病毒与杀软的那些事杀毒引擎的26年发展史
1989年,全球第一款杀毒软件Mcafee诞生,距今杀毒软件已有26年历史,技术领域也进行了多次革新,尤其是反病毒产品的核心技术—杀毒引擎方面,也从简单的数据匹配、识别到如今的智能判断和分析。回首26年,杀毒引擎经历了怎样的演变历程,又为我们的生活带来了什么呢? “杀毒引擎”到底是什么? 从技术上讲,“杀毒引擎”是一套判断特定程序行为是否为病毒程序或可疑程序的的技术机制。杀毒引擎是杀毒软件的主要部分,是去检测和发现病毒的程序。形象地说,它是杀毒产品的发动机,没有这个发动机,反病毒产品就只是一个空壳,无法正常运转。 一直以来,杀毒引擎核心技术掌握在德国、俄罗斯、美国等少数国家,比较知名的杀毒引擎包括俄罗斯的Dr.web(大蜘蛛)、Kaspersky(卡巴斯基),美国的McAfee(迈克菲)、德国的AntiVir(小红伞),以及罗马尼亚的BitDefender(比特梵德)等。在国内,由于技术积累和投入不够,杀毒引擎鲜有成功者。多数厂商采用BD、卡巴和小红伞等国外引擎自己加壳的简单OEM方式。 随着“去IOE”化和“棱镜门”事件影响,国家对信息安全的重视程度提到前所未有的高度。作为信息安全的重要一环,杀毒软件更需要做到自主可控,于是国内的安全厂商对杀毒软件的核心技术——杀毒引擎开始全面转向自主化。 国外“杀毒引擎”的演变 首先从国外反病毒引擎说起,在全球计算机病毒史上,曾经出现过两个比较著名的人物。 一是俄罗斯的Eugene Kaspersky。1989年,Eugene Kaspersky开始研究计算机病毒现象。从1991年到1997年,他在俄罗斯大型计算机公司“KAMI”的信息技术中心,带领一批助手研发出了AVP反病毒程序。Kaspersky Lab于1997年成立,Eugene Kaspersky是创始人之一。2000年11月,AVP更名为Kaspersky Anti-Virus。Eugene Kaspersky是计算机反病毒研究员协会(CARO)的成员,该协会的成员都是国际的反病毒专家。AVP的反病毒引擎和病毒库,一直以其严谨的结构、彻底的查杀能力为业界称道。 另一位是Doctor Soloman。他创建的Doctor Soloman公司曾经是欧洲最大的反病毒企业,后来被McAfee兼并,成为最为庞大的安全托拉斯NAI的一部分。初期,McAfee与欧洲的一些杀毒软件公司经常兴起口舌之争,但是自身杀毒引擎并不出色,于是McAfee停用自己的杀毒引擎,转而使用收购来Doctor Soloman产品的引擎。 国内“杀毒引擎”的演变 在中国,从90年始至今的杀毒软件市场,KILL一统天下的结局被终结后,瑞星、江民、金山等国内杀毒软件厂商逐渐把持了大部分市场。随后,杀毒引擎经历几代更迭,由最初的“特征码杀毒引擎”发展到如今主流的“启发式杀毒引擎”,中国网络安全核心技术达到前所未有的高度。 第一阶段:1989—90年代中期简单特征码杀毒引擎 病毒的发展产生了第一代的反病毒引擎--检验法。该方法只能判断系统是否被病毒感染,并不具备病毒清除能力。不过检验法滋生了真正的反病毒技术王者--特征码技术的出现。它属于第二代反病毒引擎,是反病毒历史上最耀眼的明星,它不但开了可以清除病毒的先河,也为以后反病毒技术的发展打下了坚实的基础,时值今日,该技术仍然是反病毒软件的主要技术,百度和腾讯所说的自主反病毒引擎,其核心也是如此。 第二阶段:90年代中期—1998年广谱特征码技术 广谱特征码技术是江民公司首创,江民也正是靠着这个技术创造了昔日的辉煌。从本质上说,广谱特征码是一类病毒程序中通用的特征字符串。比如,有10种病毒都使用了一段相同的破坏硬盘的程序,那么把这段程序代码提取出来作特征码,就能达到用一个特征码查10个病毒的功效。这个技术在一段时间内,对于处理某些变形的病毒提供了一种方法,但是也使误报率大大增加,所以采用广谱特征码的技术目前已不能有效的对新病毒进行查杀,并且还可能把正规程序当作病毒误报给用户。 第三阶段:1998—2007年启发式杀毒引擎 特征码杀毒引擎开启的基于特征码,对病毒进行查杀比对,实时拦截查杀的技术至今仍是杀毒引擎赖以工作的基本原理。但这种技术也有一个缺陷,就是所有特征码必须读到电脑内存中,而且还只能对已知病毒进行查杀。这对互联网迅速发展,各种新式病毒层出的时代是不足以维护网络安全的。于是一种通过行为判断、文件结构分析等手段,在较少依赖特征库的情况下能够查杀未知的木马病毒的新技术——“启发式杀毒引擎”应运而生。 第四阶段:2008—2010年云查杀引擎 随着互联网爆炸式的发展,病毒也开始以一种网络化的速度疯狂发展,以灰鸽子、熊猫烧香为代表的网络病毒开始泛滥,正式揭开了病毒网络化发展的序幕,云安全概念也在这个时期得到广泛应用,而提前嗅到其价值的是趋势科技,全球首家推出了云安全体系,随后瑞星跟随,成为国内第一家云安全体系的缔造者。 虽然瑞星、金山都拥有云安全体系,但是有钱有客户的360很快就占了上风,坐上了世界第一大云安全体系的交椅,而此时,江民已经完全丧失了建云安全体系的能力,腾讯则刚开始通过安全管家铺它的样本采集渠道,而百度则还没有进入安全领域。 第五个阶段:2010年—至今人工智能引擎QVM 2010年11月,360向业界公布了第七代反病毒引擎—人工智能引擎QVM,QVM是Qihoo Support Vector Machine的缩写,中文意思是奇虎支持向量机,它是在Vapnik著作的机器学习经典《Statistical Learning Theory》中的理论基础上进行了创新,首次将机器学习的理论用于未知病毒识别。 它的技术原理是先通过对病毒样本的分析和分类形成样本向量和向量机,然后建立一个机器学习的决策机模型,利用决策树和向量机对大量样本进行学习,从而识别恶意程序或非恶意程序。随着学习样本数量的增加,再配合白名单,就能够在识别未知恶意程序的同时,降低误报,使未知病毒识别技术真正商用。 未来:人工智能引擎引领未来 360在杀毒引擎核心技术领域所取得的成绩,给腾讯、百度等国内互联网公司以启示。经过多年的研发,腾讯和百度也相继推出了自主反病毒引擎TAV和雪狼,但都是以智能为旗号,使用的是瑞星和江民时代的第一代引擎技术,也就是“特征码杀毒引擎”,在3代引擎已经成熟商业化的时候,TAV和雪狼引擎尚处于第一代到第二代的过渡过程。 不同的时代有不同的技术,杀毒引擎的变迁,可以说是一段病毒的发展历史,正是由于病毒不断更新、不断变种,推动了反病毒产品的不断革新、不断升级。随着网络技术安全的日新月异的变化,原有的安全技术体系已经基本失效,需要新的技术提升来应对复杂的安全变革,而360人工智能引擎或引领未来安全技术发展方向。