齊向東盤點了計算機網絡病毒的發展歷史,將其分為三個階段:第一個階段是1987年-2000年,對應第一代網絡安全技術;第二個階段是2001年-2015年,對應第二代網絡安全技術;第三個階段是2015年之后,對應第三代網絡安全技術。
第一代網絡安全技術核心是“查黑”,黑名單機制,策略是“非黑即白”。齊向東進一步介紹,當時病毒樣本數量很小,即便到了2000年,每年病毒數量才1萬種,這種增長速度很緩慢,平均到每天高峰時也就幾百個,而且多數電腦感染之后不是立刻發作,而是滯后幾天、幾周甚至幾個月,這為查殺病毒贏得了寶貴的時間。因此,當時的應對方式是人工分析病毒的特征碼,在電腦里通過掃描文件進行匹配、查殺。
2001年以后,互聯網開始普及,出現了能自我復制、自我傳播的蠕蟲病毒。蠕蟲病毒與一般病毒最大區別在于自動掃描并利用系統漏洞和服務端口,借助互聯網、企業內網、電子郵件、網站掛馬等方式進行傳播,數十分鐘就能蔓延至全球網絡。與此同時,流氓軟件爆發,把木馬數量進一步推高到每日峰值時期的近1000萬個,導致病毒庫無法及時更新;另外,網絡病毒的傳播速度極快,傳統殺毒軟件滯后幾天、幾周才能查殺的弊端凸顯,“黑名單機制”宣告失效。
齊向東介紹說,為了解決網民安全上網難題,在2006年,360創新發明了第二代網絡安全技術“查白”,白名單機制,策略是“非白即黑”。360發揮自身是互聯網公司的優勢,把擅長的搜索引擎、云技術、人工智能等互聯網技術應用于安全領域,建立了全球最大的白名單文件數據庫。只要不在白名單中,就可能是新的木馬病毒,進而限制其敏感操作,這個方法攻克了當時黑名單瞬息萬變不可捕捉的難題。
網絡攻防的對抗性,決定了沒有攻不破的盾。隨著產業互聯網、工業互聯網和萬物互聯網快速發展,以及漏洞挖掘利用產業化,2015年前后,APT攻擊成為主流,出現了大量“白利用”攻擊手段。黑客利用已知或未知的系統漏洞,把惡意程序注入到系統白文件中,操縱系統文件對系統進行攻擊,讓安全軟件看上去是一個系統文件的正常操作,以躲避“查殺”。
“白名單機制也不再是靈丹妙藥,好比我們守著安檢門,但黑客跟隨有免檢證的人走了VIP通道。”齊向東自豪地說,360的創新基因開始發揮作用,360提出了“查行為”的第三代網絡安全技術,用數據驅動安全,不再無原則地信任白名單,而是從關注樣本黑與白上升到關注網絡行為。
齊向東表示,第三代技術突破了終端和邊界的限制,通過盡可能全地收集大數據,對每個樣本、ID、IP、流量進行計算,判斷行為是否合法,把可疑行為找出來告警,人工智能的大數據行為分析上升成為核心技術。