周鸿祎：杀毒软件厂商应该转型，把电脑还给用户

　　周鸿祎称，木马病毒每天还在不断的涌现，用户不断升级病毒库、木马库，最后杀毒软件文件越来越大，使得系统变得非常慢，很多人不愿意安装杀毒软件。
　　
　　“打一个不太恰当的比喻，世界再危险，穿上防弹衣、坐上防弹车，每小时速度只有20公里，即使他保证这个东西很安全，可能你也不会有上网的乐趣，用电脑也会有很多痛苦。”
　　
　　以下为360公司董事长周鸿祎演讲实录：
　　
　　周鸿伟：从最近两年来一直在耕耘，因为在我觉得我们做的还不够好，人们用进化论，如果天天在这种会上在闪光灯下给媒体讲话，越讲越溜，突然站在这样一个讲台上去讲，我反而觉得心很虚，千言万语我不知道怎么讲，所以刚才安排的砸木马的程序我觉得有定信心吧。
　　
　　为了把做云查杀的事情和大家做一个分享？实际上360刚才齐总也总结了过去的一些创新，但是确确实实虽然我们通过免费的杀流氓，通过免费的给用户打补丁、补漏洞赢得了中国70%的用户。
　　
　　刚才冯鑫等给我们很多夸奖，但是我们没有成功的感觉，虽然流氓软件是被遏制了，但是整个互联网的安全形势实际上越来越严峻。
　　
　　我今天在这儿不多讲，大家从电视、报纸、广播上都可以看到木马越来越肆虐，大家上网没有保护就像裸奔一样，在网上各种对你电脑的威胁，对个人的隐私，包括虚拟资产会偷窃，这两年木马越来越严重，谁能够真正解决这个问题，这才是对360真正的挑战。
　　
　　我有两个感觉：第一个是关于杀毒软件，一个已经做20年的行业，它的核心技术可以说是一直基于收集病毒样本，采集病毒特征，组成病毒库，在每个用户的机器上按图索骥，像通缉令查坏人一样去查杀病毒，现在木马起来之后，当你手里有一把榔头的时候，看所有的东西都是钉子，但一个事实就是，杀毒软件已经教育了20年的产业，今天不需要我在这里多讲，每个人都用过，每个人的机器装过一套，甚至是多套杀毒软件，如果杀毒软件真能解决问题，今天木马不应该这么猖狂。
　　
　　我们也看过很多评测，一个非常有意思的现象，评测方找一些死木马、死样本，放在用户的磁盘上，因为这些木马和病毒安全厂商都已经拿到过，所以当然他们做到查杀率99%，但实际上是怎么样的，如果你是一个小弟，过去做病毒是一个高水平的黑客，由于有了互联网、互联网的沟通，很多黑客也在出卖他们的技术，交流技术，今天只要花很少的钱就可以买一个木马的内核，在网上通过各种免费的工具，也就是一个不太会编程的小弟，社会青年就会造成一个属于他自己的木马，在放这个木马之前，我也和一些木马的人微服私访去聊过，你一定会拿杀毒软件试一下，如果纷纷报警，再傻也不会放过去。
　　
　　今天在搜索引擎里面输一个词免杀，会提供无数的的免杀的工具，所以就形成了这样一个悖论，一方面说话的杀毒软件都在宣称自己的查杀能力高达99%，拿了无数的国际的评测标准，但是在真实的用户环境里面，新木层出不穷，甚至新木马只有几星期，等仪式到这个木马该偷的都已经偷完了，该盗的号都已经销赃了，所以现在大家感觉杀毒软件很难对付这些新木马、快木马。
　　
　　第二个比较奇怪、滑稽的现象，现在的计算机越来越快，可是大家感觉没觉得机器快多少…成功的把你机器的CPU耗劲了，成功了把你的内存耗尽了，所以现在很多人不是不用杀毒软件，实在是用了杀毒软件会导致他的机器的资源、速度会严重的降低，甚至很多杀毒软件，一边杀毒，一边发出杀猪叫的声音，本来对你有帮助的保镖、一个助手，让你的计算机变得非常慢，需要不断的升级。本来很多病毒是通过恶作剧让我们的机器变慢，劫持我们的电脑，现在杀毒软件已经成功做了这件事情。
　　
　　所以很多人不装杀毒软件，PC裸奔就是觉得杀毒软件太慢、开销太大。这两个现象我们很多人都感同身受，打一个不太恰当的比喻，世界再危险，穿上防弹衣、坐上防弹车，每小时速度只有20公里，即使他保证这个东西很安全，可能你也不会有上网的乐趣，用电脑也会有很多痛苦。
　　
　　我想这个原因特别简单，我给大家做一个解释，因为在过去20年里面，所有的安全公司、所有的杀毒软件都是基于一个对病毒库、木马库的样本采集，然后把它采集到的病毒库、样本库放在你的电脑上，今天你装一个杀毒软件，光有一个杀毒引擎是不起作用，是需要借病毒库、木马库，没有了这个样本库、病毒库杀毒软件确实一堆废纸，不能有任何作用。以前每年把撑死有百种病毒，雇一些精英采集这些病毒，再重新更新到用户的机器里面，这种模式在过去的十几年可以工作。
　　
　　但是现在随着互联网的流行，我想在网上有很多这样的文章，像木马产业链的这种发达，整个现在木马制作技术的门槛的降低，使得今天木马已经变成互联网的威胁，甚至木马每秒钟可能都会有新的木马制作起来，已经被杀毒软件发现的木马，经过任何一款免杀软件，经过病毒库、木马库会出现什么样的情况，只要收集不到、采集不到，这个木马杀毒软件就看不到它，所以在很多有杀毒软件的机器上，木马依然横行。这就是我刚才说的杀不了问题。
　　
　　第二，你们回去安装任何一款杀毒软件，你发现杀毒软件现在动辄是50兆起步，甚至有了杀毒软件基本上到了七八十兆、一百兆，大家可以想象一下一个技术软件为什么那么多，随着病毒样本的增加，大家想象一下，杀毒软件的病毒库会无限的膨胀，最后你的硬盘要给他腾出很大的空间来存放病毒库。
　　
　　而杀毒软件的引擎在查杀病毒的时候，把病毒库放在内存里，所以你可以理解装了杀毒软件，2G、4G的内存，要拿1/3的内存来装杀毒病毒库。最后杀毒软件非常成功，是你机器开销最大、占资源最大、CPU运算能力最大的一个软件。我们可以说让我们的计算机不断的升级，我们双核变四核，我们可以装64位的操作系统。
　　
　　但是前面讲了木马病毒每天还在不断的涌现，所以我们要不断的升级病毒库、木马库，所以叫秒级升级、迈级升级，无论是在打游戏、看视频，杀毒软件无时无刻的不断的加病毒库、木马库，亡羊补牢，我们就在想这难道是唯一的解决之道，在360冲击这个市场的时候，我们已经给了这样一个20年没有什么革命和创新的市场，在商业市场给了他们一个创新，我们认为杀毒软件不是来卖的，我们认为安全软件是免费的，不给木马、病毒软件不留出繁殖的土壤，在今天技术上可以用与众不同思路解决这个问题。
　　
　　实际上在做360云查杀引擎之前，我们在过去三年做了一些尝试。我举两个例子：因为对今天的安全厂商来说，20年如一日干一间事，他们已经把传统的杀毒软件做的炉火纯青，每天在你的论坛里面，拿几十兆的病毒库去按图索骥，我们没有想按互联网的方式解决问题。
　　
　　刚才齐总就是漏洞补丁，很多人忽视给自己的机器及时的发现漏洞，打上补丁。过去大家觉得不方便，也想不起，也不知道为什么要打补丁，对杀毒公司来说打补丁也不一定重要，但是我们换一种思路说苍蝇不叮无缝的定，就是因为有漏洞病毒才会渗透进来，我们360第一时间发现漏洞、打上补丁，让你的机器没有缝隙，让木马没有机会渗透进来，你也不需要花很多的精力、金钱去查杀。
　　
　　无论是微软操作系统，还是应用软件，在第一时间发现了漏洞，我们就会第一时间告诉用户，赶快把你的漏洞补上，只要用户OK我们会自动做这个事情，坦率说这件事的技术难度，只是我们投入的服务器和带宽，技术难度不高，但是非常有效的在中国解决了木马泛滥的问题，即使没有装传统的杀毒软件，也不是因为我们做的有多好，而是漏洞被补上了中招的概念小了50%。漏洞补丁只是我们的一种思考，我们希望跟传统杀毒公司不一样的思路来解决问题。
　　
　　这一次我们推出的云查杀，或者说云引擎实际上就是基于云安全、云计算做出来的引擎，刚才冯鑫和齐总都提到零升级，我们这个引擎最大的一个特点，就是在本机上有扫描和查杀的引擎，但是没有任何病毒库和木马库，我们把所有的病毒库和木马库都放在中央服务器集群上，无论这个病毒库和木马库，特别是现在日益昌盛的木马产业，大家知道真正的云计算就是把计算从每个用户的终端电脑上搬到中央服务器，只要在用户的机器上体现结果、成果就好了。
　　
　　所以我们在中国25个省建立了数据中心，我们投入的几千台服务器成为云计算的一个核心，大家知道360的技术团队前身是做搜索引擎的，所以我们今天把做搜索引擎的技术，实际上是在服务器端做了一个面对这些扫描安全软件的引擎，来帮助我们的360的云查杀前端，能够把机器里面的这些文件的状态和信息送到服务端来进行及时、迅速的查询。
　　
　　这样的话在任何时候，你不需要去下载任何的病毒库和木马库，当然也谈不上升级木马库和病毒库，只要在服务器端发现任何发现有病毒只要扫描就会享受这种成果，包括我们把大量的查询、分析工作放在服务器端，使我们今天的云查杀引擎实现了中国电脑教育报给大家做的报告，我们内存开销大概是1/5，我们的扫描速度大概是他们的10倍。这我们谈的零升级、零负担，这是是否安全、云计算的标志。
　　
　　仅仅是把木马库、病毒库放在服务器端就真正解决问题了，如何查杀未知木马呢，刚才我指出的杀毒软件的问题是不是你也有呢，是不是能查杀随时变换的木马呢。第二点，我们的云安全和别人不同的地方，也就是说对于很多已知的木马和现在新出来的木马，我们构造了两个云，一个云是几千台服务器构造的中央处理集群，现在我们拥有的2亿用户，还有使用的1亿台电脑，构成了一个网络，这个网络越强大帮助我们快速的发现新的威胁，因为里面有很多技术细节，就举一个例子让大家理解。
　　
　　在用户对木马的搜索我相信大概只有20%是和中央服务器的木马库去进行对比，但是我们有80%是基于我们对木马本身行为的判断，基于我们对木马通用特征的判断，然后和服务器进行一种智能的通信和分析。我想想讲的更贴切一些，而不是举例子。
　　
　　一个新的木马在没抓到之前并不知道是存在的，面对网络的威胁，通过一台孤立的机器，无论装的杀毒引擎有多么强大，都无法判断软件是否有威胁，Vista，运行一个程序有没有危害，yes、no，因为在一台机器上并不知道是好坏，有的用户按了yes，有的用户按了no，所以不是解决之道，在用户的电脑上，我们的云查杀引擎发现一个陌生的程序的一个奇怪的软件，我们就会关注，我们会采集它的行为特征，我们不会让用户做判断。
　　
　　因为用户是没有判断能力的，除非木马的行为非常拙劣，我相信很多主动防御软件已经实现了类似的功能，但是今天的木马变化越来越多、行为越来越复杂，包括恶意软件和正常软件也很难区分，所以我们会把刚才采集的信息传到中央服务器集群，如果这个木马不再做任何的传播，是一个安安静静的死马，我们认为这个木马没有威胁，我们的系统不会有反应。
　　
　　但是这个木马一旦传播，又传播了一个新的机器里面，也是在网络里面马上就感知到，这台机器也会向中央集群报告，当100、500、1000台机器报告的，中央集群服务器会统计、搜集信息的分析和反馈，会智能的判断出来这个文件不一般，在这么短的时间里面能够迅速的流行，而且它的流行有很多的相似形，我们的警报就会报警这个软件的样本会在我们后台有一个自动化的流程进行分析，一旦判断完就会把它加到我们网站中心的木马库里面，当传播到1001台机器的时候，这时候我们的传感器已经能够通过和总部的通信知道说这是一个危险的程序。
　　
　　我举两个例子：当年我在雅虎的时候，大家都知道反垃圾邮件是非常难做的事情，很多的技术和这个很类似，通过分析垃圾邮件的正文来判断是否是垃圾邮件，只要把写信的风格不变就分辨不出来了，但是雅虎当时做垃圾邮件也是用互联网的思路解决问题，这个方法跟我们有异曲同工之妙，所以你想象一样是一个垃圾邮件的作者，不会只发一千封，一回发一万封以上，当发几万封以上，雅虎所有的邮件都存在中央服务器，当发现一个邮件发了一千、一万个邮箱，根本不用判断这封信的内容，就可以判断是一封垃圾邮件，所以道理是一样的。
　　
　　大家如果还有印象，在03年非典刚起来的时候，当时没有一个中央疾病采集和控制机制的时候，比如说非典在各地出现，各地的医院凭着自己的经验去判断，它的特征很不明显，有地方把非典当感冒治、肺炎治，结果就没有一直到是一个流行病毒的威胁，所以到今天甲流肆虐的时候，每个国家都有中央疾病控制中心，及时的采集各种样本和病例，哪怕不知道，虽然现在不知道病毒内部的DNA和分子结构是什么样的。
　　
　　所以这次的查杀引擎并不是建立了中央服务器，这样的网络也是一个新的防护网络，不是靠一台电脑在做判断，而是靠上亿部的。