陈睿：木马防御与可信认证技术编者按：这不是一篇厂商的新闻稿，这是一位领导反病毒团队的技术总监，对7年来反病毒反木马作战的技术总结。稍懂技术的读者看完本文，相信会对未来反木马技术有更深入的理解。木马防御与“可信认证”技术主讲：毒霸技术总监陈睿2007.11.16主持人：首先感谢大家百忙之中参加08反病毒趋势沟通会，今天有媒体的朋友，还有民间反病毒高手，因为今年我们反病毒的技术发生很多变化，现在就请我们毒霸的技术总监陈睿先生讲一下08年反病毒趋势。陈睿：大家下午好，这个机会挺难得的，因为这么多专业圈子里的朋友聚在一起，讲之前还是想先说几句，第一个我为什么来？其实我是在珠海，因为毒霸的研发部门在珠海，来一趟北京不是特别容易，我也不是特别爱出差，来的契机是因为我上周来过一次，给了我一堆记者朋友问的问题，有各种各样的、五花八门的问题，有些问题我看了以后还是很难回答，比如主动防御技术未来发展方向、您认为防御技术现在是不是成熟，我解释为什么这些问题很难回答，我当时说了一下我的一些观点，刘峰他们热情邀请我这周再来一趟，需要讲一讲金山自己的技术立场，以及金山的技术观点，所以我觉得这个机会我要这儿讲，并不是讲我们做的产品，这不是一个产品宣传会。我可能更多的是讲我作为一个技术人员我的技术观点或者叫金山的技术观点，可能不会讲太多厂商的观点，我尽量站在圈子外说一说我对于木马防御技术现在和未来发展的一些认识，我也非常期望各位能够一起跟我来探讨这个问题。因为我觉得反病毒说大点，包括木马防御、整个信息安全，杀毒软件本身每什么好说的，可能有些小孩觉得杀毒软件很神秘，但是各位都不会这么觉得，它只是一个工具，比较值得说的是该朝哪个方向做。按我做这个行业比较郁闷，为什么？这个行业没什么创意，你不可能有创意，因为你是被动的，当一个威胁没有出来之前你不能造出一个来防御它，你针对的是现在存在的，还有对未来病毒木马趋势做一个预估，当然这个预估也不一定是真的，因为木马创造者不会跟我商量他做什么木马。我做这个行业这么久还是感觉有一些蝴蝶效应在，我们其实还是挺被动的一个行业，木马怎么做我们就怎么跟他们干，就是一个很单纯的事，所以杀毒软件本身没有什么好讲，比较值得讲的是我们为什么这么做，以及为什么我们这么做成功概率更大。今天讲的主要点比较少，就四点，讲任何的安全技术之前肯定不能只提这个安全技术，可能要提它的防御对象，所以我会谈一谈我对木马防御的一些看法，还有目前行业内木马防御的方案，我也说一说我个人的一些见解，第三我会重点介绍毒霸最近做的可信认证技术，因为这个技术近期才跟媒体见面，我过来把这个技术介绍一下。最后讲一讲我对于木马防御技术未来发展的一些个人观点。在这个过程中我还是很希望各位如果有意见和想法可以直接提出，我们可以用探讨的方式来聊一聊。广泛应用于商业软件的反病毒技术说到木马防御，我得先讲一讲反病毒技术与木马技术的异同，为什么这么讲，因为现在国内所有软件，包括金山毒霸，大家习惯把它称作杀毒软件，国外的软件名字习惯成为安全软件，国内为什么习惯成为杀毒软件，因为安全软件在过去二十年最主要面对的对象是病毒，病毒的出现应该是比较早的事，87、88年计算机病毒开始流行，到现在刚好二十年时间，现在广泛应用于商业软件反病毒技术木马、启发搜索和虚拟机，像诱饵、通用版病毒都是在这二十年时间涌现过的技术，还有以前××的安全码，这些技术可能最终被证明挺适用于商业软件，这三种技术未必是最好的，商业软件用的技术一定要运营成本低，比如说毒霸为一千万用户服务，如果一个运营成本十块钱，我们肯定会亏本。因为病毒的特点是自我复制，病毒是比较容易在技术上技术判定，根据我国一般主旋律的书计算机安全条例上对病毒的定义是能够自我复制的一段集散及指令，这个很容易在技术上界定，所以上面三种技术都能够做到对病毒对症下药。特征码不用介绍了，因为这个技术挺直观，因为病毒的特点是自我复制，计算机是不会创造的，就算有些病毒变形、变种、加壳、换马甲等等，但我们总能找到他们的特征，所以特征码是很合适的，它可以干掉病毒的大部分变种。启发搜索这个技术不内比较少，这个技术是欧系厂商做的比较好，它最大的一个特点就是基于统计和推理，在里面融入了AI的算法，其实整个思路很简单，最简单启发式搜索是五万个病毒放在一起，一百万个正常文件，你找五百万个病毒的相同性，对一百万个文件也找相同性，你会发现他们有相匹配，这个是启发式搜索，这个在2000年达到很高的成就，欧系厂商对病毒率可以达到90%，这基本上就可以成为一个商业技术。第三虚拟机比较全，去年有厂商对虚拟机进行了一轮商业包装，虚拟机技术是模拟器，安全行业里虚拟机技术更多进行的是模拟代码执行的作用，是模拟一段代码进行执行。虚拟机最大的作用是用在什么地方，一个是变形，因为变形用虚拟机做很合适，