1958年,名为“思考”的IBM704成为第一台能同人下棋的计算机,思考速度每秒200步,1983年,BELLEAT&T开发了国际象棋硬件,达到了大师水平,但是此时依然下不过顶级专业棋手。 到了1988年计算机第一次下赢特级大师后, 只有棋王能与之抗衡。 1997年后,人类再没有下赢过计算机。未来分布式系统下,计算机的运算能力更是无懈可击的,可见人和机的战斗, 机器是不断通过学习提升门槛的,最终在庞大数据支持下会战胜人类。 这就是大数据对未来以人的思考和决策驱动的事件会有颠覆性的作用。
AV行业亦是如此。 我没有参与过90年代江民和Kill以及后来CIH的大战,在2000年初,不加壳的程序过金山杀毒也不是什么难事,甚至有时候不需要免杀,可以关闭杀毒软件或者是断网来绕过主动防御。 到了后来卡帕斯基盛行的年代,杀毒软件力量太强大,但是误杀率高,可以引诱杀毒软件误杀而对电脑造成毁灭性的打击。 现在这个年代,很多时候加壳已经过不了主动防御了, 对手在不断变强, 女神电脑里的艳照在某种程度上也更加安全了。
很长时间内各厂商用的都是国外的杀毒引擎,主要是因为成本, 大家都在拼命投放市场,强份额,没办法投入大量的研发成本去练内功。然而这两年安全方面在政治上的需求导致国产化是厂商必须面对的问题,国家对信息安全的重视让你不得不加大研发投入。 在这个环境下,谁在裸泳就很明显了,而拥有大数据的公司在杀毒引擎的研发上是有天然的优势,就像那台下赢了国际象棋冠军的计算机一样,它的成功完全是依靠海量的数据和超快的计算能力。
杀毒引擎早期比拼的是技术积累,而时至今日病毒和木马种类千变万化,特征库大小的比拼就变得更加重要了,这也给了国产引擎一个和国外技术掰手腕的机会。国内的厂商纷纷尝试用自己的业务数据来做杀毒,不过有的公司早期缺乏足够的业务数据积累,不得不一些霸道的白名单手段来做杀毒, 比如你丫未认证就先当你是病毒, 甚至如果是来自其他安全厂商的软件二话不说就当做病毒处理,这种误报的行为让很多软件开发者苦不堪言。
在目前国内的安全厂商里面,腾讯电脑管家无疑是拥有用户特征最多的,也是误杀率最低的自主研发杀毒引擎。这归功于腾讯的市场占有率带来的大数据上的优势,由于绝大多数病毒和木马是通过即时通讯软件和邮箱传播的, 无论是通过微信、QQ还是qq邮箱,这类病毒留下的蛛丝马迹都会被杀毒引擎分析学习并记录在特征库里供未来的杀毒和主动防御使用。
在腾讯授权下,我在PC上做了实验,我手上的木马几个变种都被Q管一一识破, 加壳后免杀可过但主动过不了(不明白关键词的请百度“病毒 过主动”),说明有大量加壳过免杀的“坏人”被腾讯记录了特征,不愧是通过8亿用户数据行为特征分析下的产品。对于冷门的诡秘的加壳木马,目前各厂商都无可奈何,这就只能依靠下一层的风控了。另外我尝试了几个可疑的但是无害的软件, 虽然各厂家都在报,但是电脑管家相对来说是误报率低的。如果是跟即时通讯安全相关的可疑行为,那电脑管家的查杀肯定是最为精准的。 我相信目前用户大量和互联网交互的时间都在即时通讯上吧,所以Q管虽然离那台战胜人类的电脑还有距离,但是至少目前段位不够的木马已经难以攻破了, 而高端的攻防暂时还在人的博弈上。
通过大数据特征分析,国产杀毒引擎已经不输给国外的产品了,我相信总有一天云杀毒在根据特征查杀木马上可以越做越强,通过大数据和云查杀,海量的特征库,提高免杀和过主动的门槛和成本。 不过安全是一个永无止境的话题,道高一尺魔高一丈,也许到时候安全攻防又会在另一个维度。