为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

刘旭:科技创新是过冬良策不看好免费杀毒模式

2009-1-4 09:20| 投稿: blue

摘要:   瑞星杀毒软件发表者、前瑞星公司总裁、东方微点创始人兼总裁刘旭做分享了其经历1997年亚洲金融风暴和2000年互联网泡沫的经历   近日,瑞星杀毒软件发表者、前瑞星公司总裁、东方微点创始人兼总裁刘旭...
  瑞星杀毒软件发表者、前瑞星公司总裁、东方微点创始人兼总裁刘旭做分享了其经历1997年亚洲金融风暴和2000年互联网泡沫的经历   近日,瑞星杀毒软件发表者、前瑞星公司总裁、东方微点创始人兼总裁刘旭做分享了其经历1997年亚洲金融风暴和2000年互联网泡沫的经历,此外也对目前的金融危机及杀毒软件产业的发展等发表了自己的看法。  刘旭认为,对于杀毒产业来讲,“过冬”的最佳良策就是科技创新。1997年亚洲金融危机的时候,瑞星很好的把握住了“宏病毒”的处理,获得了市场的认可,那场危机不仅没有对瑞星产生影响,反而成为瑞星崛起的契机。2000年的时候,瑞星把握住的是企业级杀毒软件产品,瑞星靠“全网杀毒”等技术,解决了国际上杀毒软件网络版让需要每台计算机各清各的,局域网中计算机由于无法同时清理而造成“清不干净”的情况。  同时,刘旭也分析了全球病毒及杀毒软件的现状,刘旭认为传统的杀毒软件已经无法及时阻止病毒的“进攻”,其认为主动防御才是未来杀毒软件的发展趋势。  对于360安全卫士捆绑卡巴斯基采用的免费策略,刘旭认为,全球的杀毒软件商都是靠收费赚钱的,他不看好免费模式。  以下为本次博客训练营的演讲实录:  主持人:大家好,我们这一期的博客训练营的主讲嘉宾是瑞星杀毒软件的原设计者和发明人、东方微点创始人刘旭先生。下面欢迎刘旭先生给我们讲一下他的经历。  瑞星靠技术创新度过了1997年2000年的金融危机  刘旭:我叫刘旭,原来是在瑞星,当初是91年搞了瑞星防病毒。  96年搞了瑞星杀毒软件。2000年之前,瑞星所有的代码都是我一个人。我是97年出任瑞星公司的总经理。离开瑞星是2003年,创办了东方微点公司是05年。我们现在的产品叫做微点。今天这边给我的主题是面对全球金融危机和过冬。这个问题对我有点大。我根据我的经历来跟大家分享一下,希望能够对大家有所帮助。  面对危机,今年的金融危机也罢,还是前几年的互联网泡沫也罢,实际上这个市场并没有消失,只是需求下降了。在有限的需求中,我们如何占有一席之地。甚至在这样有限的市场里面,能够引领市场。就要求我们对方方面面要求得更高。特别是我们怎样能够生产出真正能够满足用户需求的商品是至关重要的。  危机导致需求下降,需求的下降又使得用户对产品的性能和质量的要求更高。因为在危机的时候,很多时候都是可买可不买的产品,用户就不买。根据我的经验,包括以前在瑞星,包括现在在东方微点,注重科技创新,化危机与机遇。  举几个例子。先看一下97年的时候,亚洲金融危机当时瑞星是怎么做的。我这个人偏向技术一点,因为我原来就是做技术的。我最早是在中科院,一直以来是学计算机的。我是78级。从78年到现在,走过了三十年。我们搞软件开发也搞了二十多年。97年亚洲金融危机对当时中国的经济也产生了很大的影响。因为97年我刚好出任瑞星公司总经理。这场亚洲金融风暴同样也摆在瑞星公司的面前。我们那个时候怎么办呢?我们还是从技术科技创新来做。可能不同行业有不同的要求,我们当时因为我们一直在做防病毒产品,当时97年流行一个WORLD病毒,当时由于微软公司没有公开WORLD的文件结构,导致了国内外的杀毒软件对处理病毒的效果非常差。有的查不出来,因为结构分析不出来,病毒感染的WORLD文件就查不出来。即使有一些查出来了,因为结构分析不清楚,清完毒要把病毒从文件里面摘出来,摘出来以后,用户的文件被破坏了,打不开了。这是97年国际上普遍存在的问题。虽然金融危机来了,但是我们认为那个时候也是一个机会。主要看你的产品能不能符合用户的需求。我们当时认为这是瑞星的一个机会。因为那时候瑞星整个研发部,实际上没有研发部,就是我一个人,我既是瑞星公司的总经理,又是瑞星公司的程序员。我一个人分析了WORLD结构。分析完了以后,我们比较好的解决了查杀病毒的问题。当时的瑞星杀毒软件以处理宏病毒处理得比较好。赢得了用户的关注。当时很多用户冲着这个来的。  瑞星第一个高峰是92、93年防病毒的时候,后面整个公司开始走下坡路,走到97年的时候,公司快破产了。金融危机来了,更是雪上加霜,当时我们抓住这个机会,处理宏病毒,使得当时的瑞星杀毒软件迅速被用户认知。瑞星起先,杀毒软件,可能很多用户都不知道有瑞星杀毒软件,只知道瑞星防病毒。当时我看到店面上没有摆着瑞星杀毒软件。我问销售员,他们说有。我说在哪里,他们跟我指着瑞星防病毒卡,说这就是。其实不是。瑞星防病毒卡是一个硬件,瑞星杀毒软件是一个软件。我们利用这次机会使得瑞星杀毒软件被大家认同。那次金融危机成为了瑞星崛起的机遇。  2000年,互联网泡沫破灭,当时的瑞星受影响肯定非常大,毕竟我们也是属于IT领域。当时国内的所有杀毒软件都没有提供企业级产品,我们开始研发企业级产品。瑞星杀毒软件的网络版和其他的杀毒软件的网络版有什么不一样的地方?有一点很关键,原来的网络版杀毒软件都没有企业级的,我们瑞星包括杀毒,包括其他的新颖的功能,用的是当时国际上杀毒软件的网络版都没有的。网络杀毒有什么好处?就是管理员发一条命令,让整个网络的所有计算机同时在杀。原先的网络版都是一台一台自己杀毒。今天这个杀明天那个杀了,整个网络的病毒并没有杀得干净。所以造成老有病毒。所以当时我们搞了网络版杀毒软件,我们利用我们的技术,利用企业级的杀毒软件,使得网络版的瑞星杀毒软件被大家认可。  目前全球病毒的特征及杀毒软件的缺陷  当初的97年和2000年,我们都是靠技术创新,利用这种技术创新,研制出用户需要的产品。  使得他的危机变为机遇。同样。今年2008年,这一场全球性的金融危机来势凶猛。我们看到了很多企业倒闭。包括软件市场,软件卖场,盈利率非常低,包括现在海龙的租金都降得比较多。我看到有的报道,有的租金减了60%多。这种情况比前两次危机的程度要大很多。现在这场危机同样也摆在我们的面前。我们怎么办?我们认为,还是需要靠科技创新,化危机为机遇。  科技创新不是坐在办公室里面就能够想出来的。我们首先要看用户的需求是什么样的。他们的技术存在什么样的问题,这是很关键的,我们在这个防病毒领域,现在的病毒到底发展成什么样子,杀毒技术能不能适合防病毒的要求?这一点是非常关键的。现在的杀毒软件是否能满足用户的需求呢?我们认为不能满足。有几点:第一,大家都有肉鸡、互联网有很多的肉鸡。卖了肉鸡很便宜,一个肉鸡一毛钱。这一毛钱,怎么挣钱?什么是肉鸡?就是被木马、黑客能够控制的机器。肉鸡在互联网上被卖,甚至是成批成批的卖。一台一毛钱,但是他成批量的卖。互联网上还有一个概念叫僵尸,这也是非常常见的。肉鸡我们知道,为什么称为肉鸡,实际上是赤条条,它任人摆布,对黑客来说,你没有什么秘密可言。僵尸跟肉鸡稍微有一点不一样。肉鸡没有攻击行为。僵尸具有攻击行为。僵尸和木马一样,具有攻击性,它在接受控制装置命令,会发起攻击。比如说一台机器对搜狐发起攻击,一台机器攻击的强度比较弱。但是如果你指挥一百万台机器同时对搜狐发起拒绝服务攻击的,我相信搜狐的服务器也不一定能够承受。现在国内的僵尸也非常多。根据国家互联网应急中心的统计,单单僵尸07年的时候,被感染的僵尸的IP地址有三百多万。最大的僵尸网络,被一个组织或者一个人控制的所有的僵尸构成一个虚拟的网络,他可以听他的命令者发出同样的命令。这种最大的僵尸网络有一百多万台。肉鸡和僵尸网络的大量存在说明什么问题?现有的计算机应该非常少没有装杀毒软件的。不装杀毒软件的极少。但是为什么僵尸和肉鸡大量存在?肉鸡也可以作为买卖。你把木马植入到那台机器上去,他再放到互联网上卖,用户来购买你这个肉鸡的时候有一段时间。买回去以后他要认购使用。如果杀毒软件更新完了以后,给他清了,他就没有办法卖了。这说明杀毒软件对机器上的很多木马并不能存在,所以肉鸡还能够存在。国内僵尸能够存在最长的时间有两到三年,这两到三年你机器的杀毒软件不断更新,但是它还能够继续存在,而杀毒软件没有办法识别。  杀毒软件的特征,我升级,究竟杀毒软件采取什么方式来做的?我们举一个通俗的例子,比如说一个非常愚蠢的现实生活不存在的一个保安,他怎么抓到小偷?他今天抓了一个小偷,发现这个小偷穿了一个红衣服,他就给这个小偷命名为红衣服的小偷。这个时候,他就到街上去巡视。凡是穿红衣服的,保安就把他抓起来。过两天又抓了一个小偷,穿了黄衣服。这个时候他再到街上去抓小偷,穿红衣服的就叫红衣服小偷,穿黄衣服的,就叫黄衣服小偷。这种方式在现实生活中是不存在的。但是恰恰我们看似很神秘的杀毒软件,采用的原理就是这样的。也就是说,杀毒软件发现一个病毒。既然是病毒,它也是一个程序。也是一个恶性的组成,也有恶意性的构成。防病毒的公司从病毒的代码从提取一串或者几串定性为恶性,就作为病毒的代码。这个时候杀毒软件就到你机器上跟你的文件进行理论,发现含有这个代码,就叫做杀毒。比如说CIH,就叫CIH病毒。这是杀毒软件的基础。这种方式学名叫做体征制扫描技术,杀毒软件是采用这种方式。  既然采用这种方式,就存在一些问题。既然病毒特征码和病毒码是从病毒体里面提取出来了。新病毒出现了,他还没有提,还没有这个代码,你就识别不了,就发现不了。作为新病毒和防病毒没有搜集到的病毒,杀毒软件查不出来。杀毒软件存在很大的弊端。虽然这么多年以来,杀毒软件从80年代后期到87年左右,病毒是86年开始出现,后面就开始做杀毒软件。杀毒软件从20年前到现在,原理没有变。  这种方法导致了杀毒软件严重的滞后于病毒的出现。只有出来病毒,我杀毒软件才能够防。如果没有这个病毒,或者是防病毒的人没有搜集到这个病毒,就杀不了。这是目前杀毒软件存在非常大的困难。原先的杀毒在以前所起的作用还是不错的。现在为什么效果要差很多?当初的病毒数量非常少。比如说86年,全球才有三种病毒。抓到一个,有效性非常好。  第二,原先的杀毒代码编写的目的是什么?现在跟以前有了很大的改变,现在是以获取利益为主要的目的。由于杀毒目的的改变,使得病毒的特性存在很大的问题。原来对于老病毒,你出现了就去杀掉。现在病毒是作为他获利的工具,病毒的编写者就要保护他的病毒。所以就会出现很多的技术,包括免杀技术。你对于老病毒,我通过一个免杀技术稍微改一下,杀毒软件就发现不了。但是他的功能很强大,我一样可以监控你。包括病毒的工具化,原先编写病毒的可能是一些水平比较高的人。现在编写病毒的是一些普通的人,甚至我们在座的只要通过一些简单的培训就可以。有很多培训这种课程的,收一百块钱包交包会。你们在座的只通过一百块钱就可以改造病毒了。可以使得杀毒软件查不出来。所以现在的病毒数量非常多。原先的病毒,86年就是三个,去年单单有一家公司,今年3月19号,美国华盛顿邮报有一个报道,根据德国的一家防病毒公司,去年这个公司发现的病毒是550万。而且病毒的数量是每年按4倍来发展。如果按照这个速度发展,今年是两千多万。甚至有一些国外的防病毒公司提出来,今年可能不再以4倍,就是以10倍增长。这只是一家公司,还有那么多公司。现在还在提被动性。因为你的机器上有病毒、有木马,被人家盗走了。有一些甚至很长时间病毒放在你的机器上,你根本不知道。因为他的病毒就是专门针对你做了一个病毒。比如说你是我的竞争者,我就想看你的机器上的东西,我就只给你的机器上做一个木马。你没有提供给防病毒公司,防病毒公司拿不到。所以即使两年、三年,这个病毒一直在你的机器里面。病毒越来越趋利性、隐蔽性。如果你的机器老异常的话,你很容易发现这里面有病毒。那么把病毒隐蔽起来。包括他针对特定的目标,包括他采用小批量、多病毒、自动更新,杀毒软件可以自动更新,自动也可以自动更新。原先国内有一个网页,他采用的就是59分钟,病毒自动变。你一个小时之前访问这个网页种的是这个病毒,过了一个小时你再访问,中的又是另外一个病毒。即使这个病毒被你发现了,仍然有很多的病毒没有被你发现。他认为你的杀毒软件顶多一个小时更新一次,实际上很多还达不到,我59分钟,至少比你快一分钟。  很多人看我们的演示,看从互联网摘出来的报道和黑客网站,可能大家很吃惊,很多人根本没有想到,病毒居然这么猖狂。我们今天举一些简单的媒体上报道的例子。其中有一个报道叫做黑客通过遥控电脑摄象头偷拍床上做爱视频。这里面的是安徽的受害者。浙江的张某利用自己掌握的电脑技术在千里之外遥控安徽一户人家的私人电脑,偷拍他人的隐私。把这个录像寄给人家,敲诈五千块钱,如果你不给我,我就把这个录像放到网上。后来被这个人报警了。海淀的法院也接到大量的盗用上网帐号和游戏充值卡案件。去年年初,海淀法院审结一起用木马植入他人电脑,被判刑的李某利用病毒电脑获得受害人裸照,并成功敲诈七万元。有一些人自己拍的照片,放在自己的电脑上,结果别人家拿走了,结果敲诈他,要七万块钱,最后他给了。南方日报2007年12月27日报道,七个被告利用网络技术传播病毒,下载该网络的数据库,窃取网上银行用户的资料。七个人总共盗取了85万存款。还有一个人是前年北京报道的70块买一个木马病毒,三小时盗取两万块钱。他在网吧上植了一个木马,下一个人去用的时候,你输不进去,他给盗走了。现在杀毒软件存在很大问题。杀毒软件的弊端,只要不申请的病毒,很难被防治。就算是被查出来的病毒,随便改一下就查不出来了。  主动防御杀毒软件的特征  杀毒软件现在面临着很大的危机,国外有一个公司叫洋基格路普指出,过去采取特征值辨别病毒的杀毒软件,已经没有办法每天出现的病毒。  这也是我们杀毒软件存在的机会。危机来的时候,也有机遇。既然传统的特征码技术已经不适用新型的杀毒要求。我们提出一种观点,叫做主动防御。主动防御是什么东西?我们知道,我们刚才前面讲了,防病毒公司发现一个病毒,提取出来体征。但是我们没有介绍防病毒公司怎么发现病毒?这个问题是值得研究的。防病毒公司的病毒是用户给他提供的。防病毒公司拿到很多可疑程序,要分析哪些是病毒,哪些不是病毒。他要看这些可疑程序到底是不是病毒,以什么方式决定它是不是病毒呢?就是运行,运行一下这个程序到底做了什么东西。我们抓小偷不是靠外形来抓的。是靠行动。同样,杀毒软件公司在分析病毒的时候,他也要靠行为来进行分析。杀毒软件分析病毒,判断一个程序是不是病毒,难不难?我们首先要说不难。防病毒公司的病毒分析能力是防病毒公司里面非常普通的技术。现在有一些防病毒公司说,我们一个病毒分析是每天能够更新五十到六十次。按八个小时来算,每一个小时你分析六七个。每十分钟,你都分析一个,分析病毒的难度并不大。  既然难度不大,能不能把人工的分析过程自动化、智能化?绝大部分病毒,或者说99%以上的病毒基本上是雷同的,不是自己独创的技术。这个病毒有另外一个 病毒的特点,所以绝大部分病毒跟其他病毒有很多类似的地方。我们将这套东西自动化,把它变成专家系统设计出来。微点防御软件就是采用的这一套,当然首先要监控程序,它起到的结果就是,我相当于把病毒分析程序放到你电脑上,一旦发现病毒,马上就会处理。这个效果是非常明显的。我们现在微点主动防御,经过我们统计,包括我们自己的测试,我们测试过一百多万个病毒,它能够识别病毒,没有任何特征,识别率能够达到99%以上。这一百多万多种病毒,能够逃避它检测的只有不到一百个,是万分之一。效果非常明显。  它是不是一劳永逸呢?不是。它也需要更新。不是说你按照这个行为就能够防御所有的病毒,这是做不到的。在88年国际上已经证明一个定义,不存在一个 程序能够识别出所有的病毒。但是他没有否定你能够发现尽可能多的病毒。微点防御,你新的行为没有考虑到,你在修正他的逻辑,采用相同技术的编写者都防御。而杀毒软件是一对一的。杀毒软件,我只要来一个新编的,你就发现不了。而现在的主动防御,就有非常强的对抗性。  举一个例子,防御软件起的效果是什么?大家也知道,06年底,07年初,我们国内也出现了一个很有名的病毒,叫做熊猫烧香,当时熊猫烧香的病毒编写者就是和防病毒公司公开对抗,包括他们中间曾经也有过邮件的来往,他就是公开的挑战。你只要搞清了,他完全防不了。他完全没有防御能力。所以当时这场较量,因为那场病毒的传播能够非常广,病毒编写者老更新他的病毒。但是这场较量什么时候结束的?杀毒软件公司首先是惨败。是这个病毒作者叫李军在湖北被抓了,抓了以后没有人再制造了。说明杀毒技术在这场熊猫烧香病毒,使得杀毒技术彻底的惨败。但是微点是05年研究成功的,如果大家下载05年的微点的主动防御软件,那个时候我们就放在网上测试。05年微点能够防06、07年所有的熊猫烧香病毒。可见它对防范未知病毒的作用非常独特。  也许现在有人问,这几年杀毒软件都在提主动防御。但是有一些人看了主动防御老问。有人认为主动防御技术需要一定的技术资源,我们觉得这是对主动防御的误解。首先,成熟的主动防御技术作为新一代的防病毒技术,它跟传统的技术特征一样,成熟的主动防御病毒不需要用户参与,它自己判断。它不需要用户参与,就能够准确的、自动的明确的报出是不是病毒。目前国内有一些杀毒软件声称有主动的防御技术,实际上不是真正的主动防御技术。  有一些杀毒软件,可能大家用过一些其他的杀毒软件,他会报警,有一个程序正在向你的计算机设置程序挂钩,问你是否同意。在我机器里面甚至程序挂钩到底是好的还是坏的?正常程序是不是有程序设置挂钩?正常程序也会设置程序挂钩,病毒也会设置程序挂钩。我用户到底是允许还是不允许?这一类的技术我们认为是主动防御技术的初级阶段。或者说是一个雏形,远远不是我们讲的主动防御。还有一些主动防御的会问,某某程序正在修改你的程序,你知道这个程序到底要不要修改程序?正常程序很多都需要修改程序,你说是允许还是不允许?你把这种似是而非的问题给用户提供。用户买防病毒技术和杀毒软件,我究竟想干吗?我是想把我防病毒的技术交给你,由你来判断。而不是你来问我。我交给你的任务,你再问我,我怎么知道?这种所谓的主动防御技术不是用户想要的。主动防御技术应该是,是病毒你给我报出来。不是病毒你不要告诉我,不要问我。所以我觉得对于用户来说,要的是,我把这种事情交给你,你给我负责这件事情。现在很多市面上很多的主动防御,我们叫伪主动防御。他基本上都是根据一个病毒来做的。比如说我们手举起来,举起来是什么动作?也有可能我拍一下,也有可能举手。我们所说的行为和动作是有差异的。行为是一组动作构成有意义的行为,行为是动作的结合。现在所谓的一些杀毒软件的主动防御是根据一个动作来判断的。一个所谓的动作就是微软提供的一种系统的API,那么所有的API都是可以被正常程序所用,也可以被恶意程序所用。他不存在好与坏。你如果做了一系列动作,他构成了有意义的行为,才能识别得比较准确。现有的杀毒软件基本上是单一的。  微点主动防御经过了对未知病毒的主动防御。微点主动防御还是国家863项目的重点课题,是国内防病毒项目的唯一的国家863项目。今年是奥运年,奥运会有一个组织,叫做北京奥运会开闭幕式运营中心,也就是张艺谋导演的中心,好几百台机器,这次全部采用微点作为它的防病毒中心。经受了这次重大的考验。这次奥运会彩排的时候被韩国人偷拍了一下引起多大的反响。如果之前他的开闭幕式的方案被公开,影响就更大了。所以奥运会这一次经过多方选择,比较完了以后,选择了微点主动防御产品作为奥运会开闭幕式的保证。他们开闭幕式的运营中心还专门给微点公司发了感谢信。我们网站上有。奥运会的组委会、奥组委给我们公司发了一个感谢信,说我们在奥运会中作出了突出贡献。微点是一个很成熟的技术,05年就出来了。我不知道大家有没有听说,微点主动防御为什么今年才开始出现?大家可以去互联网查一查。因为它被人陷害,导致了产品三年不能上市。目前,它也是国家唯一的一个863计划的防病毒产品。在金融危机来的时候,我们一种方式就是,可以公司裁员,但是我们觉得,你能不能提供给用户非常适合、非常急需的产品,是大家所需要的一个产品。  如果你能够提供这样一个产品,就会使你在金融危机中能够脱颖而出。因为金融危机来了,市场并没有消失,只是需求减弱了。你如何让你的产品在这个份额里面占得更大。所以我们说,危机来临时,我们更需要技术,化危机为机遇。谢谢大家。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部