参观金山公司见闻及感想总结

wd19880427

4月23日~24日，来自爱毒霸社区、卡卡论坛、精睿论坛、剑盟社区、卡饭论坛的众多论坛网友，应金山安全软件公司的邀请，从全国各地齐聚珠海，组织了一次对金山公司内部的全面参观并举行了一次盛大的研讨会，并且深入了解了金山安全的运行体制和发展观念。

4月23日晚，大家刚刚下飞机，稍作整理之后，便应金山市场总监的邀请，马不停蹄地赶往金山总部大楼参观（具体图片已经发布在http://bbs.kafan.cn/thread-688305-1-1.html）。当时已是夜晚9点多了，而金山的安全工作室仍然有不少工作人员正在忙碌，处理新接到的产品建议和BUG投诉。金山安全的工作环境非常优美，到处是生机勃勃的绿色植物。工作人员的工作台虽然物品众多但并不杂乱，基本每人都有两台以上的电脑。工作室外，设有休息厅，落地玻璃外就是美丽的大海，我在那坐着都觉得很心旷神怡。联想到卡巴斯基实验室的紧凑和NOD32的反病毒中心的淡雅，金山安全工作室有着中国企业自己的特色。

匆忙的参观，并不能满足我们的好奇心。作为网友，我们更感兴趣的是金山的安全理念和产品核心技术。这次来到金山，最重要的议程，就是了解金山自有的“云安全”技术和“防大于杀”的安全理念。对于“云安全”技术，我们都带着或多或少的疑惑，包括隐私性、安全性、滞后性、本地防护能力等。对于金山迟迟不出主动防御和加强型的自保护，我们也有着长期的疑问。于是在24日上午，在金山公司会议室，特地安排了一场全面的、深入的安全探讨会。

24日的安全探讨会分为五个部分：

一、金山安全公司的安全理念
二、金山网盾和急救箱的修复能力展示
三、金山毒霸的数据反馈收集、修复系统
四、金山云安全的核心技术：第二代水银系统
五、金山安全的本地防护增强器---月光宝盒介绍

我下面将所得到的信息进行分类解说和总结。

一、金山安全公司的安全理念※

      金山毒霸产品首创于2001年，第一款产品是金山毒霸.net，这是一套真正意义上的病毒防火墙，引擎采用俄罗斯的Dr.Web大蜘蛛的引擎。仅仅3年之后，金山毒霸自主研发的“蓝芯”引擎就在金山毒霸V中取代了大蜘蛛的引擎，从而正式走上了纯国产技术支持的道路。同样在经过五年的研发之后，“蓝芯2”引擎闪亮登场，也是国内第一款首创“可信云安全”技术的杀软，扫描速度大大提高，资源占用大大降低。“蓝芯2”引擎的出现，也标志着金山毒霸走的是和传统本地杀毒技术完全不同的“可信云安全”的道路。

     “可信云安全”与传统云安全的最大特点就是：采用的是“白特征验证”技术。传统的所有安全技术，包括传统的云安全，都是采用的“黑特征验证”技术，即：判断一个文件的恶意行为，将其恶意行为和其文件特征记录下来，并采取对应的识别和防御措施。传统“黑特征验证”技术最大的弊端就是：要制作一款全新的病毒程序，远远比识别一款全新的病毒程序要容易得多，这就会造成杀毒软件不得不针对同一款病毒不断的加壳变种，来不断地升级特征库来防护，永远处于落后和被动的地步。这里特别提到一下目前的所谓“主动防御”技术：“主动防御”技术通常分为两种：手动HIPS和智能主防。这两种防护技术，虽然可以通过病毒行为来判断其恶意行为，但是存在最严重的问题就是：

     1、即使存在一款手动HIPS软件本身能做到绝对严密无误的行为提示，但是由于不可能每一个使用者都能做出绝对严密无误的行为判断（不可能每一个用户都是电脑工程师），所以注定了手动HIPS绝对存在严重的易用性和推广性问题；
     2、即使存在一款可以自动判断程序行为并作出选择的智能主动防御软件，但由于其“智能性”，又反过来注定了它决不可能拦截住很多新生的病毒行为，并且在使用一段时间后一定会出现对新生正常软件的误报。并且一旦被人研究针对的病毒技术，很容易就会造成所有用户都面对同样的威胁。

    “主动防御”的安全性和易用性（或兼容性），是一个矛盾的存在，这也正是现在市面上纯主动防御的杀软市场占有率迟迟无法上升的根本原因。

     而“可信云安全”技术的特点是：不再拘泥于寻找文件的“黑特征”，而是转向记录文件的“白特征”。打一个比方：有一个会议很重要，必须检查与会者的身份。传统的“黑特征”技术是查每一个人的犯罪记录，和其表现出来的行为（例如有无在会场外面鬼鬼祟祟地拍照，有无刻意闯入未经许可的区域等等）。如果每一个都这么查，可能就会造成大家进场很慢（本地性能降低）。
     基于“白特征”技术就完全不同了，与会者只要掏出身份证和邀请信，则可以直接进入会场，因为这些拥有邀请信的人都是事先早已经过了审查的，不需要当场再次审查了。“可信云安全”技术的理念就是，在云端收录每一个文件的白特征，当用户机出现一个新文件的时候，直接将其与白库匹配，在白库里面，则直接放行，不在白库里面，则直接阻止，等待云安全中心进行进一步确认。这样做，似乎与比对黑库一样，其实完全不同。因为一个坏人要想让自己和通缉令上的照片不一样，可以简单易容（戴墨镜贴胡子）；但是如果想要让自己和其他正常人的脸长得一样，这个难度可就大了（说不定要做个人皮面具）。也就是说，一个病毒若想要伪装成一个白文件，难度比加壳加花要高得多，因为病毒几乎不可能将自己和一个白文件的特征、MD5值、大小、数字签名都变得一模一样。所以“可信云安全”技术比起传统的“黑特征”收集的传统云安全技术要先进得多，也要可靠得多。

    金山毒霸从一开始的安全理念就是“易用性”。金山毒霸从来也不是，也不可能做不出主动防御和超强启发，但是由于主动防御的特殊，要兼顾到又安全又提示少是很困难的，会严重影响到用户体验，而高启发必然带来高误杀误报。小红伞之所以误报高（持续了好几年把QQ报毒），却仍然有很多人坚持相信它，是因为一个重要原因：国内用户基数太少。红伞误报QQ没多少人指责，是因为国内使用者都是铁杆伞粉，但如果哪一天毒霸误报QQ，绝对会造成严重的信誉影响，因为毒霸的用户基数要大得多，里面“不明真相的群众”也要多得多。

     我们还了解到一点：某款主动防御软件传说中“百毒不侵”是一个严重的误区，因为它是“小众安软”，很少有病毒作者会针对微点去过它，过了也传播不广，“要过就要过大家都用的”，这才造就了某软的“神话”，而这个“神话”是很容易被打破的，大家有目共睹，最近以来，能过某软的病毒是越来越多了。日后一旦某软的用户基数再高一些，肯定针对它的病毒也会更多的，因为“某软不是不好过，而是没多少人想去过，一旦想过，是很容易过的”

二、金山网盾和急救箱的修复能力展示

    在介绍完金山的安全路线之后，金山工作人员向我们展现了金山最新的技术产品，也是金山安全公司的得意之作：金山网盾。

    金山安全认为，安全防御绝对不是单层次的，一定是多层次的。金山的安全防护分成三层：1、传播途径的防御；2、有害文件执行的防御；3、有害文件执行后的清除修复。简而言之也就是“防、查、杀”。但是金山安全的特点就在于：不把鸡蛋放在一个篮子里。经过分析，现在用户中毒途径分为网页挂马中毒、U盘传播中毒、文件下载中毒几种形式。其中网页挂马中毒占到了90%以上。尤其是在现在这个网络上，诱惑无处不在，大量的不良网站充斥着木马和病毒，网页防挂马至关重要。网盾就是应运而生的一款产品，可以有效防御95%以上的网页挂马，并且3.5版本自带急救箱，可以兼顾“修复”的部分。

    在现场，工作人员向我们展示了一次完整的中网页挂马的过程：

  （关闭金山网盾，打开某安全卫士1006版和某网盾产品，默认IE首页为空白）一名用户在浏览一个黄色网页时，点击其中的电影链接，弹出来一个提示：“请下载MM播放器，立即观看精彩电影”，用户绝对会中计，将其下载后运行。在没有任何提示的情况下，用户桌面经过数次刷新，原IE图标消失，生成了一个新的IE图标，右键单击，只有“open”和“属性”，没有任何删除选项。并且出现多个指向游戏、色情网址的网页快捷方式，也同样无法删除。打开IE，首页自动转至某广告页。打开某安全卫士1006版，显示首页已锁定为空白页（无效），点击“一键修复”，没有发现任何问题，点击“清理插件”，没有发现任何插件。点击“查杀木马”，没有发现木马。打开异常的IE快捷方式，首页仍为广告页。

    然后打开金山网盾，锁定首页，打开首页，恢复为空白页。点击“浏览器修复”，查出数个系统异常。点击“修复”，桌面游戏类快捷方式消失，异常IE快捷方式消失。刷新页面后，原IE快捷方式出现，打开首页为空白页。然后再次浏览此色情网站，显示为恶意网址，点继续浏览，仍然下载播放器，网盾提示该文件有毒（新网盾已加入下载防毒）。

    虽然我们对此测试持保留态度（毕竟是金山公司自己做的测试），但是金山网盾的修复能力之强大是有目共睹的，我们也相信金山网盾技术完善之后，能把大部分的恶意程序挡在个人计算机之外，从而在“防”上，保护用户的安全。

三、金山毒霸的各项数据分析和BUG反馈收集、修复系统

金山毒霸2011的发布是金山毒霸的大事，金山毒霸走过了10年时光，从最初的引进外国引擎，到迅速拥有自主研发的“蓝芯”、“蓝芯2”，是金山毒霸技术创新和突破的证明。每一款金山毒霸的发布，都是要经过严格的测试的。这次金山毒霸2011的发布，同样也是经过了严格测试的。经过与金山毒霸2009、卡巴斯基、NOD32、诺顿、360杀毒、MSE、AVG、小红伞的对比，其静默时资源占用、扫描时内存占用、扫描时I/O占用、扫描时CPU占用，都处于更低的水平。查杀率更是远远高于金山毒霸2009。一款杀软不仅仅是把毒杀掉就行了，还需要修复病毒造成的损害，这一点金山毒霸2011也比2009要强不少。

    在现场，工作人员还专门向我们开放了金山安全的BUG反馈收集系统。最新版的金山毒霸2011引入了全自动化的错误数据上传系统，一键自动上传崩溃信息。在现场，他演示了这个过程：

1、模拟一台个人机，人为使毒霸崩溃
2、毒霸弹出错误上报窗口，点击“立即上报”
3、打开毒霸错误收集服务器端，显示数秒前收录了一个错误信息
4、打开错误信息处理窗口，机器正在自动分析错误信息
5、刷新一遍之后，分析完成，查看详情，里面有错误时间、错误进程、dump自动分析编号、出错节点等等信息，一目了然
6、机器分析结束后，专家系统自动给出了该错误的解决方案，并且与下一次升级自动下发到客户端来修正此问题。

整个分析过程，没有人工干预，全自动完成。当然这可能属于不太严重的冲突，如果发生了严重的冲突，是一定会提交由工程师进行处理的。虽然如此，这个系统也能自动处理绝大多数的错误信息，并且非常方便工程师进行修复工作。

四、金山云安全的核心技术：第二代水银系统

在感慨了金山的自动处理系统之后，万众瞩目的重头戏来了：金山可信云安全系统：第二代水银平台将展现在我们面前！由于禁止拍照和摄像，我在这里只能用语言来形容其冰山一角。

金山的第二代水银分析系统是全新的云安全系统，据说和第一代水银系统有相当大的不同（第一代我们也没见过，不作评论）。水银系统是一个庞大的平台，是金山云安全的核心组成部分。主要是三个部分：

1、数据收集
2、数据处理
3、数据下放

    看上去只有区区12个字，但包含的技术环节却为数不少。我们在现场查看一个新文件的处理过程，其在14：36：46上报，于14：37：08就已经成功分析完毕，与云库同步了。对于大家关心的“云安全到底是如何处理样本的”，工作人员也做了详细的演示和解说。

    正如之前我说的金山独有的“可信云安全”技术，云端控制着所有白名单，当一个未知文件进入个人电脑时，云安全就会认为其是潜在的不安全文件，将其上报到水银系统。这个提取的方式，既不是hash，也不是MD5(据说现在市面上的其他云安全仅仅做到hash和MD5)，而是金山的“文件DNA特征”，当然，也绝对不是很多朋友以为的“整个文件上传”。

    在截获了一个未知样本之后，该文件自动被转到水银系统的分析子系统里，这里有传说中的“20款鉴定器”进行识别，而其实在我们亲眼看到的鉴定器远远不止20款，因为水银平台的技术是日新月异的，专业的工作组在维护着这些鉴定器，每一款鉴定器都是经过严格的识别率、误报率、有效率的测试的，随时有不合格的鉴定器被更强大的鉴定器取代的情况发生。目前水银系统的鉴定器已经大大超过了“20款”这个理论数据。每一个鉴定器都在执行自己擅长的处理任务。一个病毒样本被上传后，会被鉴定器分别过滤，首先将其判别为灰文件，再复查将其判断为黑文件，最后反馈给云库。这个过程中，有的鉴定器能够直接识别其为病毒，有的识别为可疑或高危，但是极少会发生误识别为白文件的情况。在总结了所有鉴定器的最终结果之后，如果一个文件仍然被判断为可疑，则会进入水银系统的虚拟机中进行行为分析。行为分析器也远远不止一个，而是由很多如同鉴定器一样的虚拟机程序组成。可疑文件在这些系统中跑一遍之后，基本就能将其定性，并且最终也反馈给云库。

    很多网友很纳闷，什么叫“云启发”、“云主防”。在这里我就亲眼看到了水银系统的工作过程，其中鉴定器环节，就是强大的启发，众多的鉴定器，就如同多引擎网站一样对文件进行层层筛选，并且这些鉴定器每时每刻都有专人维护，一旦出现超过标准的误报或漏报，则会马上被更新更强的鉴定器取代。而之后的虚拟机行为分析，就是强大的主防，由于服务器相比个人机无与伦比的性能优势，一个样本可以迅速地在数个虚拟机中运行并被进行行为分析，基本只要其出现了恶意行为即会被截获。在经过层层过滤之后，几乎不会有病毒可以逃脱。

    根据工作人员描述，金山云安全的“文件DNA特征”提取技术，可以保证一般情况下，只需要上传文件的很小一部分，即可完成分析；特殊情况需要上传整个文件的，也只会上传小于1M的文件。如果未知文件是附着在很大的安装包上的，则会在其解压安装的过程中提取DNA上传，或者截取此文件本身进行上传。上传的文件仅限于exe、dll等高危程序，而不会上传用户可能用于存放隐私的jpg、txt、doc等文件。就算用户有部分个人资料被制作成为了exe程序，金山“可信云安全”系统也收录了绝大部分用于制作此exe的父程序特征，而对其进行正常识别。如果用户的exe被病毒感染，金山毒霸也有能力将病毒与正常文件进行分离处理，而不会整个删除。

说到这里，肯定有同学问：绕了半天，不还是提取黑特征进行识别么？和别的云安全也没啥两样啊？其实大不一样了。金山云安全并不是抛弃了黑特征识别技术，全部基于白特征工作。由于一款新病毒进入用户电脑即会被云安全截获，而病毒根本不知道自己是被水银系统哪一个部分被识别出来的，所以绕过云安全的难度比任何绕过本地杀毒技术要更加困难。而金山的截取的黑特征是什么，病毒作者根本不得而知，所以即使它变种加壳，也会由于之前母体被截获了一次，而变得基本无效。所以金山只要完善好了白库，并且适当扩展一下黑库，那么新生病毒即使能进入个人计算机，也绝对不可能进行大范围的传播，想要变种，也不是那么容易的事了。试想一下，假如有一天，金山能够识别所有的白文件了，还需要什么本地防护技术呢？新病毒直接进入个人机就被杀掉了，或者根本无法进入个人机，那样不就达到了很高的安全性么？当然，这条路还不是那么好走的，金山也在一直努力中。

    第二代水银系统的优势，还在于其“速动性”，上传未知文件到分析结果出来，不超过60秒。这个反应速度，国内还没有任何一款云安全软件能做到。它们仅仅做到了第一代水银平台的水准：分析病毒，病毒样本入云库，本地靠云端病毒库查杀。其本质仅仅在于把本地库搬到了云端，云安全的“速动保护”性压根没有发挥。我也常在论坛看到网友们抱怨：“金山云安全只能靠二次查杀”，但是却忽略了最关键的一个问题：金山云安全仅仅需要“二次”即可查杀！也就是说：当一个样本包出来之后，只要第一个人进行了二次查杀，查杀率上去之后，所有人都可以靠一次查杀完成前者更高的查杀率了！要知道，用毒霸的是用户，不是折腾病毒样本包的人，并不是每一个用户都需要二次查杀的！那些抱怨二次查杀的人，你们有没有想到，就因为你们已经做了一次查杀，就算自己不再去进行二次查杀，之后的数千万用户已经默默地享受到了你这一次扫描的好处呢？很多很多用户都觉得：云安全里面总有一个人要最先牺牲，轮到我怎么办？却没想到过，在数千万毒霸用户里，自己中招，造福他人的机率又是多么低呢？而自己在无形之中，又提升了多少安全性？是用一款随时可能被病毒整个一锅端掉的本地安软强呢，还是用一款只要一个人上报，其他人就全部安全了，并且病毒很难传播的云安软强呢？
传统安软，一旦被过了，那所有用户的安全性都得不到保障了；而金山毒霸云安全只要一个人上报，所有人的安全性都得到保障了，哪个更安全呢？

五、金山安全的本地防护增强器---月光宝盒

技术和用户，永远不是最协调的，虽然解释了颇多关于云安全“牺牲一人，造福天下”理念相对于“牺牲一个，倒霉一堆”的传统安软的优越性，但是用户总会担心自己会成为那第一个（虽然几率是千万分之一），所以月光宝盒应运而生。月光宝盒是一个小型的虚拟机，可以让程序在一个安全的空间内运行，也能通过恶意行为在本地就检测出未知病毒。

它的作用在于：当第一个人运行了一个未知病毒的时候，在未知病毒上传到云安全中心检验的这段时间里，月光宝盒可以限制这个未知病毒的行为，将其与用户真实系统隔离从而不造成危害。这也是金山毒霸考虑到用户体验而做出来的新产品。其实这是一个名副其实的“小众产品”，因为在一次未知病毒产生的事件当中，数千万毒霸用户里仅有为数不多的人需要用到这款软件。可能有很多用户享受了无数次云安全带来的安全性提升，却一次这个软件也没用到过。“月光宝盒”更多是起一个心理安慰的作用，安抚的是用户的心。

现在的月光宝盒是一个单独的测试程序，未来月光宝盒应该会整合到毒霸里，成为毒霸增强本地防护能力的一件利器。


总结：

这次参观金山毒霸，我们获益良多。也了解到了金山公司一直以“用户至上”为宗旨。其实在看似混乱的产品线下，体现出来的其实是用户对金山的要求。不少人要求金山出辅助软件，要比360安全卫士好的，于是金山卫士研发了；不少用户要防护ARP，却讨厌网镖的，于是金山出了独立ARP防火墙；金山的网页防挂马模块做得好，但是不少用户不想用毒霸的，于是把网页防挂马模块单独出了金山网盾；有的用户认为急救箱单独安装没啥用的，于是把急救箱整合到了网盾里......用户只会提出自己的要求，而金山却必须为所有人服务。有不少网友认为毒霸应该和网镖整合，但是谁又知道其实很多用户不用毒霸却想用网镖，或者反之的呢？他们可不想整合啊？“众口难调”是毒霸面对的最大问题。例如360安全卫士，用户提一个要求，就加一个功能，做到现在，一个辅助软件做得接近一个杀毒软件了，又被人说的臃肿不堪。用户永远是最难伺候的，因为用户不是一个人，是上千万的人，里面有懂技术的，有对技术一窍不通的，有喜欢设置复杂，功能繁多的，有喜欢设置简单功能易用的。大家想想，毒霸真加上了手动HIPS，会给用户带来多大的麻烦？你们以为广大用户都是卡饭的综合征患者么？抑或以为都是电脑工程师？

就最风行的“自保护”问题来说，很多用户选择用于结束毒霸进程的工具，其实都是安全工具，例如冰刃、狙剑等，毒霸对于这些根本不认为是攻击，毒霸防御的是“病毒的攻击行为”，而不是“安全工具的调试行为”。某软一直在吹自己自保护多么强，在它得意的时候却没想到，这世界上只有两种程序是针对安全工具调试行为进行了抵抗的，一就是流氓软件，一就是病毒木马。再联想到之前有一款所谓的“清理工具”，根本无法卸载干净的流氓传说，某软的自保护在安全工具面前如此之强，原来是有历史因素在里面的。

金山毒霸秉承着“易用性至上”的原则，给用户最大的使用体验，这就是金山的文化和安全理念，而不是随波逐流，跟风转向。曾经在微点出来后，瑞星、江民都做主动防御，至今有完美成功的么？没有。

金山，继续走自己的云安全道路，到最后，云的是用户，晕的是病毒，那才最终达到了安全的新境界。

wd19880427

文章很长，希望回复的朋友看完

zhuopiao

我回复但没看完

暮雨

回复完，只把粗黑和红字看了~

wd19880427

允许占楼观看

luoyou1988117

占楼观看，金山打算从论坛着手宣传了

liuxiabcgo

呵呵，辛苦LZ的分享

zzx129

我看完了，写得不错，重点对月光宝盒感兴趣，希望金山莫让我失望，我用它装了办公室4台电脑，真中招了，同事些多半埋怨我。

白羊座

原来领先瑞星360整整一代的水银系统2代，在楼主看来就这水平……啧啧，是楼主没看出门道呢，还是金山技术人员坐井观天呢

palfan

我看完，我回复，我占位，我闪人