【IT168 瑞星09技术大会报道】每年一届的瑞星技术大会堪称互联网安全狂欢节,众多安全领域专家纷纷在这个场合下发表自己多年来的研究成果。今年的瑞星2009技术大会,也可以说是一次对云安全的一次回顾与展望。面对众说纷纭的云,未来的应用和发展又在哪里?相信本次大会给人不一样的感受。
腾讯研究院下载中心总监黄琰总监:打造立体安全下载平台
第一个作为发言对我的挑战还是蛮大的,非常感谢与会方给我这样一个挑战。今天来到这儿,谈一些瑞星和其他互联网站合作的时候,我脑子里面反应出来四个产品特别适合来这样的会。一个是下载平台,一个是搜索引擎,一个是浏览器,还有就是支付相关的,我今天想的这些产品在会上都有一些声音。
先自我介绍一下,我在腾讯研究院工作,因为我是从上海赶过来,这次赶过来的行程也是比较匆忙。我今天讲的主题分为三个部分,第一个是我们讲用户的所期望以及用户的需求,第二个我们讲一讲在下载和安全方面各自的考虑,各取所长,腾讯公司一直非常关注用户的体验,去关注一个产品所具备的这种核心功能,这个功能怎么让用户更加入围,我们今天首先会讲下载市场用户最期望看到的一些需求。
在通常做杀毒软件的时候,我们会通常考虑用户所具备的四个基本需求,第一个需求就是搜索的道,包括从搜索引擎或者是从推荐网站可以找到这个资源,第二个是下载的对,下载的就是我下载的是我想要的东西,第三个就是下载的快,最后一个是高级功能就是你下了一段资源以后,我可以去推荐,去认定你还可能会喜欢一些、关注一些什么样的资源。
在这四个系在需求里面,我们搜索到、下载的到、下载的快是大家重点关注的,我们通常忽略的一个需求就是下的对这个需求尽量被忽略。我们把这个功能再做一下拓展,下的对是什么意思?在这里说明一下。第一个是下载的东西和自己预期是一样的,比如我下QQ2009的PS6,这是下载的东西和自己的预期是一样的。第二个就是安全问题,我下载的东西是没有病毒的,没有被恶意篡改过的,这是用户的需求。
说到这个程度,可能有人会想,安全的问题和下载软件有什么关系呢?我们回顾到互联网一个更可观的市场上来看,我们认为用户的下载是一个刚性的需求,就是说你在互联网做很多应用,像听音乐、玩儿游戏、下载是一旦使用网络,就必须要做的一个功能,我们这个用户称之为刚性需求。
现在行业里面的数据,现在有70%—80%的下载文件是通过下载软件,当然这个包括QQ无的旋风,有70%—80%的被下载软件是通过下载软件完成的,而在软件中有70%左右是可持续文件、压缩包的比例。这些文件都是在安全公司里面看来都是高危的,都是有可能被感染病毒的。所以在大的环境下面我们认为我们在做QQ旋风这样一个下载工具的时候,我们是有义务,在下载工具这一层承担起安全的一道屏障。
我们看一下这里,这里有一个搜索框,有一个当前正在下载的任务,有历史下载任务,后面又给你一些资源的推荐。这里面我们说了刚才用户的下载的一些刚性需求,我希望能够管理文件,我希望能够看到这个文件的大小是什么,这个下载速度是怎么样子。但是这个文件是不是对的?这个文件是不是安全的?在这个里面是看不到的。
我们看一下这个,用户很希望在我完成一个下载文件或者我刚刚发起一个下载需求的时候我希望看到安全属性,有三种属性,第一种是安全的,第二种是危险的,第三种是我还不知道,未知的。用户发现这是一个安全文件时候就可以很放心的下载这个,这个后面我会讲到,多维度保证用户下载文件的特性,会提前告诉这个文件是安全可靠的,你可以放心的下载,而不可靠的文件可以被标识出来。
因为每天都会有新的文件在互联网展现出来,对于这些文件用户还无法辨识是安全与否,这里我们就会用一个“?”展现出来,这是一个最早期的QQ旋风版本,这个就是目前是可知的。
在我后面想怎么考虑呢?用户还知道是或者不是还不够,如果是位置的时候本机转有杀毒软件,自动的去调用本地的杀毒软件去查杀这些目前安全属性还位置的文件。在旋风下面就关联本地已经安装的杀毒软件,会跟杀毒厂商做一些合作,如果他们有通用的API我们可以把这种厂商的结果反馈给客户。
而问题又来了,有些杀毒软件可能本身具备这种和其他软件沟通的渠道,甚至有些机器上还没有安装杀毒软件,所以旋风在这层次上又往前走了一步。这里会有一个标识,在这里我们可以看到提示用户,当你发现杀毒软件不支持这种红外间旋风的交互,或者本机没有杀毒软件的时候我们提示你关联这个杀毒软件,如果我们这里已经做了一些这样的提示杀毒,通过这样的合作,我们也建立了一套下载平台,QQ的下载平台和安全公司这样的一个建立通道,建立通信的一个机制。这是我们当前正在做,并且已经完成的一些旋风在安全方面性的考虑。
大家刚才留意的可能会想,为什么有些文件上面已经标着一个安全的标志?就是本地没有安装杀毒软件也会标这样的文件,有些已经打×了,告诉你这是有病毒的。其实就是告诉你,这个根据文件的特征做了一个安全的后台机制。在这里,腾讯并没有查杀这个病毒属于哪种病毒,我们也不封这一块,我们只是根据这个文件在网上通过这种,这个文件没有被篡改,特征性就不变。我们在后台进入了这样的特殊信息,并且通过一种方式不断的收集这些信息,因此告诉他们是安全的。
服务器后台也会有一套厂商的机制去查杀哪些已经后台里面可以识别的文件是有病毒的,或者是安全的。有些文件是新文件,我们的系统还没有发现他有病毒的时候,我们本地的杀毒软件,并且这个所监测病毒的结果作为一个重要的依据和服务器的做一个评估这个文件是不是OK的,随着我们这样系统在线上不停的改了以后,我们后台里面资源的安全信息就会不断的健全。也就是说,我们后来一段时间以后我们看到一些新文件会有这些安全信息未知的标识,大部分的信息是OK的,还有一些是危险的。
OFFICE的员工用一些软件,这些软件监测其实并不是需要要每年完整的查杀一次,这个是安装文件,安装后的文件,这个是要对这些文件校验,看这些有没有篡改,如果没有被篡改过就是安全的。其实旋风多做了一步,把所有的文件划成安全的、未知的、不安全的,这样的话就优化用户对这种可疑文件的风险,用户不需要对每下载的一个文件去进行一次单独的扫描。
刚才说了,在这个过程当中,这个旋风扮演这样的角色,就是我会全力的下载,怎么让下载的文件很快,速度很稳定,怎么样不会有中断,甚至就是这种多连接的评估。我们对这个怎么判断本地的这种环境有没有被篡改,或者去做一个病毒可疑代码扫描器,我们把这一块看出来,这个是我们年初的时候做一些这样的尝试,我们也接了一些安全方面的公司,听他们的建议。
我们在下载的渠道上铺了一条通路,设了几个管卡,这个就是让安全公司在里面放一些过滤网,把这些可疑的东西过滤一下。我们现在考虑已经在做一些工作是环境扫描,下载时的文件保护,就是没有启动这个任务,或者已经启动了就有这个标识。下载后的文件保护,如果这个系统不能告诉你是否安全,就会告诉你要查杀一次。
当然,刚才说的是文件安全,这种安全并不是我们碰到的安全问题的全部,实际上在做这样的一个具体的下载工具的过程当中,我们每天都会发现一些新的问题,这个实际上是上一星期收到用户投诉,很简单,你们是不是抽奖了,旋风的右边页面会出现这个图标,当然这个做的很不真实,在腾讯中骗你中奖,骗你赚Q币做的很多,但是对于我们来说这个做的是很不正常的环节。
这个过程当中,就这个问题而言一目了然,出现这样情况的原因可能是在一个区域的被劫持了,在这一个区域的域民被黑客代入到这个位置。还有就是本地的环境循环文件被篡改了,也就是在本地即使不连网访问的这个域民,都会导入到这个网站上,本地优先。
这是我们在3月份开放时合作的这种先河的时候并没有考虑的问题,当我们不断发现这样问题的时候,我们又采取一些新的方法,在这里我们目前也尝试着去做一些,和瑞星公司做一些环境扫描尝试性的合作。这个我们也和业内的同行包括QQ医生一起也做一些QQ盗号的一些传统的防御测试。当然发现这些问题以后,我们总有自信去找到一个合理的解决方式,去很快的保证问题解决,这个问题发展以后很多问题被解决。
下面做一个总结,说了这么多,这个PPT主要还是没有像今天上午的一些业界的人一样列的很多,这个主要是从用户的体验方面,就是说当旋风这样一个杀毒软件柔入这种特殊性以后,用户在变化上描述一些可能给用户带来一些什么样的变化,体验上最好不要变,但是安全性又提高。还是那句话,我们在做旋风的时候是认为对于这样一个有趣的数据,瑞星的量和旋风的量用户是持平的,如果曲线完全不一致的时候,我覆盖这么多用户,你覆盖这么多的用户,覆盖将近两个亿到三个亿的用户,我们觉得作为这样的平台,不能让用户下载下来就可以了,我们一定要把好这个安全关的。我们有了这么大的用户量,我们客户端和服务器共同参与去第一时间高效查杀一些可疑的问题。
旋风只是起着一个判定的过程,我们希望通过发现安全的问题、环境安全、环境问题我们会不断的做,尤其是我们作为一个重点,我们会发现会出现更多的安全问题的浮现出来。在过程当中有些不用讲,大家在使用旋风的时候会发现,有些软件下载就已经停止了,或者有些是盗了。就是这种辅助的信息被篡改了,让客户骂我们不行,把一个错误的文件下载下来。
我们希望在这个过程当中铺开一个路线,铺开一个通道,让安全厂商,不光是瑞星,也希望其他厂商加入进来,有愿意把下载平台这条通路管把好的我们都欢迎,谢谢大家!