不支持Flash

“毒眼”发明人谈中国的网络安全(实录)(2)

http://www.sina.com.cn 2007年09月10日 11:17 新浪视频

  主持人:我突然觉得杀毒这件事挺好玩的,我们已经不再是原来很痛苦地要把它怎么怎么样,可是现在像一种游戏一样,我们就是一个法官,我们来查出来,给他判罪,然后关进监狱里,很有意思,很人性化。

  李贵林:你说得很对,现在“毒眼”设计理论就是跟传统的有差异,我们认为用户是最后的法官,而不是像以前,好像杀毒软件是一种独裁的,用户是无权参与的。

  主持人:我们现在有了一个庞大的陪审团。

  李贵林:我们有了一个庞大的侦探系统、举证系统,用户可以清楚地知道这到底是不是一个病毒,干了什么事情,由用户判断,这是我们私下的一个差异。

  主持人:问一下美女博士,咱们的这种技术现在在国际上属于什么样的一种水平?

  刘欣:目前因为我们已经知道这个毋庸讳言,大家对传统的

杀毒软件不满已经越来越多了。

  主持人:是,没错,不然一说什么什么一工作我就不用工作了。

  刘欣:这是一方面。另外一个主要的不满是在于它的滞后性。传统的方法都是用病毒的特征码扫描这种方式,这个文件对应病毒库里的特征码是不是一样,如果一样就杀掉,再采取杀毒的方法,做手术,可能把感染的这一段从文件里删掉,有时可能就删坏了。它最重要的问题就在于它的滞后性。这样的话,也就是说如果再沿着特征码扫描这个思路来做,永远它是落后病毒的出现。

  “毒眼”这个思路就是,我系统行为轨迹的分析,我所有的程序行为的监测,通过这个对一些有害的行为、非法的行为,我认为可疑的行为进行阻断,在它动作之前,我进行拦截,或者是动作之后采取一定的措施,这样的话,我觉得它的优势是很大的,一个优势就是对未知的病毒,病毒现在变种特别多,因为病毒传播的机制、破坏的方式还是不大的,形式上变化了,原理上变化不大。所以,通过行为监控,应该还是非常有效的。

  另外,对经过加壳技术的,现在很多木马病毒加壳了,实际上你的特征码扫描就没用了,为什么很多木马杀不掉就是这样。对于这种木马,还有对于多态的经过加密的病毒非常有效,这是它的优势。

  而且我在看到“毒眼”这个技术之后,我也看了一下,到处调研了一下目前国内外的杀毒软件,确实是它的技术还是领先的。

  主持人:因为我们也都知道,因为我本人也在用这样一些杀毒软件,比如你在用的时候,一个是打开网页速度非常慢,然后它那种慢的速度完全使我应付不了工作,这是非常大的问题。还有就是很多就像您刚才说的,有很多是查杀不了的,已经被它先进的发展反而给代替了。

  咱们这种“毒眼”已经有了这样一个先进的技术,操作起来会不会变得非常麻烦,比如你们有几种专业版本可以供网民选择?

  李贵林:我们“毒眼”设计的时候有两个标准,一个就是针对专业级用户,就是这些计算机行家、发烧友这些人。因为我们记录了计算机里的一举一动,所以我们提供了一些“毒眼”分析,以及关联分析等等一些方式,你可以通过“毒眼”找到你机器里发生的一举一动,这个操作相对要复杂一些,需要你一定的专业知识,但是能把你机器的各种情况了解得非常清楚

  还有一个标准,对你这些普通用户,就是对计算机可能了解的比较有限的这些人,我们的设计几乎是零操作。刚才讲我们是自动进行分析,自动进行处理的,所以几乎不用考虑。有病毒的时候我们会自动报起来,自动关在监狱里,你什么也不用管。

  主持人:就是一个保姆型的杀毒软件。

  李贵林:对。

  主持人:他已经替你想到了,而且又是一个非常专业的保姆。

  咱们有了三项特别重要的技术,包括害虫监狱,事件恢复技术,事件恢复技术有没有什么特别的意义?

  李贵林:恢复这一块,大家的产品很多,但是大家的做法都是全盘恢复。什么是全盘恢复?把整个系统备份一下,或者把某个特定有意备份一下,如果发生什么事情,把备份恢复。我们的事件恢复跟它的做法有很大差异。我们首先看什么是事件,比如机器关机这是一个事件,好比家里进了一个小偷这是一个事件,小偷进你家会干什么事情?可能会偷、砸干的一切,因为我们毒眼把它全部记录在案。同时它破坏文件,破坏你的核心数据的时候,我们会自动进行一个紧急备份。因为我知道你做了什么事情,同时你破坏的东西我有备份,所以我能沿着你破坏的轨迹进行逆向恢复,这就是事件恢复。最后达到什么效果呢,就好比小偷没进来一样。小偷破坏的东西我还原,但是其它的东西一切照常,这样精确的恢复。

  刘欣:我倒感觉事件恢复是“毒眼”的一个亮点,我刚才忘说了。

  因为目前这些产品里还没有是精确恢复,精确到我受害之前的状态。一般的恢复或者是我用户事先有意地备份了,这是可以恢复的。不然的话无法恢复到我受害前是什么样,我精确地恢复到什么样。

  主持人:这是非常有用的亮点,非常实用。

  刘欣:对,非常实用。

  李贵林:多谢夸奖(笑)。

  主持人:哪儿,互相谦虚。再说说你的除奸技术。

  李贵林:除奸技术是一个形象的说法,由于现在木马病毒有很多办法,把

操作系统核心调运给驻流了,等于是篡改,把这些功能变成了为它所用、为它服务。就如同一个人由于被策反变成奸细了。

  主持人:网络的无间道。

  李贵林:我们会扫描操作系统的这些关键调用,会检查这个函数是不是正常。就像大楼里有很多保安,有可能有的保安被坏人策反了,可能没有关门。我们等于是把每个保安查一下,看今天该值班的是不是张三,这个地方换没换成李四,如果换成李四,李四从哪里来的,我们能够把所有的同案犯都抓进去。这就是除奸技术。

  主持人:您从小是不是侦探小说看多了,感觉您把杀毒游戏玩得游刃有余。

  李贵林:在现实中我是很木讷的。

  刘欣:这个也是非常有用的,现在很多病毒木马就修改了系统的文件,这样一些不是特别容易删除,或者直接就使你的安全产品失效。

  李贵林:使系统整个失灵。

  主持人:把这一块整个防控了。

  李贵林:关键人被策反,成了奸细。

  主持人:我们做的所有这些工作都是为了保护一个企业里包括整个单位里重要的文件,一旦它们遭遇了这种不安全因素,就会造成非常大的损失,保密文件的损失是最为慎重的。“毒眼”防护安全系统能不能针对保密文件有新的技术和创新呢?

  李贵林:这就是“毒眼”设计时候的一个设计思想的亮点之一。我们认为传统的安全产品设计思想基本上叫做“把手关隘式的”,是有一道关。而且设定假定是御敌人于国门之外,认为有这一道关,敌人不会进来。而我们考虑的是敌人有可能破关而入,考虑的是破关之后的防御,就是我们采取的预设防御。具体怎么预设防御呢?有一些机密文件不管把手多少关敌人也会进来。我们有一个文件保密技术,可以把文件放在保险柜里,敌人来了也是很安全的,正如你把婴儿放在家里。

  主持人:这个比喻绝对不对,一看就没有养过孩子,把孩子放进保险柜肯定憋坏了。

  李贵林:我的意思是放在安全的地方。同时对文件保险柜,我们还有一种在保险柜里运行的机制,我们还有规则,可以为保险柜定很多规则,可以指定这个文件礼拜一可以使用,礼拜二不让使用,或者哪个时间段可以,或者使用的时候需要什么密码、权限。通过组合的设定,能够把你的文件不影响使用的情况下很安全。比如现在有一些网站被黑掉,很容易发生的事情,通过保险柜,可以把你这些文件做详细精确的保护,可以使网站正常防护,同时别人很难黑掉,是这样,具有实用的功能。

  主持人:就完全放心多了。既然它的功能这么强大,包括类似于除奸功能,包括事件恢复,会不会占用我们大量的系统资源?

  李贵林:这一点也是很多做技术的工程师、专家们关心的问题。实际上我们“毒眼”推出之后……

  主持人:你是在表扬我是吗?(笑)

  李贵林:很多人问这个问题,甚至武断地说你这个文件资源消耗非常大。实际上我们通过三年研发,我们做出来的产品恰恰可以很响亮地回答这个问题,我们的系统占用非常低,我们的安装包只有4M大小,还包含了我们一个巨大的电子说明书,都在里边。我们的CPU平均占用会小于1%,可以试一下,从网站上下载。我们的常驻内存的开销是小于0.5M,只有几百K。这些使得我们的“毒眼”集成安全系统对系统的影响是非常小的,比现在的传统安全产品要好很多。

  主持人:这样的话也等于是不会占我们太多的东西,但是却能给我们提供很多服务。

  刘欣:对,可用性上确实非常好。

  主持人:实用。我们刚才听完李总的这些谈话,就觉得您特别细腻,咱们整个团队都特别细腻,已经想到了很多别人没有想到的这些东西,把它消失于无形,为大家创造一个这么好、这么便利的服务系统。您研究这个“毒眼”集成安全系统花费了多长时间?

  李贵林:应该说过程非常漫长。因为我们实际上花了接近三年的时间,我们有这个思路的时候也考虑了很长时间,真正开始做也花了3年时间。

  因为大家知道绝大多数的传统安全产品一年就能换一代,升级一个板块。但是因为我们这是一个新产品,我们是一个新思想、新思路、新技术,所以相比而言花费了非常大的代价,从2005年就开始做,一直做到今年才开始退出市场。

[上一页] [1] [2] [3] [下一页]

发表评论 _COUNT_条
爱问(iAsk.com)
不支持Flash
不支持Flash