齊向東盤點了計算機網(wǎng)絡(luò)病毒的發(fā)展歷史,將其分為三個階段:第一個階段是1987年-2000年,對應(yīng)第一代網(wǎng)絡(luò)安全技術(shù);第二個階段是2001年-2015年,對應(yīng)第二代網(wǎng)絡(luò)安全技術(shù);第三個階段是2015年之后,對應(yīng)第三代網(wǎng)絡(luò)安全技術(shù)。
第一代網(wǎng)絡(luò)安全技術(shù)核心是“查黑”,黑名單機制,策略是“非黑即白”。齊向東進一步介紹,當(dāng)時病毒樣本數(shù)量很小,即便到了2000年,每年病毒數(shù)量才1萬種,這種增長速度很緩慢,平均到每天高峰時也就幾百個,而且多數(shù)電腦感染之后不是立刻發(fā)作,而是滯后幾天、幾周甚至幾個月,這為查殺病毒贏得了寶貴的時間。因此,當(dāng)時的應(yīng)對方式是人工分析病毒的特征碼,在電腦里通過掃描文件進行匹配、查殺。
2001年以后,互聯(lián)網(wǎng)開始普及,出現(xiàn)了能自我復(fù)制、自我傳播的蠕蟲病毒。蠕蟲病毒與一般病毒最大區(qū)別在于自動掃描并利用系統(tǒng)漏洞和服務(wù)端口,借助互聯(lián)網(wǎng)、企業(yè)內(nèi)網(wǎng)、電子郵件、網(wǎng)站掛馬等方式進行傳播,數(shù)十分鐘就能蔓延至全球網(wǎng)絡(luò)。與此同時,流氓軟件爆發(fā),把木馬數(shù)量進一步推高到每日峰值時期的近1000萬個,導(dǎo)致病毒庫無法及時更新;另外,網(wǎng)絡(luò)病毒的傳播速度極快,傳統(tǒng)殺毒軟件滯后幾天、幾周才能查殺的弊端凸顯,“黑名單機制”宣告失效。
齊向東介紹說,為了解決網(wǎng)民安全上網(wǎng)難題,在2006年,360創(chuàng)新發(fā)明了第二代網(wǎng)絡(luò)安全技術(shù)“查白”,白名單機制,策略是“非白即黑”。360發(fā)揮自身是互聯(lián)網(wǎng)公司的優(yōu)勢,把擅長的搜索引擎、云技術(shù)、人工智能等互聯(lián)網(wǎng)技術(shù)應(yīng)用于安全領(lǐng)域,建立了全球最大的白名單文件數(shù)據(jù)庫。只要不在白名單中,就可能是新的木馬病毒,進而限制其敏感操作,這個方法攻克了當(dāng)時黑名單瞬息萬變不可捕捉的難題。
網(wǎng)絡(luò)攻防的對抗性,決定了沒有攻不破的盾。隨著產(chǎn)業(yè)互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)和萬物互聯(lián)網(wǎng)快速發(fā)展,以及漏洞挖掘利用產(chǎn)業(yè)化,2015年前后,APT攻擊成為主流,出現(xiàn)了大量“白利用”攻擊手段。黑客利用已知或未知的系統(tǒng)漏洞,把惡意程序注入到系統(tǒng)白文件中,操縱系統(tǒng)文件對系統(tǒng)進行攻擊,讓安全軟件看上去是一個系統(tǒng)文件的正常操作,以躲避“查殺”。
“白名單機制也不再是靈丹妙藥,好比我們守著安檢門,但黑客跟隨有免檢證的人走了VIP通道。”齊向東自豪地說,360的創(chuàng)新基因開始發(fā)揮作用,360提出了“查行為”的第三代網(wǎng)絡(luò)安全技術(shù),用數(shù)據(jù)驅(qū)動安全,不再無原則地信任白名單,而是從關(guān)注樣本黑與白上升到關(guān)注網(wǎng)絡(luò)行為。
齊向東表示,第三代技術(shù)突破了終端和邊界的限制,通過盡可能全地收集大數(shù)據(jù),對每個樣本、ID、IP、流量進行計算,判斷行為是否合法,把可疑行為找出來告警,人工智能的大數(shù)據(jù)行為分析上升成為核心技術(shù)