四、重生，安全技术革命

矛与盾总是相伴而生的。网络攻击技术的不断发展，也促进了网络安全技术的不断发展与变革。

（一）三次革命：杀毒技术的飞跃

1．第一代：特征码引擎

1989年，全球第一款杀毒软件McAfee在美国诞生，由此开启了以特征码技术为核心的反病毒引擎时代。所谓特征码，是指病毒分析工程师从病毒程序中找出的，与正常软件不同的，并截取出来的一段类似于“关键词”的程序代码。

特征码引擎的基本原理就是“杀毒引擎 + 特征码匹配”。杀毒引擎是枪，特征码是子弹，子弹越多，能杀的病毒就越多。而由大量病毒样本的特征码组成的数据库，就是病毒特征库。计算机启动后，杀毒引擎会使用特征库的特征码与计算机上的文件或程序进行匹配，如果发现文件程序代码被“关键词”命中，就把这个文件或程序判定为病毒，然后报警和拦截。

特征库匹配是查杀已知病毒很有效的一项技术，现代杀毒软件也普遍使用特征码引擎。但是这项技术也存在一些明显的局限性：

① 对新病毒或未知病毒往往无能为力，加之病毒特征库更新周期较长，所以很容易被新出现不久的木马病毒攻破；

② 特征码的分析与收集几乎完全依靠人力，很难适应木马病毒数量的快速增长；

③ 病毒特征库的规模会随着时间的推移近乎无限增长，从而导致计算机运行速度越来越慢；

④ 在特征库已知的情况下，攻击者可以通过编写不含“关键词”，即特征码的病毒程序，来绕过杀毒软件的查杀，这也就是所谓的“免杀技术”。

所以，尽管特征码技术今天仍然在使用，但已经很难单独有效发挥作用。

2．第二代：云查杀与白名单

2000年以后，随着互联网的发展，病毒木马开始以一种网络化的速度疯狂发展，以灰鸽子、熊猫烧香为代表的网络病毒开始泛滥，正式揭开了病毒网络化发展的序幕，传统的本地特征码杀毒引擎难以应对，从而使“云安全”技术有了应用的基础。

2009年9月，“云查杀引擎”在国内面世，用户无须升级木马库就能查杀木马，安全软件正式开启了“0升级”模式，打破了杀毒行业20多年的常规模式。所谓云查杀，即杀毒厂商在服务器端更新病毒特征库，将原本在用户本机进行的特征比对过程搬到服务器端，而用户只需要一根网线就能得到高效的安全服务。

云查杀技术的出现彻底解放了个人计算机的系统资源，杀毒软件从此开始变得轻和小——存储空间从几GB（包括病毒特征库）瘦身到100～200MB，而且运行速度大幅提高。

几乎与云查杀技术同时出现的另一种新型安全技术就是白名单技术。以往杀毒软件都是按照“非黑即白”的方法，即只要不是已知病毒就不予查杀；但实际上，如果能够全面地收集正常软件的样本，即软件白名单，也同样可以采用“非白即黑”的方式杀毒。非白即黑的优点在于，几乎是“绝对安全”的，缺点在于，如果白名单收集不全就可能造成大量的误杀。

白名单的技术设想很早就出现了，但在云查杀技术出现以前，白名单的收集和检索一直没有找到可行的有效方法，所以也一直没有被杀毒软件采用。但云查杀技术出现以后，在互联网技术框架下，白名单的收集和检索变得十分高效。如360的云查杀样本库中，就收集了国内外海量的白名单，并且会实时更新，覆盖99%以上网民常用的操作系统和应用软件。借此采取“白名单”机制进行病毒查杀，进一步提高病毒查杀的效率和准确率。

3．第三代：大数据与人工智能

进入21世纪的第二个十年，以大数据和人工智能技术为代表的第三代反病毒技术逐渐成为主流。其中，QVM是全球首款完全基于人工智能技术开发的杀毒引擎。实验表明，在病毒特征库6个月不更新的情况下，传统的特征码杀毒引擎对新病毒的检出率会逐步下降到20%左右，而QVM引擎则仍然保持在90%以上。

与传统的特征码技术不同，基于人工智能的杀毒引擎，并不是通过人工分析选取的程序特征代码来鉴别病毒的，而是首先对程序文件建立数学模型，之后提取程序文件的多种维度的数学特征和代码特征（即向量机），再通过机器训练和机器学习形成判别规则，进而能够自主判断一个程序的哪些特征组合是有害的，哪些是无害的。有害的就是病毒。

也就是说，在传统的特征码杀毒引擎中，一个特征码一定代表着一种不寻常的或恶意的行为。而在人工智能杀毒引擎中，提取出来的程序文件特征本身只是一个数据向量而已，并不一定代表有害或无害，甚至单个特征可能都没有任何实际意义。只有当某些特定的特征组合出现时，才会被引擎判定为有害。

而人工智能杀毒引擎判定程序文件是有害或无害的具体规则也不是由工程师人为设定的，而是工程师用海量黑、白样本对杀毒引擎进行训练的自然结果——工程师只需要告诉杀毒引擎的训练程序，在参与训练的样本文件中，哪些是黑的，哪些是白的，之后就由杀毒引擎自己去“学习”和“思考”如何建立恰当的规则来分辨黑白。

人工智能杀毒引擎将安全工程师们从海量样本特征提取的繁重工作中解救出来，同时也使病毒的“免杀”变得越来越困难。这一方面是因为人工智能杀毒引擎的特征识别规则会根据“训练”样本集的不同而不断变化，难以预测；另一方面也是因为人工智能杀毒引擎提取的程序特征并不一定具有“实际”语意，这也就使免杀代码的构造往往无从下手。

大数据技术应用在反病毒领域，使得安全工作者对于未知病毒检测、新型木马发现的能力上升到了一个前所未有的高度。前述的各种反病毒技术基本上都是基于病毒本身的代码特征来识别的；而大数据安全技术则是将恶意程序与其他多种相关因素关联起来进行分析，如恶意网址、用户特征、攻击者画像、DNS解析记录、恶意手机号码等。

例如，我们发现某个恶意程序与某个IP上的恶意服务器进行通信，那么，通过大数据检索，找到与该恶意服务器进行通信的所有其他程序，都有可能是恶意程序；再比如，已知某个攻击者使用一个邮箱注册了一个木马下载网站，那么，通过大数据检索，找到整个互联网上使用同一邮箱注册的所有其他网站也都有可能存在木马。

使用类似的方法，安全工程师就有可能从一点线索出发，追踪截获一组未知的恶意程序。甚至经常会出现这样的情况：木马作者刚刚上传一个木马，杀毒引擎就已经将其收录进了黑名单。

（二）环境的净化：第三方打补丁技术

在第三方打补丁技术出现之前，个人计算机普遍存在安全漏洞，从而导致很多杀毒软件都形同虚设。因为计算机漏洞的存在，意味着病毒可以获得某种“许可”或“通行证”，越过安全软件的检查直接感染计算机设备。这就是早期计算机设备频繁中毒的根本原因之一。如冲击波、震荡波等蠕虫病毒，使当时国内80%以上的Windows用户计算机深受其害。

早期的Windows操作系统并没有自动更新功能。用户只能手动登录微软在美国的官方网站进行漏洞监测，不仅速度慢，而且很不方便。这也是当时在全球范围内，个人计算机普遍不打补丁的主要原因。后来，虽然微软推出了“Windows自动更新”功能，但存在下载速度慢、安装体验差等问题。此外，由于国内大量网民使用第三方修改版的Windows操作系统，很多补丁难以直接安装，从而进一步加剧了计算机的安全漏洞问题。

国内安全厂商创新性地将“修复漏洞”集成到安全软件中，使这些问题得以解决。第三方漏洞库补丁不仅包括微软官方补丁，还有多款第三方流行软件的漏洞补丁，有效遏制了木马病毒的传播和泛滥。以360公司为例，其为用户提供了自定义修复的策略，在用户下载安装微软官方补丁失败后，能够自动下载360公司的修复包进行安装，成功率达到99%以上。

这项技术推出后，安全效果十分明显，因此国内外的安全软件纷纷效仿，开始为用户提供漏洞检测和修复功能。现如今，第三方打补丁技术已经成为全球安全软件的标配模块。而在“修复漏洞”功能的保护下，木马病毒再也无法肆意通过漏洞大规模传播。中国互联网安全防御基础也已超越互联网发达国家。

（三）防线的前推：安全浏览器的诞生

2008年前后，网站挂马现象泛滥，日常生活中越来越多的常用网站被黑客恶意挂马。所谓挂马，就是网站页面上存在恶意代码，用户使用有漏洞的浏览器浏览这些网页时，计算机就会中毒。而当时国内普及的IE 6浏览器存在部分漏洞，缺乏安全防护功能，致使超过90% 的木马、病毒经由网页传播，浏览器日渐成为病毒木马的主要传播入口。

例如，2007年肆虐网络的机器狗木马就是通过网页传播的，其可以穿透各种还原软件与硬件还原卡，即使计算机系统还原后木马还是存在，致使当时国内大量网吧的计算机中招瘫痪。

作为网络世界的“第一入口”，浏览器的安全性日益成为网民需求中的“重中之重”。2008年4月30日，主打安全的浏览器在国内诞生。区别于传统浏览器，安全浏览器的“安全”体现在以下三个方面：第一，基于海量云端恶意样本库，可以实时检测网址安全性；第二，安全浏览器具备系统级的安全机制，通过数据执行保护（DEP）、地址空间随机化（ASL）等技术手段，使漏洞被利用的难度越来越高；第三，引入沙箱技术，创建隔离模式，即使网民浏览了挂马网页，也不会对系统安全造成任何影响。

所谓“隔离模式”，就是在计算机里建立一个虚拟空间，将带有木马的网页封闭在这个环境中进行浏览，使网页中的木马无法接触真实的计算机系统，从而避免对计算机系统的攻击。好比是在医院建立了一个与外界完全隔绝的无菌操作室，在里面的所有带菌操作，都不会对外界产生任何影响。随着国内安全浏览器的普及，沙箱技术逐步成为全球各大浏览器的标配。

（四）颠覆式创新：免费安全的新时代

2008年以前，正版杀毒软件动辄两三百元一套，价格居高不下，只有少部分网民有意愿、有能力购买，绝大多数网民的计算机要么“裸奔”，要么安装盗版杀毒软件，市场上正版杀毒软件的普及率不及30%。同时，盗版杀毒软件又无法更新病毒库，一旦新病毒出现就形同虚设，这导致病毒、木马、钓鱼欺诈等肆虐，危害用户计算机安全。

2009年10月21日，360免费杀毒正式版推出，仅3个月用户总数就超过1亿，被业内人士形容为杀毒市场的一条“大鲶鱼”，激活了原本一潭死水的传统杀毒行业。免费安全颠覆了传统安全软件的付费模式，迎合了市场需求，深受用户欢迎，同时也引发了安全领域的诸多纷争。

根据艾瑞统计显示，截至2010年5月底，360免费杀毒的市场覆盖率超过51%。在短短8个月内，用户总数突破2亿大关，改写了中国杀毒行业旧格局，免费杀毒成为个人用户市场的绝对主流。趋势科技、赛门铁克、卡巴、小红伞、熊猫等国外知名杀毒厂商纷纷加大在华市场的投入力度，并推出各种阶段性免费版本，在免费杀毒基础上的收入模式创新也是各显神通。

“免费安全”理念的普及，促进了中国互联网安全水平的提升，中国网民安全软件的普及率从10%提升至95%以上，每年为中国互联网用户节省400亿元至800亿元的安全软件开支。根据微软官方安全报告显示，中国计算机的恶意软件感染率指标为0.6‰，仅是全球平均线的十分之一，是恶意软件感染率最低的国家。