走近安全】之“三次安全技术的革命”

作者：360行业安全研究中心主任  裴智勇

在普通人的眼中，网络安全工作总是披着一层神秘的面纱。我们的工作既受人尊敬，又往往不被理解；我们有无数优秀的工程师，却往往不能说清一些简单的问题。
造成这种情况的原因之一，就是网络安全工作的高度专业性与普通大众渴望了解网络安全世界的热切期望之间存在的矛盾。
“走近安全”就是希望能够通过通俗易懂的科普性语言来帮助读者更好地理解网络安全的神秘世界，让读者不再只能是远观这个世界，而能够真正走近安全。

自上世纪80年代末，网络安全技术的发展先后经历了三个主要的技术时代，从最初的特征码查黑技术，逐步进化到现如今的大数据查行为技术。安全技术的进化是攻防持续对抗升级的产物。今天我们就来说一说这三个技术时代的三次技术革命。

第一代：特征码查黑

1986年诞生的“大脑病毒”是世界上公认的第一个流行计算机病毒。它由一对巴基斯坦兄弟编写，最初的目的是为了防止兄弟俩编写的软件被盗版。大脑病毒诞生后3年，即1989年，全球第一款杀毒软件McAfee在美国诞生。第一个网络安全技术时代就此开始，并持续了近20年之久。

在这个时代，以系统破坏为主要攻击现象的传统病毒是网络安全的主要威胁。不过，由于当时真正会编写病毒的人很少，病毒攻击也大多没有什么利益诉求，所以，那时的病毒程序不仅技术简单，而且数量有限，每年出现的新的流行病毒也不过就是几百个到几千个而已。

正是在这样的时代背景下，产生了以特征码技术为主的第一代网络安全技术。所谓特征码，简单的说就是病毒程序所特有的程序代码或代码组合。而杀毒引擎的作用就是拿着一堆特征码（病毒特征库）和电脑中的程序文件进行一一比对，一旦发现匹配的，就判定为病毒并进行查杀。

特征码杀毒技术也被后人认为是一种“非黑即白”的杀毒技术。即，如果引擎查不到特征码，就会对相关程序完全放行。这在日后被证明是很不安全的。
同时，特征码杀毒技术主要针对的是静态样本的源代码，而不关心程序的行为活动，导致“先感染，后查杀”的情况屡屡发生。

另外，特征码的提取对样本分析师的技术水平要求很高，所以，当时安全企业能力的瓶颈往往在于样本分析师的数量和素质。

第二代：云查杀+白名单

到了本世初，恶意程序的发展方向迅速的从传统病毒，转向以秘密盗窃和恶意植入为目的木马程序。由于木马程序能够给攻击者带来显著的经济收益，所以迅速的出现了木马产业化、样本海量化和木马行为复杂化的新形势，木马攻击一度泛滥成灾。

安全形势的极速恶化给第一代网络安全技术带来了前所未有的挑战：
首先，恶意程序每天新增几十万到上百万个，根本不可能完全靠人工的方式进行收集和分析；
第二，互联网应用越来越多，单靠特征码已经很难分辨好坏，针对特征码的免杀技术也层出不穷；
第三，病毒特征库快速膨胀，直接耗尽了电脑的存储和计算资源，电脑越来越卡，越来越慢。

2006年以后，随着360等互联网企业进入网络安全产业，互联网的技术方法也被引入了安全技术，逐步形成了“互联网技术+传统安全技术”的“互联网安全技术”。

其中最具代表性的技术包括：白名单、云查杀、主动防御、人工智能引擎。

白名单的思想就是除了确认可信的程序以外，其他一切程序都是不可信的，都必须接受包括云查杀、主动防御等安全技术的监控。

云查杀技术则是将原本放在电脑上的特征对比工作放在了服务器端，从而解放了终端的计算和存储资源，同时实现了病毒特征库的实时在线更新。特别是基于程序指纹的杀毒技术出现以后，病毒只要被发现确认，就可以越过特征分析，直接被立即查杀。

稍微解释一下：所谓基于程序指纹的杀毒技术，就是首先通过数学哈希算法，计算出一个程序文件的数字指纹（一个字符串，具有唯一性）；如果程序是恶意的，就把指纹加入黑名单；如果程序是可信的，就把指纹加入白名单；其他的进入灰名单。当用户电脑上运行一个程序时，只要提取这个程序的数字指纹和云查服务器进行比对就可以了。

如果是黑名单，就直接查杀，白名单就直接放行，灰名单则会视情况给予一定的风险提示。由于早期的程序指纹提取使用的是MD5值，所以这种方法又被戏称为“MD5值杀毒”。

主动防御技术是对程序的行为进行监控，一旦发现诸如篡改驱动、秘密下载、修改浏览器设置等危险操作，就会立即采取防御措施并对用户进行提示。这种方法对于防范黑名单之外的木马程序非常有效。

而人工智能引擎则是首先对程序文件建立数学模型，之后提取程序文件的多种维度的数学特征和代码特征，再通过机器训练和机器学习形成判别规则，进而能够自主判断哪些程序的特征组合是有害的，哪些是无害的。

第二代网络安全技术立足于动态防御，目标是“御敌于国门之外”。同时，人工智能引擎的出现，大大降低了人工分析的难度：多数情况下，样本分析人员只需要判别一个程序是好是坏就可以了，至于如何提取特征，那是机器该干的事。

第三代：大数据+威胁情报

第二代网络安全技术在民用领域的实践取得了巨大的成功。电脑三天两头中病毒的情况得到了有效的遏制。但进入本世纪第二个十年后，情况又发生了巨大的变化。在这个时代，设备多样化、系统复杂化、攻击多源化的情况开始越来越普遍。

多样化的接入设备，使得我们很难再通过某款安全软件来解决全部问题。我们不可能设想给家里的微波炉、孩子的运动鞋，工厂里的机械臂都装上一个安全卫士。

系统复杂化的问题则主要出现在政企机构的信息化改造过程中。业务逻辑、网络结构和管理机制的多样性与复杂性，使得每一个信息系统都如一个复杂的迷宫，让安全保卫工作无从下手。

而和前面两点相比，攻击的多源化带来的挑战更加致命。这种多源化，主要表现在三个方面：
一是攻击者目的的多源化，勒索、挖矿、窃密、破坏，干什么的都有；
二是攻击者身份的多源化，毛贼、黑产、内鬼、网军，啥样的人都有；
三是攻击者手段的多源化，渗透、扫描、预制、钓鱼、漏洞，社交等等，无所不用其极。

可以说，恶意程序早已不再是唯一的攻击手段，甚至也不再是主要的或必要的手段。所以，前面两个时代的，以恶意程序为主要对抗对象的安全技术，就显然都不太灵光了。于是，以大数据、威胁情报、人工智能和协同联动为核心技术的第三代网络安全技术涌现了出来。

第三代网络安全技术在2014年开始初见雏形，2015年以后迅速发展起来。
第三代网络安全技术不再是程序与程序的对抗，而是人与人的对抗。安全工作者对抗的目标是“攻击者与攻击者的行为”，而安全技术和产品则成为延伸“人”的能力的工具。在这个时代，网络安全工作对“人”提出了更高的要求，远超此前的任何一个时代。


总结
如果要用三句话来概括网络安全技术的发展历程，那就是：
从查黑，到查白，再到查行为；
从静态，到动态，再到大数据；
从先感染后查杀，到御敌于国门之外，再到快速发现、快速响应。