征库放到服务器端就是云查杀，就是云安全了，就可以解决所有问题了，大家可以看到这个观点本身，刚才所说的误区，什么是云查杀，这就是云查杀，本地发生一个样本，然后到互联网查这个特征有没有，没有上报，后面有一个系统，然后下拉做处理，处理完了之后再把特征放到互联网上去，所谓的升级，这个时候客户端就可以查到了。

　　实际情况呢，很简单说，刚才所说的是云安全一个部分，并不是简单一个方法可以解决所有问题，是一个技术体系，我这边画的比较简单，是示意图，我们终端用户通过互联网做的时候，有一个样本收集系统，也有一个特征发布系统，跟刚才相类似。但是，表面上看是类似，但是我们最关键的是后面必须有一个很强大的后台，而现在现有的杀软本身，大家有点鉴定技术一大抄的感觉。简而言之，这是一个技术体系，并不是做了一个技术点就可以解决所有问题，必须所有点都做好才可以真正解决问题。

　　这些技术点的关键有哪些呢？一个是鉴定技术，刚才陈睿说到鉴定方面，说人其实不可能看那么多样本，那怎么办呢？刚才也说了宏观统计，我们看宏观统计方面本身也是鉴定技术之一，云端的核心鉴定技术，这个是云查杀最核心点，如果没有这个，面对海量样本直接就是乱了。

　　第二个特征匹配模式，现有云查杀在我们分析过程当中，其实我们07年底发布了可信认证，当时那个技术我们内部称之为一代云安全技术，我收集到一个样本，客户端查询的时候只有唯一的样本，这是一代云安全卫士，这个时候做的事情是搜集证据。

　　第三个是精确样本收集，海量样本本身，互联网上有很多海量样本，上千万的样本数，但是这些里边真正有用的，代表一个类别的病毒到底有多少，我们可不可以比较精确的把这几个拿出来，利用我们前面的特征模式就可以搞定呢，在这种情况下，甚至可以加大对抗的门槛，我们可以查杀更多未知病毒，可不可以这样呢？这就需要我们精确的样本收集技术，可以很好的收集到真正有用的样本。

　　最后一个，快速响应速度，现在大家都提的比较多，这个是下下策，就是用户已经中了病毒我们给你搞定，已经到了客户端了。这几个都是关键点。