瑞星公司 钟玮：各位下午好，很高兴能有这个机会跟大家一起来就共同感兴趣的话题进行探讨，我在瑞星公司工作八年了，算是元老了，身材比以前圆了，岁数比以前老了，但是从我踏如瑞星起，前天我们一起吃饭的时候还讨论一个问题，就是说为什么我们安装了杀毒软件，依然会受到病毒的侵犯，为什么有些病毒总杀杀不干净，那么这个问题实际上是困扰我们杀毒软件行业一个很长时间的东西，以前我们往往会看杀毒软件是不是最新版本，是不是用的最新的操作系统等等等等。那么以前我们这些是能够解决很大一部分用户的困惑，那么随着互联网的不断发展，随着我们客户的信息安全的意识不断的增强，那么这些问题客户已经都解决了，但是效果并没有得到任何的改变，那么这个问题到底是什么呢，实际上就是我们的对手也就是计算机病毒，它从传播、制造各个环节已经发生了一个革命，已经不是以前的病毒了，它现在已经发生了一种重大的改变，那么这种重大的改变至少可以体现在两个方面。

　　那么第一个方面，我们看到以前我们所要熟知的一些病毒，尤其是DOS时代的，比如说小球病毒、世界杯病毒等等，那么我们现在返过来看这些别度都非常卡通，在屏幕上跑一辆救护车，有时候突然在浏览网页和文档的时候突然蹦出鱼尾的图象，然后吓唬你一下，其实那个不是病毒，因为没有对你系统和文件造成了损害，但是对人造成了损害。台湾有一个女孩因为这个东西神经病了，现在我们回头看这些病毒很卡通，这种卡通的病毒是这样的，就是因为制造这些病毒的这些人一开始他的根本目的就是为了显示自己的技术水平，或者是到社会发泄，或者是基于其他目的，都是基于个人的目的，那么到了现在，病毒发生根本的变化，现在制造者是追求以病毒的制造和传播已经形成了一个完整的产业链了，大家看这个图，是分工明确的制造传播贩卖获利非常成熟的病毒产业链，那么有专门的人负责漏洞的挖掘，有专门的人负责病毒的制作，有专门的病毒销售人，他们也有客服，就是根据你的需求定制，或者是定制你需要什么样的漏洞，当然这是付费的。

　　那么病毒尤其木马病毒制造上，那么从木马病毒传播上我们可以看到，受害者实际上是盗号人已经形成了完整的产业链，那么我们在某些黑客的网站上我们也看到了一些漏洞被公开的贩卖，IBMDB2的一个漏洞，你猜猜多少钱，1050欧，但是我没有买，我们是采取了批判的态度来看这个东西，但是我们想，其实现实就是这样，在巨大的经济利益的推动下，那么病毒的制造者越来越多的侵犯我们，这是病毒的一种形式的表现，这是第一点。

　　第二点从传播上来讲，我们以前的病毒大多是通过盗版光盘、U盘等等这种单机的形式传播，那么互联网发展到现在，更多的尤其是网页木马这样的形式，病毒已经互联网化了，它同时在索索引擎、下载网站，或者在其他自己制造的一些网站上利用这种SU的技术进行优化，它的这种传播性比以前产生了一天翻天覆地的变化，有一组数据可以证明这一点，2002年的时候我们每年新增的病毒样本数量大约是两万个左右，那么2008年有一组数据，这个是国际化比较知名的厂商的数据，现在每小时就有两万个新增病毒，如果你觉得耸人听闻的话，我们还有一个数据可以验证，前几天我们在瑞星开了一个互联网发布大会，也发布了瑞星全球反病毒检测网的一个数据，2008年我们全球反病毒检测网检测到的数据新增病毒量的数据是950万，那么面对病毒这种革命，面对我们对手不断的进化，那么传统的杀毒软件公司，我们以往是去哪些手段去应对的呢。

　　先来看一下，我们现在杀毒软件不管是瑞星也好，还是其他杀毒软件也好，升级频率比以前要高出很多!以瑞星为例，在2002年的时候每周升级一次，03年是三次，到了07年每周升级21次，也就是每天升级3次，为什么会有这样一种变化呢，就是因为现在的病毒数量跟以前已经不是在一个数量级上了，但是频繁升级是否能够解决病毒爆发的问题呢?显然不可以，我们知道刚才那组数据!比如说我们每个小时有两万个，去除一些其他因素，即便是每天有两万种新的病毒爆发的话，那么02和08年相比新增病毒样本数量至少是365倍，那么如果我们的升级频率也成为365倍的话，每周要升级365次，这意味着每天升级的次数是52次左右，这样的升级频率没有一种操作系统，或者没有一种资源能够承载得了，所以这种方式靠频繁升级跟病毒比速度不是很现实的方法，这也是为什么杀毒软件为什么依然会受病毒的侵犯，这是普遍上采取的策略。

　　另外一种策略就是我们的主机防御和主机检测技术，就是我们不断的完善我们主机防御，这张表是瑞星公司从98年到2008年的数据，时时监控包括虚拟机，还有包括一些虚拟机下的病毒分离行为，这样的技术我们不敢说已经发展到了一种及至，但是也已经发展到了相当的高度了，从单机或者从主机来讲，我们已经发展到了一定的水平，但是依然没有解决问题，这是为什么，我给大家举个例子，大家可能都玩儿过CS游戏，分为两种一种是警察，一种是匪徒，如果我们限定一个规则，就是匪徒每反击一次能够伤害一个客户，警察每反击一次能够抢救我们一个客户，我当一个警察，我们主持人是匪徒，如果我们两个人都用手枪的话，我每发射一次子弹伤害一个人，如果这样的话他反击一次伤害一个人，那么我可以以这样的方式是救得过来的，但是现在形式发生变化了，他不用手枪了，他用的是机关枪，这样他每反击一次能发射1000颗子弹，就是他反击一次咱们在座的所有人都中招了，而我还是用的手枪，我如何应对这种形式的变化，除非我加快反击的频率，这是不太现实的，就像我刚才说的频繁升级不现实，这道理是一样的。

　　另外我还有另外一种方式，就是我不断的发展我的手枪技术，原来可能是38大盖后来变成组合手枪，如果我不改变反击一次只发射一次子弹的根本策略，我永远不是他的对手，这就是我们现在反病毒行业遇到的最大的问题，就是说病毒已经互联网化了，而我们的安全还没有互联网化，那么很显然传统的安全模式或者是安全策略已经无法面对病毒互联网化这样一个心的课题了，那么瑞星公司的解决方案是什么呢，就是要用安全的互联网化来面对病毒的互联网化，那么看这个图这个就是瑞星云安全的整体的一个架构，这个架构就是我们对付病毒的机关枪。

　　大家看这个图，最上放可能是某一个软件、某一个论坛等等，那么这个威胁通过下载网站，通过用户网站，通过搜索网站，通过各种渠道论坛等等进行传播，那么在这里我们云安全客户端如果有足够大的数量的话，他会在第一时间迅速的感知和捕获这种安全威胁，那么这些安全威胁感知捕获以后，它会把这种威胁传递到威胁信息数据中心，也就是威胁信息数据集群，有两千到三千台组成的数据集群，那么收集到这些信息以后进行来源挖掘，我们会挖掘到这个信息是从何而来的，如果我们只有一个样本、两个样本，我们是无法判断来源的，但如果我们客户端能让我们获得的样本更多，我们就可以很大程度上来挖掘到威胁到底是来自何方。

　　那么处理这些威胁以后，我们会把这些威胁处理的结果提交到自动分离处理系统，这也是一个数据中心，经过自动分离处理，这里边运用了云计算比较多一些，进行了这种计算，然后把结果反馈给服务器和厂家平台，使它形成一种互联网的服务，再反馈给客户端，以至于所有的互联网用户都可以用，这样的话就是我们整体的大致的架构，这个架构最大的好处就是什么呢，以前我们的客户服务人员，如果一个新的病毒爆发，我们获取样本，比如说这个病毒，它同时感染了1千个用户，那么我们要获取这样的信息，我们必须要接一千个电话，我才知道这个病毒感染的规模，还有类型，包括它感染的地域从哪爆发的，而我现在有一千个客户端的话，我就不必做这样的事情，如果客户端如果能够感知到这种威胁的话，他在一分钟或者十分钟就会把威胁传递给我，我们就会了解整个互联网受破坏的情况。

　　最重要的一点，我们能够通过挖掘集群和自动分离处理系统，能够找到恶意威胁的来源，这种来源不是制作的来源，至少是传播的来源，这样的话如果这个病毒产生了变种，或者利用来源进行新的传播的时候，我们的分离处就会立刻感知到这样的东西，在它进行传播之前，就把它拦截下来，并且告知所有的云安全客户端，这样从很大程度上解决了病毒的传播，这样我们就不再被动了。

　　那么我们看，实际上整个云安全体系都是建立在云计算基础上，如果没有云计算支持的话，不可能达到这样的程度，那么在互联网的高速接入以及扩展到并行处理能力的时候，我们都运用到了云计算技术，一开始整体的架构在测试期，因为我们还没有很多客户端的支持，在测试期的时候我们采取立段这样的形式，那么这种准备以后，我们现在已经有了几万个测试的云安全客户端的支持，那么这样的话我们发展的第二阶段就是把这种收集的信息进行分布，并且统一的计算，包括资源的重新分配，可以实现这样一个目的。

　　云安全计算的应用特点，我们可以使快速高效的信息收集成为可能，使这种可靠、安全的数据存储成为可能，使强大的分布计算成为可能，也使信息安全的高效分布成为可能。这张表实际上就是我们云安全和云计算之间的一些联系，大家可以看一下，那么自从瑞星实现了这种云安全以后，取得了哪些成果呢，我想也借这个机会跟大家分享一下。

　　这张图是07年的3月份到10月份和08年3月份到10月份同期的一个数量的比较，底下这个蓝色的线，是07年的数据，那么上面红线是08年的数据，那么我们以8月份为例子，我们07年8月份截获的数量是两万一千，8月份我们云安全实施的时候我们截获的是三百五十七万多，我们工作效率提高了150倍，上面这张图是08年的10月份，我们截获恶意网址的数量的表，这个是我们云安全实施了一段时间以后我们对客户端进行了一个统计，这时候我们可以看到最高的时候，我们一天截获的数量就是8422，这样一个数量，这个是以前所做不到的。

　　那么综上所述，我觉得应对病毒互联网化我们只有安全的互联网化才能解决这样的问题，就是说我们只有应用我们自己的机枪才能对抗别人的机枪，这是我今天跟大家分享的。

　　问1：您刚才说的如果用云计算以后，如果病毒进行攻击以后，后台响应速度会快，而不是功能增加，因为我看过一个数据。

　　瑞星公司 钟玮：我估计这也是一个速度的问题，因为我们云安全客户端来讲的话，一方面是收集互联网上的威胁，一方面共享云端的计算，可以减少本机的占用。

　　问2：我想问一下云安全技术能够把网络上的病毒能够很好的查杀拦截，如果对于移动存储能否实现?

　　瑞星公司 钟玮：很少，如果监控的话U盘什么都……

　　问3：原来我们接触的百度病毒，有没有可能云安全技术在移动存储设备上进行一些应用，在本地做一些应用。

　　瑞星公司 钟玮：本地还是本地的主机防御技术，我们主要是考虑到互联网，因为现在90%的新增病毒都是网络化形式。

　　问4：在使用过程当中，你觉得客户端是几层结构，我们有一个太网中心是一级，然后我们是二级，然后到客户端以后，比如说你有病毒，它不做及时提醒，比如打开这个Word文件，因为我们处在网络中心的位置，底下的用户很多人在跟我们提这个问题，然后他的一些信息反映在中心的位置上。

　　瑞星公司 钟玮：这个是网络版和单机版的不同，网络版最大的优势是可以进行统一查杀和管理，本地可能感受不到，比如你出去吃饭，它该升级升级，该查杀查杀，都是由系统中心控制，这样是非常好的一种方式。

　　问5：这个方式非常好，但是对客户端及时提醒的这种不是很好。

　　瑞星公司 钟玮：好象是查杀病毒于无形。

　　问6：有些人可能不习惯，比如说他误删了一些文件的时候，他可能会对我们很有意见，希望客户端那边给他反映一个记录，在那个记录上他知道我发生了什么问题，但是他发生的问题你也支持了，他很不习惯。

　　瑞星公司 钟玮：这个问题我们回去反映一下，看看能不能解决。

　　问7：我想问一下走企业化的杀毒软件是很现实的一个事情，包括现在很多的软件，瑞星现在走企业版通过WSOS服务器，瑞星在云计算这方面对企业版有什么特殊的要求吗?

　　瑞星公司 钟玮：我们现在主要还是客户端如果是209单机版的话，它都会有一些选项，询问你是否参加云安全，企业版暂时不做这种部署和考虑。

　　问8：现在企业当中会产生一些……

　　瑞星公司 钟玮：这个可能，因为企业里边比较复杂，如果我们现在有足够大的量，我们现在如果客户端有足够大的量我们才能把云安全跑起来。

　　问9：云安全客户端主要就是向Google的浏览器一样，把客户的计算能力都利用上了?

　　瑞星公司 钟玮：没有。

　　问10：那么客户端怎么叫云安全?

　　瑞星公司 钟玮：客户端主要是病毒的感知和搜索的能力。比如某一个云安全客户端访问了某一个网站，受到了攻击，它立刻就可以反映到数据中心，以前做不到。

　　问11：我想大概问一下瑞星在投资云计算这块大概有多少?

　　瑞星公司 钟玮：这个不是我批的，不是很清楚，整个服务器是3500台的预算，应该是几千万以上，从根本的理念上改变传统杀毒软件行业的被动局面的一种方式。

　　问12：我想问一下威胁收集的部分，以前客户端用户受到了危害，然后打电话过来，然后你们确定它是一个病毒之类的?

　　瑞星公司 钟玮：是这样的，比如说我在原来互联网大会上举了三鹿奶粉的例子，有个时间我打电话说有小孩得肾结石了，我可能说你肾结石是不是水质原因，还是其他方面，我不知道你是一个个体还是群体的，是你的防护措施没有到位还是怎么样，仅凭一个电话我是做不到的，但是如果全国几千个小孩同时得了肾结石，那么这个是个群体事件，而且在群体事件的时候，我们在自动分析处理系统能够挖掘到来源，这一千个小孩大多数喝了某个品牌的奶粉，都是从石家庄出来的，而以前我们做不到这个，我们一定要受到一定数量的电话，才能够把这个东西总结出来，我收这个信息的过程可能一天两天甚至三天，在这个情况下病毒可能会发生更多的变化，现在如果客户端感知能力强的话，可能一分钟两分钟就知道了。

　　问13：感知能力强是什么意思?让客户端自动在用户的终端机上面反馈?

　　瑞星公司 钟玮：用户端跟以前一样，并没有加载任何新的系统，只是感觉到了以后快速上报，到我们的处理中心进行统一计算。

　　问14：和带宽有影响吗?

　　瑞星公司 钟玮：这个没有影响，我们日志的流量是非常小的。