1989年，全球第一款殺毒軟件Mcafee誕生，距今殺毒軟件已有26年歷史，技術領域也進行了多次革新，尤其是反病毒產品的核心技術—殺毒引擎方面，也從簡單的數(shù)據匹配、識別到如今的智能判斷和分析。回首26年，殺毒引擎經歷了怎樣的演變歷程，又為我們的生活帶來了什么呢？

“殺毒引擎”到底是什么？

從技術上講，“殺毒引擎”是一套判斷特定程序行為是否為病毒程序或可疑程序的的技術機制。殺毒引擎是殺毒軟件的主要部分，是去檢測和發(fā)現(xiàn)病毒的程序。形象地說，它是殺毒產品的發(fā)動機，沒有這個發(fā)動機，反病毒產品就只是一個空殼，無法正常運轉。

一直以來，殺毒引擎核心技術掌握在德國、俄羅斯、美國等少數(shù)國家，比較知名的殺毒引擎包括俄羅斯的Dr.web(大蜘蛛)、Kaspersky(卡巴斯基)，美國的McAfee(邁克菲)、德國的AntiVir(小紅傘)，以及羅馬尼亞的BitDefender(比特梵德)等。在國內，由于技術積累和投入不夠，殺毒引擎鮮有成功者。多數(shù)廠商采用BD、卡巴和小紅傘等國外引擎自己加殼的簡單OEM方式。

隨著“去IOE”化和“棱鏡門”事件影響，國家對信息安全的重視程度提到前所未有的高度。作為信息安全的重要一環(huán)，殺毒軟件更需要做到自主可控，于是國內的安全廠商對殺毒軟件的核心技術——殺毒引擎開始全面轉向自主化。

國外“殺毒引擎”的演變

首先從國外反病毒引擎說起，在全球計算機病毒史上，曾經出現(xiàn)過兩個比較著名的人物。

一是俄羅斯的Eugene Kaspersky。1989年，Eugene Kaspersky開始研究計算機病毒現(xiàn)象。從1991年到1997年，他在俄羅斯大型計算機公司“KAMI”的信息技術中心，帶領一批助手研發(fā)出了AVP反病毒程序。Kaspersky Lab于1997年成立，Eugene Kaspersky是創(chuàng)始人之一。2000年11月，AVP更名為Kaspersky Anti-Virus。Eugene Kaspersky是計算機反病毒研究員協(xié)會(CARO)的成員，該協(xié)會的成員都是國際頂級的反病毒專家。AVP的反病毒引擎和病毒庫，一直以其嚴謹?shù)慕Y構、徹底的查殺能力為業(yè)界稱道。

另一位是Doctor Soloman。他創(chuàng)建的Doctor Soloman公司曾經是歐洲最大的反病毒企業(yè)，后來被McAfee兼并，成為最為龐大的安全托拉斯NAI的一部分。初期，McAfee與歐洲的一些殺毒軟件公司經常興起口舌之爭，但是自身殺毒引擎并不出色，于是McAfee停用自己的殺毒引擎，轉而使用收購來Doctor Soloman產品的引擎。

國內“殺毒引擎”的演變

在中國，從90年代開始至今的殺毒軟件市場，KILL一統(tǒng)天下的結局被終結后，瑞星、江民、金山等國內殺毒軟件廠商逐漸把持了大部分市場。隨后，殺毒引擎經歷幾代更迭，由最初的“特征碼殺毒引擎”發(fā)展到如今主流的“啟發(fā)式殺毒引擎”，中國網絡安全核心技術達到前所未有的高度。

第一階段：1989—90年代中期簡單特征碼殺毒引擎

病毒的發(fā)展產生了第一代的反病毒引擎--檢驗法。該方法只能判斷系統(tǒng)是否被病毒感染，并不具備病毒清除能力。不過檢驗法滋生了真正的反病毒技術王者--特征碼技術的出現(xiàn)。它屬于第二代反病毒引擎，是反病毒歷史上最耀眼的明星，它不但開了可以清除病毒的先河，也為以后反病毒技術的發(fā)展打下了堅實的基礎，時值今日，該技術仍然是反病毒軟件的主要技術，百度和騰訊所說的自主反病毒引擎，其核心也是如此。

第二階段：90年代中期—1998年廣譜特征碼技術

廣譜特征碼技術是江民公司首創(chuàng)，江民也正是靠著這個技術創(chuàng)造了昔日的輝煌。從本質上說，廣譜特征碼是一類病毒程序中通用的特征字符串。比如，有10種病毒都使用了一段相同的破壞硬盤的程序，那么把這段程序代碼提取出來作特征碼，就能達到用一個特征碼查10個病毒的功效。這個技術在一段時間內，對于處理某些變形的病毒提供了一種方法，但是也使誤報率大大增加，所以采用廣譜特征碼的技術目前已不能有效的對新病毒進行查殺，并且還可能把正規(guī)程序當作病毒誤報給用戶。

第三階段：1998—2007年啟發(fā)式殺毒引擎

特征碼殺毒引擎開啟的基于特征碼，對病毒進行查殺比對，實時攔截查殺的技術至今仍是殺毒引擎賴以工作的基本原理。但這種技術也有一個缺陷，就是所有特征碼必須讀到電腦內存中，而且還只能對已知病毒進行查殺。這對互聯(lián)網迅速發(fā)展，各種新式病毒層出的時代是不足以維護網絡安全的。于是一種通過行為判斷、文件結構分析等手段，在較少依賴特征庫的情況下能夠查殺未知的木馬病毒的新技術——“啟發(fā)式殺毒引擎”應運而生。

第四階段：2008—2010年云查殺引擎

隨著互聯(lián)網爆炸式的發(fā)展，病毒也開始以一種網絡化的速度瘋狂發(fā)展，以灰鴿子、熊貓燒香為代表的網絡病毒開始泛濫，正式揭開了病毒網絡化發(fā)展的序幕，云安全概念也在這個時期得到廣泛應用，而提前嗅到其價值的是趨勢科技，全球首家推出了云安全體系，隨后瑞星跟隨，成為國內第一家云安全體系的締造者。

雖然瑞星、金山都擁有云安全體系，但是有錢有客戶的360很快就占了上風，坐上了世界第一大云安全體系的交椅，而此時，江民已經完全喪失了建云安全體系的能力，騰訊則剛開始通過安全管家鋪它的樣本采集渠道，而百度則還沒有進入安全領域。

第五個階段：2010年—至今人工智能引擎QVM

2010年11月，360向業(yè)界公布了第七代反病毒引擎—人工智能引擎QVM，QVM是Qihoo Support Vector Machine的縮寫，中文意思是奇虎支持向量機，它是在Vapnik著作的機器學習經典《Statistical Learning Theory》中的理論基礎上進行了創(chuàng)新，首次將機器學習的理論用于未知病毒識別。

它的技術原理是先通過對病毒樣本的分析和分類形成樣本向量和向量機，然后建立一個機器學習的決策機模型，利用決策樹和向量機對大量樣本進行學習，從而識別惡意程序或非惡意程序。隨著學習樣本數(shù)量的增加，再配合白名單，就能夠在識別未知惡意程序的同時，降低誤報，使未知病毒識別技術真正商用。

未來：人工智能引擎引領未來

360在殺毒引擎核心技術領域所取得的成績，給騰訊、百度等國內互聯(lián)網公司以啟示。經過多年的研發(fā)，騰訊和百度也相繼推出了自主反病毒引擎TAV和雪狼，但都是以智能為旗號，使用的是瑞星和江民時代的第一代引擎技術，也就是“特征碼殺毒引擎”，在3代引擎已經成熟商業(yè)化的時候，TAV和雪狼引擎尚處于第一代到第二代的過渡過程。

不同的時代有不同的技術，殺毒引擎的變遷，可以說是一段病毒的發(fā)展歷史，正是由于病毒不斷更新、不斷變種，推動了反病毒產品的不斷革新、不斷升級。隨著網絡技術安全的日新月異的變化，原有的安全技術體系已經基本失效，需要新的技術提升來應對復雜的安全變革，而360人工智能引擎或引領未來安全技術發(fā)展方向。