丁一鶴

·連載

黑客圍獵（中）

丁一鶴

如果說鄭文彬親自掌控的挖漏洞的攻防團隊是他的殺手锏、血滴子，那么他統(tǒng)領的近500人的安全團隊，就是360的御林軍。我們電腦上常用的XP盾甲、360云查殺、360云防御等都是出自他們之手。

經過近10年的磨礪，鄭文彬對于網絡安全，也從興趣轉為責任。他經常對同事說：“網絡安全的攻防永無止境，只有不斷創(chuàng)新和進步，才是最好的安全解決方案。”

鄭文彬進入奇虎360之后，一清插件，二滅木馬，三補漏洞，很快在360內部成了大神級的人物。當時的360安全衛(wèi)士屬于安全輔助軟件，并不是嚴格意義上的殺毒軟件。360揮刀殺入安全市場，就必須幫沒有裝殺毒軟件的用戶解決殺毒問題。

奇虎360調整市場策略確定進入殺毒市場決策之后，原360安全衛(wèi)士負責人成為360殺毒軟件開發(fā)的負責人，但在360殺毒軟件上線的緊張時刻，他突然提出辭職。

在周鴻祎與360安全衛(wèi)士負責人的博弈中，周鴻祎的底線之一是：你走可以，但不能挖走鄭文彬，把他給我留下！

360安全衛(wèi)士負責人爽快地答應了。事實上，在360安全衛(wèi)士負責人決定離開時，也跟鄭文彬談過，但鄭文彬婉言拒絕了：“老周對我不錯，我決定留下！”

360安全衛(wèi)士負責人出走后，奇虎公司正式揮師殺毒領域。奇虎高層注意到，在此之前，中國互聯網軟件推廣過程中，共發(fā)生了兩次收費PK免費的戰(zhàn)爭，前兩次戰(zhàn)爭分別發(fā)生在電子郵箱、電子商務領域，每次戰(zhàn)爭都是以免費的勝利而告終，并帶來更好的產品、服務和商業(yè)模式。奇虎公司內部達成共識，互聯網安全軟件免費是大勢所趨，至于帶來什么新的商業(yè)模式，誰都不知道，但有一點是實踐證明了的，只要有用戶支持，就會創(chuàng)造新的商業(yè)模式。

周鴻祎力排眾議，做出推出免費殺毒軟件的決策。盡管周鴻祎覺得這個決策事關自己的聲譽與夢想，但多數人都認為周鴻祎在進行一場豪賭！

2008年7月17日，奇虎公司召開新聞發(fā)布會，宣布正式推出殺毒軟件，并宣布永久免費。周鴻祎在發(fā)布會上豪情滿懷地說：“殺毒軟件市場，到了重新洗牌的時候了！”

周鴻祎當然明白，推出安全免費軟件，就等于把以前做安全的公司全得罪了。瑞星、江民、金山，人家可都是靠賣安全軟件生存的。而且那時候，這幾家殺毒廠商都是大款，周鴻祎的奇虎公司卻是個窮小子，公司一分錢沒掙呢，全靠投資人給錢做公司。而聽說周鴻祎要搞免費殺毒，著急上火的投資人恨不得給周鴻祎下跪！

而用戶們最關心的是，你奇虎360宣稱免費，會不會永久免費？好不好用？

很快，奇虎公司為倉促上陣而吞下苦果。360免費殺毒軟件推出不久，很多用戶發(fā)現，這款殺毒軟件只是將羅馬尼亞廠家的軟件漢化后，就投入市場，并沒有更多的創(chuàng)新與進步，安裝后不是死機就是查殺不了病毒。鄭文彬他們在做殺毒第一個版本時遭遇了滑鐵盧，當時引進羅馬尼亞的一個軟件，采用的方法是包裝羅馬尼亞的殺毒引擎，再加上360的殺毒程序幫用戶解決問題。

本來360安全衛(wèi)士挺受歡迎，但360殺毒的第一個版本做得實在很差，推出之后，網上罵聲一片。便宜沒好貨，很多用戶發(fā)現不好用的時候，立即邊罵邊卸載了360殺毒軟件。

把心提到嗓子眼兒的殺毒廠商們，本來拉開架勢準備與周鴻祎一決雌雄，這下都紛紛笑了：傻小子睡涼炕，全憑火力壯，周鴻祎闖進殺毒市場，完全是蹚渾水來攪局了，這下丟人現眼了吧。

當一種產品免費的時候，用戶選擇你很容易，卸載也只在舉手之間。新上線的殺毒軟件因為存在缺陷，很快被用戶棄用。眼看著360殺毒軟件裝機量一路走低，奇虎公司高層急得像熱鍋上的螞蟻。

此時的奇虎人心浮動，風雨飄搖。360安全衛(wèi)士負責人出走之后，再遭遇用戶的信任危機，360安全團隊雖然勉強聚攏起來，但人心已經完全渙散，讓這個團隊攻城拔寨去打攻堅戰(zhàn)，誰心里都沒底。

為確保攻克殺毒軟件，奇虎公司拉開架勢，從奇虎搜索團隊臨時抽調了幾個可靠的幫手，與鄭文彬他們成立了360殺毒應急小組展開攻關。

攻關成功也就罷了，一旦失利怎么辦？那就意味著滿盤皆輸！周鴻祎在電光火石之間想到了他擔任天使投資人時期曾經投資過的一個人：波波虎公司的掌門人朱翼鵬。

攻克殺毒軟件難關，必須同時展開內外兩條戰(zhàn)線作戰(zhàn)。奇虎360力邀外援朱翼鵬加盟，請他帶領突擊小分隊連續(xù)突擊。

在奇虎360內部團隊，總負責人是周鴻祎，其他參與者全是奇虎公司的一流高手。

其次是首席技術官李釗，他是周鴻祎上大學時候的師兄，更是引導周鴻祎進入方正的引路人，是資深技術大咖，鮮有敵手的程序高手。后來360上市，李釗一人占了公司1%的股份，可見他在業(yè)界的分量。

第三個技術大咖叫趙君，業(yè)界名頭響亮，現在是360公司獨當一面的業(yè)務經理。

第四個是鄭文彬。

“救火隊長”朱翼鵬果然不負眾望，他帶領4個人的突擊隊外線作戰(zhàn)，重新打造出了一款全新的360殺毒軟件。隨后，鄭文彬團隊在朱翼鵬開發(fā)的殺毒軟件基礎上，進行了細致的測試，并把殺毒軟件的容量縮小，以便快速下載安裝同時少占內存。這款軟件不但能夠查殺硬盤和網絡病毒，同時也能查殺U盤等外接硬件的病毒，阻斷可能攜帶病毒的外接硬件對電腦的侵襲。

時隔一年之后，奇虎360再次發(fā)布殺毒軟件。這次經過兩個團隊用一年時間打造的殺毒軟件一上線，市場就迅速產生巨大變化。瑞星、江民、金山等三大殺毒軟件的市場份額均出現了不同程度的萎縮，360的用戶數量暴增，大有躍居行業(yè)第一的趨勢。

僅僅半年之內，360在殺毒市場上就占有了三分之一的份額，超過了帶頭大哥瑞星，躍居行業(yè)第一。而在此前的9年時間里，瑞星連續(xù)排名第一。

周鴻祎躊躇滿志地對媒體宣稱：“網民是互聯網商業(yè)價值的創(chuàng)造主體，360殺毒的使命就是徹底扭轉花錢才能買到安全的歷史?！?/p>

周鴻祎一手推動的免費殺毒，必然會爆發(fā)一場與殺毒廠商的戰(zhàn)爭。此后360與眾多殺毒廠商展開了曠日持久的大戰(zhàn)。

開創(chuàng)中國網絡安全云時代

2008年8月，新款殺毒軟件推出之后沒有多久。鄭文彬下樓的時候一腳踩空，200多斤的體重瞬間轉移到一條腿上，鄭文彬只聽到耳朵里傳來咔嚓一聲，這刺耳的聲音伴著劇疼和冷汗，瞬間把鄭文彬擊倒在地。

去醫(yī)院一拍片子，腿骨折了！

打上夾板和石膏的鄭文彬，再也動不了了。

重傷也不能下火線，鄭文彬的工作場地從辦公室搬到自己的出租屋。鄭文彬來北京后，在公司附近租了一套90多平方米的兩居室。鄭文彬之所以看中這套房子，原因是有一個30平方米左右的客廳，擺滿巨大松軟的沙發(fā)，回到家他就隨時可以把自己摔進沙發(fā)里。

這個客廳隨著鄭文彬腿部骨折，很快成了360的會議室和研發(fā)中心。每天一上班，周鴻祎安排好公司的事情，就帶著團隊直奔鄭文彬家，幾個人身子往沙發(fā)里一摔，就開始爭論上了。

在鄭文彬家的客廳里，周鴻祎拋出了一個令人撓頭的問題：“殺毒軟件推出之后，我發(fā)現一個大問題，傳統(tǒng)殺毒軟件包括我們的軟件，殺毒速度普遍很慢，而且天天要更新。這個問題不解決，我們就無法在這個行業(yè)處于領先位置。我們最早是做搜索的，我們的服務器做云端的能力很強，能不能把殺毒軟件放到云端？”

“全世界還沒有人做這種殺毒技術的，如果發(fā)揮我們的長處，這個思路應該是我們做殺毒產品的思路?！编嵨谋蚪釉捳f。

趙君補充說：“安全對于每個用戶來說都是很重要的事情，誰也不想讓自己的電腦癱瘓。以前的殺毒軟件普遍存在一個問題，就是只利用了互聯網的傳輸功能，并沒有太好地利用互聯網的計算功能。用戶還是每次上網之后連接到殺毒軟件廠商的網站上，下載病毒庫，然后依靠自己的電腦進行查殺。這對用戶來說是一件很麻煩的事情。長此以往，客戶機上的病毒庫會越來越大，占用越來越多的計算資源，最后使得系統(tǒng)越來越慢。我們在使用電腦的時候就有這個體驗，往往是把某個殺毒軟件卸載之后，速度明顯提升了一個檔次。”

“因此，老的殺毒模式可能已經走到了盡頭，我們必須拿出一個新的殺毒模式。能不能把原來放在客戶端的分析計算能力，轉移到服務器端上？這樣，客戶端的容量大大減小，電腦速度就快了?！敝茗櫟t提出了他的設想。

鄭文彬不無擔憂地說：“這對我們提出了更高的挑戰(zhàn)，意味著我們必須在最短的時間內分析出用戶的電腦是否已經被病毒感染了。但是，單純依靠收集病毒特征，被動地防御還是挺難防住的。要知道，每個小時全世界會產生2萬多個新病毒。”

鄭文彬提出自己的擔憂后，見周鴻祎、趙君等幾個人沒有插話，只好直接說出自己的見解：“我的設想是，在病毒進入計算機之前進行攔截。因為病毒進入計算機，需要經過傳輸，而在傳輸過程中，只要我們發(fā)現并提示是否有病毒，并且阻止病毒進入電腦，一切問題迎刃而解。國外有專家提出過這個人工智能的設想，就是利用云端技術，而我們恰恰擅長這個技術。”

周鴻祎分析說：“我們做搜索，云端技術已經很成熟，比如要搜索東西，怎么分類，已經做得很好。但我們需要看看，全世界最牛的安全公司，他們怎么樣殺毒？他們有很多的分析員，有的殺毒公司在菲律賓就招了2000多人，那邊的人力成本便宜，請他們專門分析病毒。2000多人什么概念？當然我們招不了這么多人，我們可以利用人工智能，去學習一些分析病毒的方法?！?/p>

趙君說：“我們都不太懂人工智能技術，但可以找一些人工智能專家，討論一下這個問題，能不能用人工智能幫助我們殺病毒?！?/p>

周鴻祎說：“我也注意到了，國外有最前沿的殺毒公司在論文中提到這個設想，但他們只是理論上的探討，誰也沒做出產品來。所以我們可以先來實踐一下，看看能不能實現。”

鄭文彬天生具有一種直覺，能從成千上萬的可能性中挑出最好的路徑。他說：“那就真的是機緣巧合了，一個做搜索的公司去做殺毒軟件，有先天優(yōu)勢。我們在搜索中先有人工智能的云端技術，再加上殺毒技術，兩下合并起來，說不定搞出個核裂變?！?/p>

鄭文彬一激動，顧不上腿疼，一下子站起來：“這樣一來，就把人力解放出來了，我們把病毒的所有特征和指標做出來，就等于一個過濾網，無論什么軟件從這里過一下，人工智能就能分析判斷是不是病毒。這辦法很多人想過，沒在殺毒上做過，都停留在理論的階段模型上。我們有幾個億的病毒樣本數據，用人工智能調整模型，提高判對判錯的能力。我看過國外一本書，說的是一位非常優(yōu)秀的畫家同時做頂級黑客。我覺得做安全軟件一樣，不僅僅是技術的事情，如果把技術思維和藝術家的奇思妙想結合起來，就會出來很新奇的點子。”

這個觀點得到大家的贊同，在大家看來，病毒的發(fā)展激勵著反病毒思維和技術的進步。周鴻祎說：“現在通過提前給病毒畫像，病毒來了再作對比的情況就會越來越少。主動防御成為更為廣泛的殺毒手段，因為病毒都有一定目的和行為，我們可以利用先進的技術分析它的行為，防御此類以及與其類似的病毒。我們的安全團隊已經構建起一套自動化的病毒處理系統(tǒng)，大多數的病毒檢測、分析和處理都能靠這套系統(tǒng)解決，系統(tǒng)由云端控制，到時候只需要升級云端就行。這樣就可以省出更多的人力負責開發(fā)安全產品或者分析更為復雜的病毒?！?/p>

“站在云端俯視大地，就像雄鷹在高處，可以隨時發(fā)現獵物的出現，這樣可以根據病毒威脅的趨勢變化，進行數據挖掘，具有實時發(fā)現、動態(tài)調整和快速剿滅的特性?！编嵨谋蛘f，“無論是快速爆發(fā)的大規(guī)模攻擊威脅，還是針對特定用戶的定向攻擊，都可以第一時間發(fā)現并進行處理，這可以解決傳統(tǒng)反病毒技術的時間差問題?！?/p>

“既然問題談透了，你們這就著手去做吧！”周鴻祎一錘定音。

2008年，“云”成了IT行業(yè)最熱門的名詞。自從Google推出“云計算”以來，IT行業(yè)的各大廠商無一例外地卷入了一場“云的戰(zhàn)爭”。從“云計算”延展開來，很多IT廠商也根據自己所處行業(yè)的實際情況推出了相應的“云計劃”。

所謂“云”，其實指的是后端（服務器端），也就是平時我們很少能夠看到的那一端，正因為平時難得看到，所以有一種虛無縹緲的感覺，也許就是因為這個原因，才被稱為“云”。我們平時能夠看到的是什么呢，當然是自己用的電腦和手機這些東西了，也就是所謂的“客戶端”。

傳統(tǒng)的病毒查殺技術落后，是云查殺興起的原因之一。傳統(tǒng)的通過病毒庫來識別病毒這種技術遠非完美，經常會出現新病毒查不出，不是病毒卻被冤枉的現象，給IT界帶來很大的損失和糾紛。

云安全思維確定之后，鄭文彬帶領殺毒團隊聯手人工智能專家，很快把人工智能殺毒模型做到穩(wěn)定的水平，領先于全球各大安全殺毒廠家。

云查殺是對傳統(tǒng)安全技術殺防能力的一次解放，云查殺是在傳統(tǒng)特征查殺的基礎上，結合云計算和大數據分析，進行創(chuàng)新和改進。客戶端收集本地樣本在各個維度上的信息，發(fā)送到云端進行鑒定識別。

而發(fā)動攻擊的黑客，難以快速定位安全軟件的檢測方式，也就無法快速進行免殺和變形。同時，識別和殺毒在云端完成，避免了傳統(tǒng)殺毒軟件將病毒數據庫存儲在用戶計算機上所消耗的性能和存儲成本。無論是快速爆發(fā)的大規(guī)模攻擊威脅，還是針對特定用戶的定向攻擊，都可以第一時間發(fā)現并進行處理，解決了傳統(tǒng)反病毒技術的時間差問題。

云安全打通了病毒的發(fā)現和處理兩個部分的障礙。也就是說，病毒還沒到電腦上呢，就在云端被識別和查殺了。等于有個孫悟空騰云駕霧，手搭涼棚給所有用戶站崗放哨打妖怪。

隨后，360推出了使用人工智能機器學習的方式，自動分析和鑒定惡意軟件的QVM技術，并將其應用到本地防御與掃描引擎中。

人工智能技術本身并非高不可攀，但如何教會機器準確地利用人類的經驗，確保在誤報和漏報之間實現平衡，是基于人工智能技術的惡意軟件識別能否成功的關鍵，也是這些探索和嘗試的最大難點。而幫助鄭文彬突破這一難點的關鍵，正是云安全技術積累的海量樣本，以及通過大數據的方法對海量樣本的分析和處理。

最終，借助人工智能技術，通過海量云端數據訓練鍛造的QVM引擎不僅針對惡意軟件的檢出能力遠遠超過絕大多數其他安全產品，在誤報比率上也比傳統(tǒng)安全軟件低了很多，真正實現了高速、精準識別的目標。目前，QVM引擎的開發(fā)已經到了第三代，并被部署到了云端的自動分析系統(tǒng)上。

互聯網安全技術正在經歷顛覆與重塑，360敏銳地抓住了這樣的趨勢，實現了技術上的彎道超車。

沿著這個思路，360在國際上首次推出了云查殺。這款智能防御安全軟件的優(yōu)勢在于，在病毒還沒有進行破壞的時候，安全軟件就發(fā)現它有問題，把它給攔住。就像大街上的萬人之中有一個小偷，他沒下手的時候你不能抓他，但你可以隨時盯著他。只要他剛剛把手伸出來，孫悟空就在云端看到這個微小的動作，然后一棍子將妖怪撂倒在地。

無論是白帽子還是黑帽子，所有的黑客都是創(chuàng)造者，像建筑師、作家一樣。

云查殺上線之后，鄭文彬發(fā)現，有一些新出來的軟件和病毒，云查殺無法分辨是好是壞，也不敢殺它，但在云端可以實時監(jiān)控。如果是病毒，只要發(fā)現它做違規(guī)的操作，就立即抓住它。但另外一個問題是，如果不是病毒呢？整天監(jiān)視著別人的正常軟件也不是個事兒啊，盡管機器不是人，監(jiān)控那么多海量的軟件也累啊。

怎么處理這個問題呢？

360的解決辦法是，形成獨有的云安全技術體系、智能引擎和白名單收集技術。

用戶屢屢中招，是因為現在的病毒更狡猾。鄭文彬注意到，在此之前的殺毒模式是找到病毒后給它畫個像，如果再遇到攻擊，就通過啟發(fā)式方法找到它。但現在的病毒木馬和漏洞更復雜，只是通過畫像來尋找病毒的方式落后了。

另外，層出不窮的病毒木馬、漏洞在類型上也有了變化。鄭文彬注意到，以前是感染性的病毒占主流，但現在竊取用戶虛擬資產或網上銀行的病毒木馬增多，惡意流氓軟件、插件、釣魚網站越來越讓用戶煩心。

傳統(tǒng)殺毒技術是基于本地病毒庫來防護和查殺的，也就是俗稱的黑名單。傳統(tǒng)殺毒軟件體積龐大，占用用戶大量電腦資源，同時病毒庫保存在用戶電腦上，更新速度很慢，一旦用戶忘記更新，殺毒軟件基本形同虛設。這樣的先天缺陷導致殺毒軟件很難第一時間對付最新的木馬和病毒，所以才會發(fā)生震蕩波、熊貓燒香之類的大規(guī)模電腦中毒事件。用戶當時的深刻感覺是花錢買了殺毒軟件，不管用還導致電腦很卡。

區(qū)別于傳統(tǒng)殺毒軟件，360云安全體系在服務器上不僅有黑名單，還收集了國內最全的白名單，覆蓋了99%以上網民常用的操作系統(tǒng)和應用軟件。也就是說，只要一個文件不在白名單中，它就很可能是新的木馬病毒，360云查殺引擎會限制它的敏感操作，而且盡快進行安全性鑒定，一般在30秒以內就能捕獲網上新出現的木馬病毒。因為大部分運算都在服務器上進行，不會像傳統(tǒng)殺毒軟件那樣用起來很卡。給用戶的直觀感受就是殺毒軟件變小了，不用總更新病毒庫，但防護能力卻更強了。

在360白名單機制和云查殺技術剛剛推出時，并不被業(yè)界看好，但隨著360產品迅速被用戶和市場接受，國內外一些老牌安全廠商紛紛開始效仿、跟隨360的網絡安全新理念，白名單機制和云查殺技術如今已經成為國際上安全軟件的一個標配。

這不僅讓中國網民率先免費享受了世界領先的安全技術，而且也是中國互聯網行業(yè)罕見的引領某行業(yè)互聯網產品世界潮流的成功案例。

做程序在很多人眼里是很枯燥的，但對鄭文彬來說，卻是一種藝術創(chuàng)作。技術做到一定高度，最后就變成了藝術。

2010年1月27日，360安全衛(wèi)士發(fā)布第二代木馬“云查殺引擎”，向各種經過“免殺處理”的木馬程序全面開火。第二代云查殺引擎采用了360獨創(chuàng)的“程序分級控制”技術，可將電腦中的所有程序按安全級別進行分級管理。該技術徹底改寫了傳統(tǒng)殺毒軟件無法識別未知木馬的歷史，即便是那些經過免殺處理的未知木馬，也難逃360的超級法眼。

所有木馬都在做兩件事，首先是想方設法潛入用戶電腦，然后挖空心思讓自己運行起來，進而盜取用戶財產和隱私。傳統(tǒng)殺毒軟件對付木馬的做法是一刀切，能識別的木馬就殺掉，識別不了就放過，自然就漏掉了大量未知木馬。而采用了程序分級控制技術的新版360云查殺引擎，不光能查殺近億種已知木馬，還能有效管理所有陌生程序的危險行為。

鄭文彬說：“如果把木馬比喻成藏在用戶身邊的炸彈，360云查殺引擎就能確保把炸彈引信拆除，讓它變成不會起爆的啞彈?！?/p>

新版云查殺引擎再度通過技術創(chuàng)新，大幅增強了對未知木馬的查殺能力，可實時秒殺所有木馬、惡意軟件等風險程序。

“我們不敢說能夠百分之百檢測一個陌生程序是不是木馬，但絕對能夠保證把所有木馬變成無害的死馬，真正保護用戶的上網安全，至少現有的木馬技術，還沒有能突破360木馬云查殺引擎的特例。”鄭文彬自信地表示。

（未完待續(xù)）

（責任編輯／濰河）