跨界思維的勝利
——360殺毒QVM引擎誕生記
自360殺毒2.0嘗鮮版10月中旬發布試用以來,在一些專業論壇中,網絡安全的愛好者們就將360公司自主研發的第三代人工智能引擎QVM視為焦點。在諸多的測試中,采用了QVM引擎的360殺毒2.0嘗鮮版一直保持著傲人的成績——它對未知病毒尤其是加殼與變種的檢出率達到了令人瞠目的90%以上,被譽為“最聰明的殺毒神器”。
不過,與任何艱難的創新一樣,在耀目的光芒之下,卻是360的QVM開發小組歷時兩年的艱辛探索,其中蘊含著閃亮的汗水與思想。
殺毒新思維
兩年前,當360公司進入殺毒領域,推出360免費殺毒的軟件時,周鴻祎就常把自己關在辦公室里,在馬友友低沉深遠的琴聲中反復思考一個問題:殺毒技術該如何突破?
以往的傳統殺毒技術大都過于依賴人工,通過專業的安全工程師對已出現的病毒進行行為特征分析,然后將病毒的特征制作成類似于“黑名單”的數據庫,通過定期更新的方式下載到用戶的電腦中。根據特征,殺毒軟件會對照每一個被掃描的程序,如果與特征相符,就認定為病毒。但是,這種方法是先出現病毒才會出現相應的特征碼,對于新型的病毒,特征碼的方式無能為力。
隨后,針對特征碼的缺陷,殺毒界出現了“啟發式查殺”的技術,也就是工程師們根據各種病毒的特征總結歸納,提煉出病毒的基本行為規律,按行為規律及特征來對病毒進行判斷,這種技術的優點是能很好的應對未知的新型病毒,但是卻大大增加誤殺率。
這兩種方法在周鴻祎看來都存在很大的缺陷,不僅大量消耗用戶本地電腦的資源,造成用戶體驗的糟糕,而且還一直處在被動的接招狀況中,在互聯網飛速發展的環境下,這些方法實在有一些落伍了。“在殺毒技術上,應該加進什么樣的新思維呢?”與互聯網惡意軟件做過斗爭的周鴻祎開始思索:如何用更好的方式對抗互聯網時代千變萬化的木馬病毒。
在現在的互聯網環境中,木馬的威脅已經遠遠超過了病毒,木馬的種類與變形非常多,而且木馬本身與惡意軟件一樣,具備攻擊能力,而傳統殺毒技術在面對木馬時就顯得遲鈍。而周鴻祎與360公司則擁有對付惡意軟件的豐富經驗,并且,360是一家完完全全的互聯網公司.“何不用互聯網的思維來對付木馬與病毒呢?只要發揮自己不同于傳統軟件公司的視野與思路,一定還有新的突破口!”說干就干,周鴻祎在接下來的兩年中,想盡辦法邀請了一批海內外一流的技術高手,其中有搜索引擎的專家、有殺毒軟件的專家、有系統底層的專家等,聚集在360安全研究院,潛心尋找新一代殺毒技術的突破口。
“門外漢”做殺毒
在周鴻祎與360安全研究院的技術專家的眼里,對付病毒木馬的關鍵點就是要把這些潛入或打算潛入到用戶電腦中的危險程序找出來,“查找”這個過程不就類似于互聯網上的搜索引擎嗎?在海量的信息數據中,用戶可以通過搜索引擎找出自己想找的網頁,而殺毒軟件要解決的問題其實有些類似,就是能夠智能地找出已知或未知的病毒,這種“智能”的“查找識別”也應該是新一代殺毒工具的核心所在。區別在于,搜索引擎要查找和識別的是網頁,而殺毒軟件查找和識別的是文件。
突破點就在這里——制作一個能夠具備學習能力的病毒智能識別引擎,如果可行那即便是未知的病毒也不在話下了。于是,360研究院決定了研究與開發的方向,把目標定在開發第三代殺毒引擎——人工智能引擎。
所謂的人工智能,實際上是讓電腦具備人類的學習能力,讓電腦自己來發現和學習病毒的變化規律。這樣一來,就能獨立地將新、老病毒的查殺率提升到前所未有的高度。如果這一想法能夠實現,無疑將給整個安全界帶來巨大的變革。這種想法極大地鼓舞著周鴻祎與360的團隊,不過,這個想法卻被很多人視為“異想天開”。
360安全研究院的負責人鞏是個經驗豐富、頭腦清楚的高手,他在machine learning(注:機器學習,人工智能的重要分支)方面十分在行,可以輕松地訓練電腦攔截各式垃圾郵件,甚至還可以識別手寫、指紋對比等等。但是對于殺毒來說,鞏自稱是個“徹頭徹尾的門外漢”。
就這樣,一個“門外漢”帶領十多個同樣并不一定精通殺毒技術、但對machine learning了如指掌的工程師展開了早期艱苦卓越的反復研究和試驗。“正因為我們不受傳統殺毒的條條框框限制,才能自由地發揮我們的技術所長,最后把兩者結合起來。”鞏說。
經過一年多緊張的開發,推翻無數個理論模型后,QVM引擎終于初具雛形。鞏和他的同事們小心翼翼地將它從虛擬環境中推送到現實環境中,準備接受真刀實槍的考驗。“實際上,你可以把QVM看成是另外一種形式的搜索引擎,其中最核心的是可以進行自學習的算法。這個算法與Google在搜索領域的Page Rank算法一樣,是核心機密。”鞏相當自豪地說。
痛并快樂著
理想狀態中的QVM似乎應該刀槍不入,實則不然。剛剛投入內測的QVM便遇到了一個猝不及防的大麻煩:大量誤報。這是因為與傳統方式相比,QVM更依賴機器的判斷,只要邏輯判斷稍有偏差,便會出現大量誤報的情況。因此,雖然一直以來誤報都是任何殺毒軟件不可避免的問題,但當QVM面對這一問題時顯然更加棘手。
為攻克擺在面前的這道最后、也是最大的技術難題,鞏和同事們立刻調整了策略,,重新訓練電腦對病毒的識別和判斷。但是,這項工作的難度和強度遠比看上去要大的多。“那段時間非常痛苦,壓力太大了我就會去抽煙,一支煙我只需要兩口就抽完了,‘兩口一支煙’的名號也就在那時落下了。”鞏自嘲地笑笑。
這還不是讓鞏感到最煩惱的,因為有些同事開始對枯燥的樣本檢測、分析逐漸失去耐心。“他們很迷茫,看不到這個技術的未來。”鞏回憶說:“但是好在公司高層一直非常支持我們,我們堅持下來了,最終看到了勝利的曙光。”
不愿遵循舊有的游戲規則,通過跨界的思維進行創新,360公司實際上就是用互聯網開放性的思維來解決傳統領域的問題,應該說,360QVM引擎的成功是互聯網的勝利,是跨界思維的勝利。
進入論壇>>推薦閱讀
開發人員必須使用VisualStudio2010專業版或更高版本。“VisualStudio2010ExpressforWindowsPhone”目前還不支持。 精彩推薦 11月30日消息,據國外媒體報道,微軟已經開始讓開發人員使用Visual Basic編程語言制作和發>>>詳細閱讀
本文標題:“門外漢”做殺毒塑造殺毒新思維 360推出殺毒QVM引擎
地址:http://m.sdlzkt.com/a/xie/20111230/191537.html
網友點評
精彩導讀
科技快報
品牌展示