1958年,名為“思考”的IBM704成為第一臺能同人下棋的計算機,思考速度每秒200步,1983年,BELLEAT&T開發了國際象棋硬件,達到了大師水平,但是此時依然下不過頂級專業棋手。 到了1988年計算機第一次下贏特級大師后, 只有棋王能與之抗衡。 1997年后,人類再沒有下贏過計算機。未來分布式系統下,計算機的運算能力更是無懈可擊的,可見人和機的戰斗, 機器是不斷通過學習提升門檻的,最終在龐大數據支持下會戰勝人類。 這就是大數據對未來以人的思考和決策驅動的事件會有顛覆性的作用。
AV行業亦是如此。 我沒有參與過90年代江民和Kill以及后來CIH的大戰,在2000年初,不加殼的程序過金山殺毒也不是什么難事,甚至有時候不需要免殺,可以關閉殺毒軟件或者是斷網來繞過主動防御。 到了后來卡帕斯基盛行的年代,殺毒軟件力量太強大,但是誤殺率高,可以引誘殺毒軟件誤殺而對電腦造成毀滅性的打擊。 現在這個年代,很多時候加殼已經過不了主動防御了, 對手在不斷變強, 女神電腦里的艷照在某種程度上也更加安全了。
很長時間內各廠商用的都是國外的殺毒引擎,主要是因為成本, 大家都在拼命投放市場,強份額,沒辦法投入大量的研發成本去練內功。然而這兩年安全方面在政治上的需求導致國產化是廠商必須面對的問題,國家對信息安全的重視讓你不得不加大研發投入。 在這個環境下,誰在裸泳就很明顯了,而擁有大數據的公司在殺毒引擎的研發上是有天然的優勢,就像那臺下贏了國際象棋冠軍的計算機一樣,它的成功完全是依靠海量的數據和超快的計算能力。
殺毒引擎早期比拼的是技術積累,而時至今日病毒和木馬種類千變萬化,特征庫大小的比拼就變得更加重要了,這也給了國產引擎一個和國外技術掰手腕的機會。國內的廠商紛紛嘗試用自己的業務數據來做殺毒,不過有的公司早期缺乏足夠的業務數據積累,不得不一些霸道的白名單手段來做殺毒, 比如你丫未認證就先當你是病毒, 甚至如果是來自其他安全廠商的軟件二話不說就當做病毒處理,這種誤報的行為讓很多軟件開發者苦不堪言。
在目前國內的安全廠商里面,騰訊電腦管家無疑是擁有用戶特征最多的,也是誤殺率最低的自主研發殺毒引擎。這歸功于騰訊的市場占有率帶來的大數據上的優勢,由于絕大多數病毒和木馬是通過即時通訊軟件和郵箱傳播的, 無論是通過微信、QQ還是qq郵箱,這類病毒留下的蛛絲馬跡都會被殺毒引擎分析學習并記錄在特征庫里供未來的殺毒和主動防御使用。
在騰訊授權下,我在PC上做了實驗,我手上的木馬幾個變種都被Q管一一識破, 加殼后免殺可過但主動過不了(不明白關鍵詞的請百度“病毒 過主動”),說明有大量加殼過免殺的“壞人”被騰訊記錄了特征,不愧是通過8億用戶數據行為特征分析下的產品。對于冷門的詭秘的加殼木馬,目前各廠商都無可奈何,這就只能依靠下一層的風控了。另外我嘗試了幾個可疑的但是無害的軟件, 雖然各廠家都在報,但是電腦管家相對來說是誤報率低的。如果是跟即時通訊安全相關的可疑行為,那電腦管家的查殺肯定是最為精準的。 我相信目前用戶大量和互聯網交互的時間都在即時通訊上吧,所以Q管雖然離那臺戰勝人類的電腦還有距離,但是至少目前段位不夠的木馬已經難以攻破了, 而高端的攻防暫時還在人的博弈上。
通過大數據特征分析,國產殺毒引擎已經不輸給國外的產品了,我相信總有一天云殺毒在根據特征查殺木馬上可以越做越強,通過大數據和云查殺,海量的特征庫,提高免殺和過主動的門檻和成本。 不過安全是一個永無止境的話題,道高一尺魔高一丈,也許到時候安全攻防又會在另一個維度。
京公網安備 11010502049343號