今天，信息安全從原來的小眾領域已經變成大眾話題，信息安全也從純軟件領域衍生到了硬件領域。隨著物聯網的發展，萬物互聯的時代已經來臨，IPV6讓網絡化成為所有設備的基本屬性、而安全則象空氣一樣無所不在，成為整個信息行業需要解決的首要命題。

當1990年錢學森提出復雜巨系統理論時，所有人只是意識到復雜巨系統的不可統計性，但是網絡的發展已然大大超出我們的想像。企業試圖通過封閉邊界來閉環自己的網絡，形成孤島式的安全，然而智能設備的發展、移動互聯與無線設備的普及使得企業邊界不斷被突破，無邊界網絡已經成為信息世界的基本形態。

互聯網本來與安全毫不相干，無論互聯網企業還是互聯網模式都沒有把安全放在眼里，安全只是一塊人人都知道但不想耕耘的土地，然而病毒在2007年爆發式的增長，600萬樣本的增量，即將把安全帶入一個無底深淵時，基于互聯網思想的云安全則適時拯救了整個安全，也讓互聯網與安全兩個判若水火的領域相互成為對方的基本屬性。

互聯網改變了病毒發展路

安全領域從一開始就被不同的文化細分成兩個世界：病毒世界和黑客世界。雖然以UNIX操作系統核心技術為主的黑客活動最早出現在1972年，但是黑客技術的發展卻是十分小眾的。黑客攻擊往往是個人行為，需要依靠高超的技術和不斷滲透的耐心，找到系統弱點，然后一擊命中，這種過程漫長而且無法大量復制，因此很長一段時間，黑客就象游俠一樣，曲高而和寡，一直是黑暗世界的非主流。

計算機病毒則不一樣，1949年計算機之父馮·諾依曼在《復雜自動機組織論》定義了計算機病毒的概念，即一種能夠實際復制自身的自動機，1960年貝爾實驗室的磁芯大戰則在實驗室環境下驗證了計算機病毒的存在。就象各種病毒災難片那樣，1985年，一對巴基斯坦兄弟打開了計算機病毒的潘多拉盒子，第一個計算機病毒大腦誕生，從此計算機病毒開始正式登上舞臺，上演了轟轟烈烈的近三十年的魔道之爭的故事。

1989年，小球病毒正式登陸中國，成為中國第一個出現的病毒;DIRII病毒，在第一個擊穿硬件防病毒卡的同時也毀掉了這個產業，卻從此奠定了反病毒產品的軟件形態，一直延續至今。CIH，讓我們首次見識了破壞硬件的病毒，也打破了保護模式不可攻破的神話，并且掀起了WINDOWS病毒的風潮，從此病毒進入高速發展期。宏病毒、腳本病毒、郵件病毒、網絡病毒、復合病毒等各種高級形態的病毒不斷產生，病毒技術也不斷進步。扇區感染、文件感染、內存感染、多平臺感染，病毒通過不斷變化的技術繁衍著自己，到2005年，全球病毒樣本已達40萬種，而后，隨著互聯網爆炸式的發展，病毒也開始以一種網絡化的速度瘋狂發展，以灰鴿子、熊貓燒香為代表的網絡病毒開始泛濫，正式揭開了病毒網絡化發展的序幕，截止到2008年，全球病毒樣本已經達到8000萬種，當時這個數字已經是天文數字，然而到了2012年，全球病毒樣本已經達到60億個。至此以后，病毒不再以年為單位來計算數量，而是以天為單位，2013年，平均每天有515萬個惡意樣本誕生，而到了2014年上半年，平均每天新增的惡意程序樣本超過了850萬個。

殺毒軟件與病毒無休止的對抗

行業的發展是一個在不斷試錯中梳理的過程，安全行業里沒有絕對的規則，也沒有守恒的定律，唯一不變的就是對抗，病毒和黑客的發展是不斷與操作系統對抗的結果，而安全的發展則是不斷與病毒和黑客對抗的結果。

病毒出現了，就出現了殺毒軟件，由于病毒個數較少，殺毒軟件就是多個病毒清除指令的集合。但隨著病毒數量的增多，為了提高殺毒效率，病毒通用特征庫和病毒引擎的概念就出現了;為了對付感染扇區的病毒，防毒卡就出現了;為了對付內存駐留的病毒，內存掃描技術就出現了;由于病毒要通過設置標志位來避免重復感染，做到更好地隱藏自己，因此通過主動設置標志位的病毒免疫技術就出現了。

當WINDOWS病毒泛濫時，WINDOWS版本的安全軟件開始出現。當大文件出現時，基于程序格式判斷的預處理技術與基于入口點特征碼技術就成為了安全技術的標準。當病毒除了傳播還產生大量其它伴隨文件時，后處理體系就出現了;隨著用戶的參與，配置體系出現了;如今一個商用的安全軟件都遵循主程序、引擎、特征庫、配置分離的結構，沒有誰定標準，但是大家不約而同地一致，因為要想真正有效地與病毒對抗，這是最好的結構。

感染式病毒大量的出現產生了內存監控技術;文件病毒的出現產生了文件監控技術;隨著不同種類病毒的出現，病毒監控體系也形成了如內存監控、文件監控、郵件監控、病毒防火墻、主動防御等一個龐大的體系。而此時，面對黑客的大量攻擊，也產生了IDS、IPS等網絡防護技術。

病毒數量的進一步激增，對“捕獲—分析—升級”的傳統三段式安全體系產生了巨大的沖擊，于是未知病毒識別技術產生了，從啟發式、反病毒虛擬機、再到360 的QVM，未知病毒技術也經歷了一個并不短的過程。啟發式反病毒技術是借鑒了病毒特征庫的思想，將病毒的行為也形成一個經典指令集的數據庫，可以識別一些采用類似指令編碼的未捕獲的病毒。反病毒虛擬機則是虛擬了一個CPU和內存，并且模擬了一套X86的指令集和WINDOWS API指令集，將文件放在這個虛擬的CPU和內存中執行，不用真實運行，就可以判斷該文件是否是病毒。

QVM則是未知病毒識別領域的又一個突破，它將人工智能技術應用于病毒識別的過程當中，首先通過對病毒樣本的分析和分類形成樣本向量和向量機，然后建立一個機器學習的決策機模型，利用決策樹和向量機，對大量樣本進行學習，從而識別惡意程序或非惡意程序。隨著學習樣本數量的增加，再配合白名單，就能夠在識別未知惡意程序的同時，降低誤報，使未知病毒識別技術真正商用。

云安全是互聯網對安全技術的一次顛覆

幾十億樣本的龐大規模和每天幾十萬種病毒產生的速度，徹底擊穿了傳統的樣本分析體系，無論多么有實力的安全公司也無法提供與病毒數量相匹配的樣本分析人員，安全領域即將迎來一次真正的危機。這時云計算出現了，全新的思維模式滋生了云安全體系，而云安全體系則拯救了整個安全。

云安全體系雖然來到世上的時間并不長，但是也經歷了幾個發展階段。最初的云安全體系是以網絡爬蟲為基礎，遍歷互聯網內容，用文件信譽、郵件信譽和URL信譽來對整個信息世界進行安全判定。接下來云安全體系變成了以軟件客戶端收集用戶電腦上的可疑樣本，上報到云端樣本分析系統進行自動分析，然后將分析的結果形成特征庫再下放到客戶端的一個基于個人PC與云端PC的閉合的樣本收集和分析體系，取之于民用之于民。如今的云安全體系在用戶樣本上報和樣本分析的閉環系統中又加入了云查殺引擎的概念，所有特征庫不再下放，而是直接存在云端，通過云端鑒定的方式來進行信息的安全識別。

云安全是一個顛覆式創新的技術，它的出現，不但拯救了整個安全，也拯救了整個互聯網。在云安全體系出現之前，所有病毒的識別都是基于對文件格式的解析，通過反病毒引擎和反病毒特征碼協同工作來對樣本進行安全判定，樣本的分析、特征庫的積累、引擎的開發，在十幾年的發展過程中已經形成很高的壁壘，所有的互聯網公司都無法在短時間內叩開安全的大門，而此時后進者開始嘗試以文件哈希的方法來代替傳統的特征碼技術。文件哈希技術就象指紋一樣可以唯一標識樣本，但是只要目標文件改動一個字節，也會導致文件的哈希值產生極大的變動，這會使哈希特征庫在短時間迅速增大，最終使用戶電腦無法承受，因此在傳統安全領域，這種技術雖然可以避開傳統反病毒引擎技術和特征碼的積累，但是還是相當落后的。

云安全的出現很好地解決了兩個矛盾，一是解決了無限增長的特征庫與用戶電腦資源不增長的矛盾，把特征庫放在云端，極大地降低了本地資源占用。另一個是解決了傳統特征碼技術與自動化分析之間的矛盾。傳統特征碼技術基于人工分析，可以一條特征匹配多條樣本，一條優質的特征碼往往可以匹配上百萬的樣本，這無疑極大地降低了特征庫增長的速度，但是這種技術是基于文件的個體分析，無法讓機器自動化處理。而哈希技術卻由于不依賴于樣本自身的結構，可以自動化處理，曾被認為是一種落后的技術，但在云安全體系里，卻成了唯一的樣本判定技術，而云鑒定也不再依賴樣本的上傳，只要上傳十幾個字節的哈希值就能對文件進行快速鑒定，擁有極高的效率。

360總裁齊向東曾經說過：云安全以一種網絡化的分析手段來對抗網絡化的威脅產生，形成了一個正向的生態鏈，360正是依靠這樣的一個體系，獲得了60億的樣本，成為全球規模最大的云安全系統。雖然病毒樣本會不斷產生，但是隨著云安全規模的不斷擴大，病毒會以更快的速度消亡。

“木桶”體系堵住安全最短板

隨著網絡的無邊界化和數據爆炸式的增長，網絡安全問題也越來越嚴峻。同時，“棱鏡門”事件揭露了網絡數據被監聽的事實，暴露出國家安全、網絡安全的嚴峻形勢。無論數據被惡意代碼破壞，還是被黑客監聽，最終都使安全問題回歸到了安全體系如何建設這樣的根本命題上來。

安全體系的建議也經歷了幾個階段，早期安全體系建設的核心思想是基于安全策略(Policy)、防護(Protection)、檢測(Detection)和響應(Response)的P2DR體系，該體系的好處是基于風險評估理論，將安全看做一個動態的整體，通過策略與響應來使得安全問題形成閉環，但是該安全體系并沒有對安全威脅的本質進行分析，是安全體系的初級階段產物。

隨著安全威脅的不斷發展和對安全理解的不斷加深，人們開始對安全本質進行思考，出現了基于木桶原理的安全防護體系。木桶原理簡單的說就是整個系統的安全系數取決于最弱一環，因此整個安全體系的建設就是尋找整個網絡的所有安全邊界，然后將這些安全邊界進行防護。傳統的安全防護思想就是基于木桶理論為用戶構建一個完整的線式防御體系，但是攻擊卻是點式的，任何一點被攻陷，整個安全體系就會崩潰，因此基于木桶理論的基礎，安全體系建設的成本將會極其昂貴。

事實上，木桶理論雖然希望安全形成一個完整的體系，但是由于終端安全和邊界安全廠商的對立，這兩種安全事實上也處于割裂狀態，并沒有形成一個完整的整體。 360提出的云+端+邊界的安全模型，則很好地解決了這一安全被割裂的問題。整個體系包括云安全平臺、邊界安全和終端安全三個關鍵部分。云安全平臺是指基于云計算技術構建的安全威脅捕獲和分析平臺，分為公有云和私有云兩部分。在互聯網環境下，使用公有云，對于隔離網環境，則使用私有云。邊界安全是指基于網絡邊界的威脅發現技術。終端安全是指基于云安全技術的終端的安全管理與防護系統。三者互相協同，為企業環境建立一個生態的安全系統。