今天，信息安全從原來的小眾領(lǐng)域已經(jīng)變成大眾話題，信息安全也從純軟件領(lǐng)域衍生到了硬件領(lǐng)域。隨著物聯(lián)網(wǎng)的發(fā)展，萬物互聯(lián)的時(shí)代已經(jīng)來臨，IPV6讓網(wǎng)絡(luò)化成為所有設(shè)備的基本屬性、而安全則象空氣一樣無所不在，成為整個(gè)信息行業(yè)需要解決的首要命題。

[[123434]]

當(dāng)1990年錢學(xué)森提出復(fù)雜巨系統(tǒng)理論時(shí)，所有人只是意識到復(fù)雜巨系統(tǒng)的不可統(tǒng)計(jì)性，但是網(wǎng)絡(luò)的發(fā)展已然大大超出我們的想像。企業(yè)試圖通過封閉邊界來閉環(huán)自己的網(wǎng)絡(luò)，形成孤島式的安全，然而智能設(shè)備的發(fā)展、移動(dòng)互聯(lián)與無線設(shè)備的普及使得企業(yè)邊界不斷被突破，無邊界網(wǎng)絡(luò)已經(jīng)成為信息世界的基本形態(tài)。

互聯(lián)網(wǎng)本來與安全毫不相干，無論互聯(lián)網(wǎng)企業(yè)還是互聯(lián)網(wǎng)模式都沒有把安全放在眼里，安全只是一塊人人都知道但不想耕耘的土地，然而病毒在2007年爆發(fā)式的增長，600萬樣本的增量，即將把安全帶入一個(gè)無底深淵時(shí)，基于互聯(lián)網(wǎng)思想的云安全則適時(shí)拯救了整個(gè)安全，也讓互聯(lián)網(wǎng)與安全兩個(gè)判若水火的領(lǐng)域相互成為對方的基本屬性。

互聯(lián)網(wǎng)改變了病毒發(fā)展路

安全領(lǐng)域從一開始就被不同的文化細(xì)分成兩個(gè)世界：病毒世界和黑客世界。雖然以UNIX操作系統(tǒng)核心技術(shù)為主的黑客活動(dòng)最早出現(xiàn)在1972年，但是黑客技術(shù)的發(fā)展卻是十分小眾的。黑客攻擊往往是個(gè)人行為，需要依靠高超的技術(shù)和不斷滲透的耐心，找到系統(tǒng)弱點(diǎn)，然后一擊命中，這種過程漫長而且無法大量復(fù)制，因此很長一段時(shí)間，黑客就象游俠一樣，曲高而和寡，一直是黑暗世界的非主流。

計(jì)算機(jī)病毒則不一樣，1949年計(jì)算機(jī)之父馮·諾依曼在《復(fù)雜自動(dòng)機(jī)組織論》定義了計(jì)算機(jī)病毒的概念，即一種能夠?qū)嶋H復(fù)制自身的自動(dòng)機(jī)，1960年貝爾實(shí)驗(yàn)室的磁芯大戰(zhàn)則在實(shí)驗(yàn)室環(huán)境下驗(yàn)證了計(jì)算機(jī)病毒的存在。就象各種病毒災(zāi)難片那樣，1985年，一對巴基斯坦兄弟打開了計(jì)算機(jī)病毒的潘多拉盒子，第一個(gè)計(jì)算機(jī)病毒大腦誕生，從此計(jì)算機(jī)病毒開始正式登上舞臺，上演了轟轟烈烈的近三十年的魔道之爭的故事。

1989年，小球病毒正式登陸中國，成為中國第一個(gè)出現(xiàn)的病毒;DIRII病毒，在第一個(gè)擊穿硬件防病毒卡的同時(shí)也毀掉了這個(gè)產(chǎn)業(yè)，卻從此奠定了反病毒產(chǎn)品的軟件形態(tài)，一直延續(xù)至今。CIH，讓我們首次見識了破壞硬件的病毒，也打破了保護(hù)模式不可攻破的神話，并且掀起了WINDOWS病毒的風(fēng)潮，從此病毒進(jìn)入高速發(fā)展期。宏病毒、腳本病毒、郵件病毒、網(wǎng)絡(luò)病毒、復(fù)合病毒等各種高級形態(tài)的病毒不斷產(chǎn)生，病毒技術(shù)也不斷進(jìn)步。扇區(qū)感染、文件感染、內(nèi)存感染、多平臺感染，病毒通過不斷變化的技術(shù)繁衍著自己，到2005年，全球病毒樣本已達(dá)40萬種，而后，隨著互聯(lián)網(wǎng)爆炸式的發(fā)展，病毒也開始以一種網(wǎng)絡(luò)化的速度瘋狂發(fā)展，以灰鴿子、熊貓燒香為代表的網(wǎng)絡(luò)病毒開始泛濫，正式揭開了病毒網(wǎng)絡(luò)化發(fā)展的序幕，截止到2008年，全球病毒樣本已經(jīng)達(dá)到8000萬種，當(dāng)時(shí)這個(gè)數(shù)字已經(jīng)是天文數(shù)字，然而到了2012年，全球病毒樣本已經(jīng)達(dá)到60億個(gè)。至此以后，病毒不再以年為單位來計(jì)算數(shù)量，而是以天為單位，2013年，平均每天有515萬個(gè)惡意樣本誕生，而到了2014年上半年，平均每天新增的惡意程序樣本超過了850萬個(gè)。#p#

殺毒軟件與病毒無休止的對抗

行業(yè)的發(fā)展是一個(gè)在不斷試錯(cuò)中梳理的過程，安全行業(yè)里沒有絕對的規(guī)則，也沒有守恒的定律，唯一不變的就是對抗，病毒和黑客的發(fā)展是不斷與操作系統(tǒng)對抗的結(jié)果，而安全的發(fā)展則是不斷與病毒和黑客對抗的結(jié)果。

病毒出現(xiàn)了，就出現(xiàn)了殺毒軟件，由于病毒個(gè)數(shù)較少，殺毒軟件就是多個(gè)病毒清除指令的集合。但隨著病毒數(shù)量的增多，為了提高殺毒效率，病毒通用特征庫和病毒引擎的概念就出現(xiàn)了;為了對付感染扇區(qū)的病毒，防毒卡就出現(xiàn)了;為了對付內(nèi)存駐留的病毒，內(nèi)存掃描技術(shù)就出現(xiàn)了;由于病毒要通過設(shè)置標(biāo)志位來避免重復(fù)感染，做到更好地隱藏自己，因此通過主動(dòng)設(shè)置標(biāo)志位的病毒免疫技術(shù)就出現(xiàn)了。

當(dāng)WINDOWS病毒泛濫時(shí)，WINDOWS版本的安全軟件開始出現(xiàn)。當(dāng)大文件出現(xiàn)時(shí)，基于程序格式判斷的預(yù)處理技術(shù)與基于入口點(diǎn)特征碼技術(shù)就成為了安全技術(shù)的標(biāo)準(zhǔn)。當(dāng)病毒除了傳播還產(chǎn)生大量其它伴隨文件時(shí)，后處理體系就出現(xiàn)了;隨著用戶的參與，配置體系出現(xiàn)了;如今一個(gè)商用的安全軟件都遵循主程序、引擎、特征庫、配置分離的結(jié)構(gòu)，沒有誰定標(biāo)準(zhǔn)，但是大家不約而同地一致，因?yàn)橐胝嬲行У嘏c病毒對抗，這是最好的結(jié)構(gòu)。

感染式病毒大量的出現(xiàn)產(chǎn)生了內(nèi)存監(jiān)控技術(shù);文件病毒的出現(xiàn)產(chǎn)生了文件監(jiān)控技術(shù);隨著不同種類病毒的出現(xiàn)，病毒監(jiān)控體系也形成了如內(nèi)存監(jiān)控、文件監(jiān)控、郵件監(jiān)控、病毒防火墻、主動(dòng)防御等一個(gè)龐大的體系。而此時(shí)，面對黑客的大量攻擊，也產(chǎn)生了IDS、IPS等網(wǎng)絡(luò)防護(hù)技術(shù)。

病毒數(shù)量的進(jìn)一步激增，對“捕獲—分析—升級”的傳統(tǒng)三段式安全體系產(chǎn)生了巨大的沖擊，于是未知病毒識別技術(shù)產(chǎn)生了，從啟發(fā)式、反病毒虛擬機(jī)、再到360的QVM，未知病毒技術(shù)也經(jīng)歷了一個(gè)并不短的過程。啟發(fā)式反病毒技術(shù)是借鑒了病毒特征庫的思想，將病毒的行為也形成一個(gè)經(jīng)典指令集的數(shù)據(jù)庫，可以識別一些采用類似指令編碼的未捕獲的病毒。反病毒虛擬機(jī)則是虛擬了一個(gè)CPU和內(nèi)存，并且模擬了一套X86的指令集和WINDOWS API指令集，將文件放在這個(gè)虛擬的CPU和內(nèi)存中執(zhí)行，不用真實(shí)運(yùn)行，就可以判斷該文件是否是病毒。

QVM則是未知病毒識別領(lǐng)域的又一個(gè)突破，它將人工智能技術(shù)應(yīng)用于病毒識別的過程當(dāng)中，首先通過對病毒樣本的分析和分類形成樣本向量和向量機(jī)，然后建立一個(gè)機(jī)器學(xué)習(xí)的決策機(jī)模型，利用決策樹和向量機(jī)，對大量樣本進(jìn)行學(xué)習(xí)，從而識別惡意程序或非惡意程序。隨著學(xué)習(xí)樣本數(shù)量的增加，再配合白名單，就能夠在識別未知惡意程序的同時(shí)，降低誤報(bào)，使未知病毒識別技術(shù)真正商用。#p#

云安全是互聯(lián)網(wǎng)對安全技術(shù)的一次顛覆

幾十億樣本的龐大規(guī)模和每天幾十萬種病毒產(chǎn)生的速度，徹底擊穿了傳統(tǒng)的樣本分析體系，無論多么有實(shí)力的安全公司也無法提供與病毒數(shù)量相匹配的樣本分析人員，安全領(lǐng)域即將迎來一次真正的危機(jī)。這時(shí)云計(jì)算出現(xiàn)了，全新的思維模式滋生了云安全體系，而云安全體系則拯救了整個(gè)安全。

云安全體系雖然來到世上的時(shí)間并不長，但是也經(jīng)歷了幾個(gè)發(fā)展階段。最初的云安全體系是以網(wǎng)絡(luò)爬蟲為基礎(chǔ)，遍歷互聯(lián)網(wǎng)內(nèi)容，用文件信譽(yù)、郵件信譽(yù)和URL信譽(yù)來對整個(gè)信息世界進(jìn)行安全判定。接下來云安全體系變成了以軟件客戶端收集用戶電腦上的可疑樣本，上報(bào)到云端樣本分析系統(tǒng)進(jìn)行自動(dòng)分析，然后將分析的結(jié)果形成特征庫再下放到客戶端的一個(gè)基于個(gè)人PC與云端PC的閉合的樣本收集和分析體系，取之于民用之于民。如今的云安全體系在用戶樣本上報(bào)和樣本分析的閉環(huán)系統(tǒng)中又加入了云查殺引擎的概念，所有特征庫不再下放，而是直接存在云端，通過云端鑒定的方式來進(jìn)行信息的安全識別。

云安全是一個(gè)顛覆式創(chuàng)新的技術(shù)，它的出現(xiàn)，不但拯救了整個(gè)安全，也拯救了整個(gè)互聯(lián)網(wǎng)。在云安全體系出現(xiàn)之前，所有病毒的識別都是基于對文件格式的解析，通過反病毒引擎和反病毒特征碼協(xié)同工作來對樣本進(jìn)行安全判定，樣本的分析、特征庫的積累、引擎的開發(fā)，在十幾年的發(fā)展過程中已經(jīng)形成很高的壁壘，所有的互聯(lián)網(wǎng)公司都無法在短時(shí)間內(nèi)叩開安全的大門，而此時(shí)后進(jìn)者開始嘗試以文件哈希的方法來代替?zhèn)鹘y(tǒng)的特征碼技術(shù)。文件哈希技術(shù)就象指紋一樣可以唯一標(biāo)識樣本，但是只要目標(biāo)文件改動(dòng)一個(gè)字節(jié)，也會導(dǎo)致文件的哈希值產(chǎn)生極大的變動(dòng)，這會使哈希特征庫在短時(shí)間迅速增大，最終使用戶電腦無法承受，因此在傳統(tǒng)安全領(lǐng)域，這種技術(shù)雖然可以避開傳統(tǒng)反病毒引擎技術(shù)和特征碼的積累，但是還是相當(dāng)落后的。

云安全的出現(xiàn)很好地解決了兩個(gè)矛盾，一是解決了無限增長的特征庫與用戶電腦資源不增長的矛盾，把特征庫放在云端，極大地降低了本地資源占用。另一個(gè)是解決了傳統(tǒng)特征碼技術(shù)與自動(dòng)化分析之間的矛盾。傳統(tǒng)特征碼技術(shù)基于人工分析，可以一條特征匹配多條樣本，一條優(yōu)質(zhì)的特征碼往往可以匹配上百萬的樣本，這無疑極大地降低了特征庫增長的速度，但是這種技術(shù)是基于文件的個(gè)體分析，無法讓機(jī)器自動(dòng)化處理。而哈希技術(shù)卻由于不依賴于樣本自身的結(jié)構(gòu)，可以自動(dòng)化處理，曾被認(rèn)為是一種落后的技術(shù)，但在云安全體系里，卻成了唯一的樣本判定技術(shù)，而云鑒定也不再依賴樣本的上傳，只要上傳十幾個(gè)字節(jié)的哈希值就能對文件進(jìn)行快速鑒定，擁有極高的效率。

360總裁齊向東曾經(jīng)說過：云安全以一種網(wǎng)絡(luò)化的分析手段來對抗網(wǎng)絡(luò)化的威脅產(chǎn)生，形成了一個(gè)正向的生態(tài)鏈，360正是依靠這樣的一個(gè)體系，獲得了60億的樣本，成為全球規(guī)模最大的云安全系統(tǒng)。雖然病毒樣本會不斷產(chǎn)生，但是隨著云安全規(guī)模的不斷擴(kuò)大，病毒會以更快的速度消亡。#p#

“木桶”體系堵住安全最短板

隨著網(wǎng)絡(luò)的無邊界化和數(shù)據(jù)爆炸式的增長，網(wǎng)絡(luò)安全問題也越來越嚴(yán)峻。同時(shí)，“棱鏡門”事件揭露了網(wǎng)絡(luò)數(shù)據(jù)被監(jiān)聽的事實(shí)，暴露出國家安全、網(wǎng)絡(luò)安全的嚴(yán)峻形勢。無論數(shù)據(jù)被惡意代碼破壞，還是被黑客監(jiān)聽，最終都使安全問題回歸到了安全體系如何建設(shè)這樣的根本命題上來。

安全體系的建議也經(jīng)歷了幾個(gè)階段，早期安全體系建設(shè)的核心思想是基于安全策略(Policy)、防護(hù)(Protection)、檢測(Detection)和響應(yīng)(Response)的P2DR體系，該體系的好處是基于風(fēng)險(xiǎn)評估理論，將安全看做一個(gè)動(dòng)態(tài)的整體，通過策略與響應(yīng)來使得安全問題形成閉環(huán)，但是該安全體系并沒有對安全威脅的本質(zhì)進(jìn)行分析，是安全體系的初級階段產(chǎn)物。

隨著安全威脅的不斷發(fā)展和對安全理解的不斷加深，人們開始對安全本質(zhì)進(jìn)行思考，出現(xiàn)了基于木桶原理的安全防護(hù)體系。木桶原理簡單的說就是整個(gè)系統(tǒng)的安全系數(shù)取決于最弱一環(huán)，因此整個(gè)安全體系的建設(shè)就是尋找整個(gè)網(wǎng)絡(luò)的所有安全邊界，然后將這些安全邊界進(jìn)行防護(hù)。傳統(tǒng)的安全防護(hù)思想就是基于木桶理論為用戶構(gòu)建一個(gè)完整的線式防御體系，但是攻擊卻是點(diǎn)式的，任何一點(diǎn)被攻陷，整個(gè)安全體系就會崩潰，因此基于木桶理論的基礎(chǔ)，安全體系建設(shè)的成本將會極其昂貴。

事實(shí)上，木桶理論雖然希望安全形成一個(gè)完整的體系，但是由于終端安全和邊界安全廠商的對立，這兩種安全事實(shí)上也處于割裂狀態(tài)，并沒有形成一個(gè)完整的整體。360提出的云+端+邊界的安全模型，則很好地解決了這一安全被割裂的問題。整個(gè)體系包括云安全平臺、邊界安全和終端安全三個(gè)關(guān)鍵部分。云安全平臺是指基于云計(jì)算技術(shù)構(gòu)建的安全威脅捕獲和分析平臺，分為公有云和私有云兩部分。在互聯(lián)網(wǎng)環(huán)境下，使用公有云，對于隔離網(wǎng)環(huán)境，則使用私有云。邊界安全是指基于網(wǎng)絡(luò)邊界的威脅發(fā)現(xiàn)技術(shù)。終端安全是指基于云安全技術(shù)的終端的安全管理與防護(hù)系統(tǒng)。三者互相協(xié)同，為企業(yè)環(huán)境建立一個(gè)生態(tài)的安全系統(tǒng)。