理念 · 金山 —— 献给所有想对金山有更多了解的人

明镜星空

        许多人对金山的理念可能都还不太了解，对一些问题也心存疑虑，于是，我把这篇“理念·金山”拿出来与大家分享，我只是写了我所知道的东西，有的东西或许是错的，如果发现了就指出来吧。
        这篇《理念·金山》取自于当初去金山参观学习后写的“梦想·金山”。如果要看完整版的就点击：http://bbs.duba.net/viewthread.p ... 3%CA%B9%D6%E9%BA%A3
        当然，那个时候的形势与现在已经发生了变化，本文修改了部分过时的东西。
       
        首先是关于毒霸未来的走向问题，毒霸未来的走向就是全功能路线，会把一些功能逐渐整合进去，我们现在已经看到SP5已经加入了网页防护和沙箱，以后一定会加入更多的功能的。
        关于毒霸升级的问题，有些人或许总会提出为什么我的毒霸平滑升级的时候我不能和别人一起升级，升级太晚等的问题。这个问题，其实是由于公司运营成本的问题，如果每天每个人都进行大量的更新，那么公司就需要非常大量的带宽，那么公司的运营成本就会大大提高，因此，毒霸采用分批升级的方式来规避大量的带宽的占用。
        关于网镖的问题，金山的研发人员说，其实现在传统的网络防火墙对于网民来说并没有太大的用处了。因为，在很早以前，传统的软件一般不会联网，而木马则会联网，那么如果一个东西联网了，就基本能判定它是病毒了；而现在一般软件都会联网，这项功能就没有太大的意义了。此外，如果黑客真的想要攻击，一般的防火墙也是抵挡不住黑客的攻击的，所以防火墙的强弱也并没有影响太大。当然，防火墙还能防一部分攻击，但是现在一般病毒也能使用杀毒软件杀掉，纯粹的攻击已经比较少见了。因此，以后的防火墙的功能会朝一些新的方向发展，比如ARP防火墙可能还会保留，也会考虑研发流量监控等（这个已经在金山卫士里有了）。
       
        接下来讲一下重点内容。
        首先是可信云安全的意义。可信云安全与传统云安全的最大区别就在于“可信”二字，这二字，说复杂也复杂，说简单也简单，我认为最最基础的理解就是白名单杀毒的应用。
        如今的安全领域，其实已经与之前发生了很大的变化，病毒的变种速度已经越来越快，杀毒软件也已经越来越强、升级频率也越来越高，因此病毒的生命周期通常很短，基本在两天左右。而传统意义上的杀毒从另外一个角度来说已经是不能够跟上时代的脚步了的，因为每天的病毒层出不穷，而杀毒软件如果很滞后地在杀之前的病毒，没有太大的意义。因此，从某种角度来说，杀软的“检测率”或许是“无用”的。但这“无用”的意思并不是说装不装都是无所谓或者说检测率是根本不需要看的，这个“无用”的意思在我看来，就是说一款杀软的好坏已经不能从它的“检测率”这个方面来判定了，而应该从一款软件响应新病毒的速度和正确率来判定。
        而白名单杀毒的引入更可以使得病毒变种无效，这就是急救箱的基本原理。而毒霸SP5目前使用的修复技术，包含了急救箱的大部分功能，相信以后会更完善。而“误报率”而非“检测率”就成了这种技术的一个至关重要的因素，而控制误报，就需要更大、更全的白名单。
        毒霸的白名单技术使得原来只判定黑文件转变为判定白、黑文件加上鉴定灰文件的形式。这样做也是使得判定起来更加迅速、更加精准。这个方面我相信大家也都有比较深刻的理解了，我也就不再一一赘述了。
       
        我们都知道，一般人评价一款杀软的好坏都是从“检测率”、“自保护能力”与“主动防御能力”这三方面来看的，并且加上一些资源占用等因素。
        那么问题就来了，很多人都在说金山毒霸为何迟迟不加强自保护能力呢？金山毒霸的所谓的“主动防御”又在哪里呢？
        自保护对于一个杀软到底有多重要呢？其实当一个病毒已经运行起来，已经破坏了系统，已经对用户的电脑造成了危害或者已经盗取了用户的财产之后，病毒本身已经无所谓自己是否被杀了。而自保是杀软用来与病毒对抗的，而在系统底层的对抗很容易使用户的计算机产生蓝屏等危害，这样的对抗其实是没有太大的意义的。因为病毒与杀软的对抗事实上就是人与人的对抗，病毒总能找到新的方式来突破。有些人就要问，那如果没有自保护，那病毒直接关了杀软，杀软连防御的功能不也没有了么？我想，根据我的理解，金山的理念就是说，一定的自保是需要的，但非常强力的利用HIPS的自保是不一定需要的，否则反而可能会增加用户负担。当然，如果以后病毒有了新的方向，我觉得金山或许也不排除会加入更强的自保。
        从另外一个病毒分析组的人员口中得知，其实毒霸走的方向就是轻量级本地客户端，重量级云端的一条道路。如果在本地加入主动防御技术并由此带出的强力自保护技术、强力启发技术等技术，必然会使得本地用户端变得臃肿，使得电脑速度变慢。从这个角度来看，或许强力自保护的必要性也是轻量级本地客户端的一个矛盾。我们都知道，未来的互联网是一个云的时代，如果一味地循着老的脚步，没有创新，那么一个软件就一定会失败。传统的启发式扫描、主动防御等技术都是一个目的：也就是处理未知病毒。但是这样的方法到底是否行得通，是否能够保证速度与计算机运行的流畅度呢？
        其实不是说金山做不出启发或者主动防御，而是站在用户的角度上来考虑，加上去之后，会对用户有多少影响？假使加入强力启发式扫描，势必会给机器带来负担，我们应该也有使用过NOD32、小红伞之类的高启发杀软，他们有时候在扫描时CPU占有率会上升到一个挺高的高度，而平时的内存占用等情况也比不上金山毒霸那么轻巧。那么，为了保证用户计算机的流畅度，金山依然坚定地走轻量化本地客户端的路线，而放弃了高启发。或许有些网友和我一样也在想这么一个问题：那我既把启发提高，又做到本地客户端很轻量级不是很好吗？其实这个观点有些理想化，从目前的技术角度来说，似乎比较难以做到这一步。如果技术上没有问题的话，我相信高启发与云的结合其实是一个很好的模式。
        关于毒霸的目前的所谓的云端主动防御的理念，可以这么理解：传统的杀软的主动防御都是在本地拦截的，也就是说规则之类的全都在本地。而毒霸的规则则全都在云端，甚至连本地的HIPS都没有。而毒霸的“主动防御”就是利用云安全将文件上传之后，利用规则，也就是我们常说的主动防御规则（当然判定有许许多多的方式，行为规则只是其中的一部分）来判定一个软件是否是病毒。其实，或许从一般的狭义上来说，这并不能算是一种主动防御，因为这样的主动防御只是一种鉴定手段，是无法在瞬间执行的。但从广义上来说，毒霸还是能够主动地将未知文件上传鉴定反馈，配合以后金山沙箱的自动入沙，其实还是有很好的效果的。
        也就是说，目前毒霸的启发与主动防御都是设立在云端的，这才是一款真正的云杀软。而未来到底会怎么样，这是根据未来的安全形势来定的。现在金山要做的就是把现在几款需要做出来的产品做好。
        或许这些理念说出来，有些人还是会觉得不正确，应当有这个有那个，但请大家静下心来仔细地思考一下，金山的安全理念是否是较好的解决方案？
       
        我们知道，毒霸现在的快速响应都是靠强大的服务器和鉴定器来支撑的。一位相关人员告诉我们，现在的服务器的负载是没有问题的。那么，为什么我们有的未知文件鉴定速度比较快，有的鉴定速度比较慢呢？其实，金山的整套鉴定方案是在不断地动态调整的。当一个未知文件上传的频率或者查到的频率较高时，那么它的优先级就会提高，那么这个文件就会在很短的时间内被鉴定。但是，如果一个未知文件只有一个人的计算机中有，那么它的优先级就会比较低，或许在几天后都没有去鉴定。思路是这样的：如果这个未知文件是病毒，那么它也没有传播，那么，在查到的时候，它应该已经造成破坏了，那么，即使快速鉴定了，它还是对那台计算机造成了破坏，但它没有传播。那么，按照这样的逻辑看下来。鉴定它与不鉴定是没有区别的。当然这只是一种极限情况，一般情况下不可能一个未知文件只会存在于一台电脑上，这也是一种猜想的状态（因为或许这是个病毒，但还未对那台计算机造成破坏），就是“薛定谔的猫”的那种状态。但是基本的思路就是这样的，因为必须有一个标准，有一个优先级。这是一种宏观的思路，希望大家不要从微观上来看待。我始终认为，云安全就是一种宏观上的改变与升级，很多东西如果从微观上来看是无法理解、无法明白它的好处的。但是如果我们站在一个宏观的角度上来看，云安全极大地提高了查杀能力、响应速度和各个方面。
        此外，当我问及鉴定器的数目时，那位人员只是回答有很多，不愿意告诉我具体的数字。但从以前流传出来的数字“20多个”来看，现在应该已经超过这个数字了。我估计在35种左右甚至更多。那位人员告诉我们，鉴定器也是动态调整的，也就是鉴定的时候的规则，还有鉴定器都是在动态地调整的，但具体是怎么调整的，这就不能透露了。
       
        另外，相关人士告诉我关于bug修复的问题。其实，每天金山都会收到很多用户崩溃的报告，然后有个自动处理的系统会自动整理并且将报告次数最多的一些bug来让研发人员优先解决。有些人或许每天都在论坛里说，我上次提交的bug怎么还没有修复什么什么。其实，研发人员都很忙，甚至每天都工作到半夜，但是还是不能够解决所有的问题，便只能挑其重点了。因此，希望大家以后在提交bug之后，不要心急。更不要认为官方无视你了，或许只是你的bug比较小众，比较个人化一些，因此被放在了后面解决。

jobking2006

“梦想金山”是雷军入住进山后倡导的企业文化。

qwe12301

进来支持下

sugerkevin

看了之后，心里有了些底，但 还是要看到实际效果后才会有感觉
对于那些高科技术，我们普通人没什么认识，只有实实在在的效果才是真实的
一直用着金山，希望不会给我带来失望……
今年一年金山都在乱度过，但愿明年不会
专心技术，完善现在不足的地方，研发新技术

mzstjcgw

支持下明镜！

ahhh

好长、。。。先mark一下。。

猪头无双

其实说白了就是关于云的作用是做辅助用具还是作主要用途的问题。如果做辅助工具的一种，就像AV-C的参测厂商的大部分人那么看待，那么他们走的道路还是传统的老路，升级病毒库，加沙箱，强主防，重点在本地，不在云端；而像金山这样把云看作主要工具的厂商来说，一切都是以云为中心的，那么主防一类的功能在客户端反倒显得有点多余，但绝非无用。所以今后的发展必然要以云的收集白名单，优化云端的判断机制等等为主，至于本地的部分就相对的要滞后些了，换句话说，金山目前的重点在云端，本地暂时是次要的。

成都焓公子

看完了……就是感觉产品线混乱……卫士除了没有沙盒，和毒霸没什么区别了……

幻影bing

回复 7楼 猪头无双 的帖子

以后应该会加强为智能沙盒的   为了解决云端的反应速度的   个人也觉得主防+沙盒+云才是未来杀毒软件的趋势   
ps：有人已经DIY皮肤拉    只是很丑

悟心之道

认真看完，也比较理解金山做法。
可是这样的做法和理念去参加VB100和AV-C杀毒测试，注定难取得好成绩！