1.3 技術(shù)簡史

自20世紀(jì)80年代末，網(wǎng)絡(luò)安全技術(shù)的發(fā)展先后經(jīng)歷了三個主要的時代，從最初的特征碼查黑技術(shù)逐步進(jìn)化到如今的“大數(shù)據(jù)+威脅情報”技術(shù)。網(wǎng)絡(luò)安全技術(shù)的進(jìn)化是攻防持續(xù)對抗升級的產(chǎn)物。表1-1對網(wǎng)絡(luò)安全技術(shù)的三個時代進(jìn)行了對比。

1.3.1 第一代：特征碼查黑

1986年誕生的“大腦病毒”是世界上公認(rèn)的第一個流行計算機(jī)病毒。大腦病毒誕生后的3年，即1989年，全球第一款殺毒軟件McAfee在美國誕生。第一個網(wǎng)絡(luò)安全技術(shù)時代就此開始，并持續(xù)了近20年。

在這個時代，以系統(tǒng)破壞為主要攻擊目標(biāo)的傳統(tǒng)病毒是網(wǎng)絡(luò)安全的主要威脅。不過，由于當(dāng)時真正會編寫病毒的人很少，病毒攻擊也大多沒有什么利益訴求，所以那時的病毒不僅簡單，而且數(shù)量有限，每年新出現(xiàn)的流行病毒約有幾百到幾千個。

正是在這樣的時代背景下，產(chǎn)生了以特征碼查黑技術(shù)為主的第一代網(wǎng)絡(luò)安全技術(shù)。所謂特征碼，簡單來說就是病毒所特有的程序代碼或代碼組合（病毒特征庫）。而殺毒軟件的作用就是拿著一系列特征碼和計算機(jī)中的程序文件進(jìn)行一一比對，一旦匹配，就將程序文件判定為病毒并進(jìn)行殺毒。

特征碼技術(shù)也被后人視為一種“非黑即白”的殺毒技術(shù)，也可以說是一種“查黑”技術(shù)。即如果軟件查不到特征碼，就會對相關(guān)程序完全放行，這在日后被證明是很不安全的。

同時，特征碼技術(shù)主要針對靜態(tài)樣本的源代碼，而不太關(guān)心程序的行為活動，導(dǎo)致“先感染，后查殺”的情況屢屢發(fā)生。另外，特征碼的提取對樣本分析師的技術(shù)水平要求很高，所以當(dāng)時安全機(jī)構(gòu)能力的高低往往取決于樣本分析師的數(shù)量和素質(zhì)。

1.3.2 第二代：云查殺+白名單

到了21世紀(jì)初，惡意程序的發(fā)展方向迅速從傳統(tǒng)病毒轉(zhuǎn)向以秘密盜竊和惡意植入為目的的木馬程序。由于木馬程序能夠給攻擊者帶來顯著的經(jīng)濟(jì)收益，因此迅速出現(xiàn)了木馬產(chǎn)業(yè)化、樣本海量化和木馬行為復(fù)雜化的形勢，木馬攻擊一度泛濫成災(zāi)。

安全形勢的急速惡化給第一代網(wǎng)絡(luò)安全技術(shù)帶來了前所未有的挑戰(zhàn)。首先，惡意程序每天新增幾十萬到上百萬個，根本不可能完全靠人工的方式進(jìn)行收集和分析；第二，互聯(lián)網(wǎng)應(yīng)用越來越多，單純靠特征碼已經(jīng)很難分辨病毒，針對特征碼的免殺技術(shù)也層出不窮；第三，病毒特征庫快速膨脹，直接耗盡了計算機(jī)的計算和存儲資源，計算機(jī)越來越卡，越來越慢。

2006年以后，人們在互聯(lián)網(wǎng)技術(shù)中引入了安全技術(shù)，逐步形成了“互聯(lián)網(wǎng)技術(shù)+傳統(tǒng)安全技術(shù)”的“互聯(lián)網(wǎng)安全技術(shù)”，其中最具代表性的技術(shù)包括白名單、云查殺、主動防御、人工智能引擎。

白名單的思想是，除確認(rèn)可信的程序以外，其他一切程序都不可信，都必須接受包括云查殺、主動防御等安全技術(shù)的監(jiān)控。

云查殺技術(shù)將原本放在計算機(jī)中的特征對比工作放在了服務(wù)器中，從而解放了計算機(jī)的計算和存儲資源，同時實現(xiàn)了病毒特征庫的實時在線更新。特別是在基于程序指紋的殺毒技術(shù)出現(xiàn)以后，病毒只要被發(fā)現(xiàn)確認(rèn)，就可以越過特征分析被立即查殺。

這里解釋一下，基于程序指紋的殺毒技術(shù)就是首先通過數(shù)學(xué)哈希算法計算出一個程序文件的數(shù)字指紋（一個字符串，具有唯一性），如果程序是惡意的，就把數(shù)字指紋加入黑名單；如果程序是可信的，就把數(shù)字指紋加入白名單；其他的加入灰名單。當(dāng)用戶計算機(jī)運行一個程序時，只要提取這個程序的數(shù)字指紋和云查殺服務(wù)器中的數(shù)字指紋進(jìn)行比對就可以了。如果在黑名單中，就直接查殺；如果在白名單中，就直接放行；如果在灰名單中，就視情況給予一定的風(fēng)險提示。由于早期的程序指紋提取使用的是MD5值，所以這種方法又稱為“MD5值殺毒”。

主動防御技術(shù)是指對程序的行為進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)如篡改驅(qū)動、秘密下載、修改瀏覽器設(shè)置等危險操作，就會立即采取防御措施并對用戶進(jìn)行提示的技術(shù)。這種方法對于防范黑名單之外的木馬程序非常有效。由于主動防御技術(shù)也屬于一種“查行為”的安全方法，因此，有些情況下它也被視為二代半的安全技術(shù)。

人工智能引擎首先對程序文件建立數(shù)學(xué)模型，之后提取程序文件多種維度的數(shù)學(xué)特征和代碼特征，再通過機(jī)器學(xué)習(xí)形成判斷規(guī)則，最后自主判斷哪些程序的特征組合是有害的，哪些是無害的。

第二代網(wǎng)絡(luò)安全技術(shù)的特點可以概括為“查白”。這一代技術(shù)立足于動態(tài)防御，目標(biāo)是“御敵于國門之外”。同時，人工智能引擎的出現(xiàn)大大降低了人工分析的難度，多數(shù)情況下，樣本分析人員只需要判斷一個程序是好是壞就可以了，至于如何提取特征，由計算機(jī)完成。

1.3.3 第三代：大數(shù)據(jù)+威脅情報

第二代網(wǎng)絡(luò)安全技術(shù)在民用領(lǐng)域的實踐中取得了巨大的成功。計算機(jī)時常中病毒的情況得到了有效的改善。但進(jìn)入21世紀(jì)第二個10年后，情況又發(fā)生了巨大的變化。在這個時代，設(shè)備多樣化、系統(tǒng)復(fù)雜化、攻擊多元化的情況開始越來越普遍。多樣化的接入設(shè)備，使得我們很難再通過某款安全軟件來解決全部問題。我們不可能給家里的微波爐、孩子的運動鞋、工廠里的機(jī)械臂都裝上安全軟件。系統(tǒng)復(fù)雜化的問題則主要出現(xiàn)在企業(yè)和機(jī)構(gòu)的信息化改造過程中。業(yè)務(wù)邏輯、網(wǎng)絡(luò)結(jié)構(gòu)和管理機(jī)制的多樣性與復(fù)雜性，使得每一個信息系統(tǒng)都如同一個復(fù)雜的迷宮，讓安全保衛(wèi)工作無從下手。而與設(shè)備多樣化、系統(tǒng)復(fù)雜化相比，攻擊多元化帶來的問題更加致命。這種多元化，主要表現(xiàn)在三個方面：一是攻擊者目的的多元化，勒索、挖礦、竊密、破壞，干什么的都有；二是攻擊者身份的多元化，毛賊、內(nèi)鬼，什么人都有；三是攻擊者手段的多元化，滲透、掃描、預(yù)制（設(shè)備或軟件出廠時就是帶毒的）、釣魚、漏洞、社工（社會工程學(xué)）、詐騙等，無所不用。

可以說，惡意程序早已不再是唯一的攻擊手段，甚至也不再是主要或必要的手段。所以，前兩個時代的以惡意程序為主要對抗對象的網(wǎng)絡(luò)安全技術(shù)顯然都不太有效了。于是，以大數(shù)據(jù)、威脅情報、人工智能、協(xié)同聯(lián)動等技術(shù)為代表的第三代網(wǎng)絡(luò)安全技術(shù)涌現(xiàn)了出來。

第三代網(wǎng)絡(luò)安全技術(shù)從2014年開始初見雛形，在2015年以后迅速發(fā)展起來。第三代網(wǎng)絡(luò)安全技術(shù)的特點可以概括為“查行為”。這一代技術(shù)的核心目標(biāo)不再是程序與程序的對抗，而是人與人的對抗。安全工作者對抗的目標(biāo)是“攻擊者與攻擊者的行為”，而安全技術(shù)和產(chǎn)品則成為延伸“人”的能力的工具。在這個時代，網(wǎng)絡(luò)安全工作對“人”提出了更高的要求，遠(yuǎn)超此前的任何一個時代。

如果要用三句話來概括網(wǎng)絡(luò)安全技術(shù)的發(fā)展歷程，那就是：

從查黑，到查白，再到查行為；

從靜態(tài)，到動態(tài)，再到大數(shù)據(jù)；

從先感染后查殺，到“御敵于國門之外”，再到快速發(fā)現(xiàn)、快速響應(yīng)。