查看原文
其他

火绒 CEO 刘刚:关于 AI 、威胁情报和反病毒

铁柱 浅黑科技 2019-06-09

“在安全领域,人工智能只是辅助,人才是主角!”

在谈及 AI 时,火绒安全 CEO 刘刚很坚定。

刘刚,前瑞星 CTO ,火绒安全联合创始人兼 CEO,不久前拿到了 1500 万人民币融资。

此前外界对他的印象或许是:只关注“杀毒”的技术狂。而实际上,他一直在关注最新技术对安全领域的促进,在与浅黑科技畅聊的三个小时里,刘刚说了很多对人工智能的看法与使用,例如“聚类”、“控制点”等……

他认为,火绒威胁情报系统其实就是对人工智能理念的一种落地,而不同的是,火绒的 AI 观以人为主角。

以下为浅黑科技与刘刚的对话。

口述/刘刚  

采访/史中、铁柱 


融资只是现在的一个选择

简单聊聊融资后的钱具体打算怎么花吧。

刘刚:需要花钱的地方太多了,但是大头应该会花在产品开发和整个运营体系的完善。

火绒个人用户产品的病毒库更新频率是每天一次,病毒库升级比较耗带宽,现在没有资金卡着,后续我们会多招一些人,做一做类似这样的基础建设,64 位的虚拟机也会多做一些投入。

再就是之前因为没钱,连一些简单的宣传都不好做,现在两百多万用户数量纯粹是靠口碑打出来的,后面我们打算尝试做一些市场推广方面的工作。

听你提到了要在虚拟机上做一些投入,能详细说下这块儿的内容吗?因为之前听说其他安全公司也有用虚拟机,你们一样吗?

刘刚:这里说的虚拟机是指反病毒引擎用的虚拟机,我们目前在用的有 32 位和 64 位的,主要负责跑病毒代码。国内 32 位的虚拟机也只有我们有,更别说 64 位虚拟机了,其他公司都是没有的。

简单解释一下,病毒绝大多数是 pe 类的,就是 Windows 平台下的pe可执行文件,这些文件绝大多数是 32 位的。

但是因为 64 位的系统可以兼容 32 位的文件,所以我们发现好多做病毒的人开始在代码混淆上使用 64 位的思维了。

能完善 64 位虚拟机对我们来说意义重大,但是这种技术不是说研究半年就直接能在产品上面体现出来,它可能会有一个漫长的过程。

感觉虚拟机是反病毒引擎的核心技术,听说火绒花了 6 年时间打磨引擎,它跟其他安全公司有什么不一样的吗?

刘刚:真正意义上的杀毒引擎我们也和国内别的安全公司不一样。他们有把虚拟机放在云端上的,我们是把虚拟机放在用户终端上的。这里有两个概念,把虚拟机放在云端上属于动态防御类引擎,它可以做感知。

我们这种放在用户端上还有静态的文件扫描,它可以直接在端上收集行为,分析执行文件的代码有没有混淆。

这么做就有 2 个优势。

首先我们可以收集到病毒样本的资源量是取决于用户数量的,我们现在有 200 多万的用户,他们机器里面的样本是可以相加的。但是把虚拟机放在云端就受限了,因为需要用服务器来跑,你能满足用 1 万台服务器同时跑吗?吞吐量他达不到。

还有虚拟机模拟环境的问题,放在云端的虚拟机你能装多少款软件?这还不考虑各种不同版本,所以没办法虚拟到位。放在用户端上就不一样了,我们什么千奇百怪的用户系统都有。

那为什么国内其他安全公司不把虚拟机放在用户终端上呢?

刘刚:其他安全公司并不是不想把虚拟机放在用户端,是没能力做。虚拟机放在他们自己可控的的系统里没问题,不会蓝屏,不用考虑稳定性,因为他们服务器够多。

但是放在端上你拖慢客户端效率,用户会说你卡机器了,这其实是我们的差异。

之前还以为为了推进企业市场,你们可能会放弃个人用户呢,看来貌似是想多了。

刘刚:这个放心,我们是不可能砍掉个人用户产品的,融资后个人用户产品只会越来越好,我们一直觉得搞安全的就像作保安,既然是当保安就老老实实的做好保安应该做的事,不能因为现在有钱了就去做别的,总之要说到做到。

而且其实个人产品和企业产品二者并不矛盾,因为个人用户产品和企业级产品的底层技术是通用的,只不过企业的功能更加个性化,它更偏向统一管理、统一部署。个人和企业需求不一样,企业级产品的要求要高一些而已。

可是企业对于定制化的安全服务需求有没有那么旺盛?毕竟企业级产品是要钱的,他们的付费意愿有多强呢?

刘刚:企业对于安全的需求比我们预估的要强烈,付费意愿也比预想的要乐观很多。

我们现在企业内测的用户有小100家,而且分布在各个领域,有教育行业的、医疗行业的等等……他们对安全都是有需求的。而且当时定价是跟那小 100 家企业商量出来的价格体系,每台终端稍微便宜一点也没关系,只要保留一个合理利润让公司正常走下去就行了。

至于需求旺盛其实也不难理解,就拿医院来说吧,医生通过U盘拷病例,如果其中一个U盘带蠕虫病毒,很有可能整个业务系统都会崩溃,给病人开个药方都不行。这个时候更需要在24小时内紧急响应,起码得保证随时打电话有人在吧?

其实他们之前也装其他杀毒软件,结果要不占资源,要不在那儿天天弹窗,网管烦都烦死了。

所以他们更需要定制化服务。

你觉得企业用户为什么会选择火绒呢?

刘刚:我觉得更层次的原因应该是信任。

我们刚开始从瑞星出来做产品的时候就是想要做纯净的杀毒软件。那时候的用户其实心里也犯嘀咕,想会不会也有全家桶之类的东西存在,但是经过3、5时间他们发现不会,这样信任才真正建立起来。

说实话在做企业版的时候我们也很小心翼翼地想过这个产品是不是能卖出去,但用户的反馈没有问题。企业其实需要的就是花钱请安全公司帮忙解决问题,最起码别添乱。

我们没本事看清未来,但是我们有选择,我们不清楚最终能走到哪一步,但是起码我们清楚哪些不能做,融资对我们来说只是目前的一个选择。


人工智能没有办法代替“人”

之前还以为火绒一直不融资是因为没有人工智能这种互联网行业内比较火的概念,找投资人比较困难,这次融资成功是因为“留了一手”吗?

刘刚:我觉得现在整个社会很多时候都是在透支未来,透支这个行业,透支人的期望。

新闻上经常可以看到这样的观点,人工智能即将超过人类,替代人类了。比如我第一次看到消息说人工智能放在医学领域可以治疗癌症。当时还觉得很安慰,看来终于可以有希望长生不老了,但是看久了你会发现过了一年还是这样的消息。

所以扎扎实实做基础技术的话就会明白一个客观规律,有时候底层技术的发展速度不会那么快,有很多因素会限制它。而往往现在整个社会给人的感觉是在透支人的期望。

人工智能是没有办法替代人的,它只能帮助人提高效率。

之前跟圈里人聊天的时候我讲过一个笑话:人工智能最靠谱的方式就是先找个女朋友,在合适的时间生个孩子,生完了好好培养自立,如果能超过你,那就证明你这个人工智能项目是成功的,如果没教育好或者还没你聪明,那你证明你是失败的。

这是我目前知道最靠谱的实现“人工智能”的方式。

可是现在也有其他安全公司在使用人工智能,他们总不能靠“生孩子”来做安全。

刘刚:他们忍受不了说花六个月或者一年时间踏实做产品,他们忍受不了,总想绕过问题直接得到结果,处理病毒是要考虑基础技术的。你说基础学科没到那份的时候,你不是需要去踏踏实实解决问题吗?

比如说,他们是通过收集大量的病毒样本,用深度学习告诉机器一部分是黑的,另一部分是白的,直接提取特征让机器自己分出黑白两个模式并做出判断。这样会导致两个问题:

1.人工智能暂时还没有逻辑推理性,当遇到一个新样本的时候有很大几率会被误报成黑。

因为它不会去改变提取出来的特征点,提取出来都是表层信息,但是分析病毒是需要下“笨”功夫的,所以基础技术很重要。

2.做病毒的人总能想办法让病毒混到白名单里,这样他的病毒不就白了嘛?

所以不可以用“人工智能”来代替“人”下判断。

所以你觉得用人工智能做安全不怎么靠谱吗?

刘刚:前面说的那个例子是把人工智能用在了处理问题的阶段让它做判断,这是将人替代的思维,但如果你把人工智能当作辅助确实可以提高效率。

每一项技术都是为了解决问题,你不能总是剥离问题光去看技术。

这里有三个阶段:发现问题、分析问题、处理问题。

人工智能真正成熟的地方其实是在统计学上的应用,它本身没有创造性,但是可以通过学习一些模式做分类。所以如果完全可以应用在发现问题、分析问题阶段。只帮人做统计类型的工作还是靠谱的。

所以你的意思是人工智能是能当递手术刀的人,而不能当做手术的人。那在发现问题和分析问题这两个阶段人工智能该怎么“递手术刀”呢?

刘刚:其实我们也在用人工智能,只不过跟其他公司有差别。

宏观上,对于我们来说:人是主角,机器是辅助。

我们先看分析病毒的阶段:

有一个概念叫聚类,它跟机器学习中分类的概念是相反的。分类是已经有一个模式,让机器提取特征归堆。而聚类是让机器统计样本特征,让他们相似度高的东西分开并归堆,本身并不做判断。

这些已经归堆的数据对病毒分析员来说省很大的事了,因为都是同一类的东西,处理起来会快很多,而且由有经验的人下判断误报率也会很低。

发现问题的阶段就更厉害了:

我们会把威胁感知的监控点部署到用户终端上,并且这些监控点是随时可调的,它们有点像触角,监控力度都可以达到指令级的。

布点的时候只要注意别影响用户电脑的正常使用,别采集到用户敏感信息就可以了。

当把数据传上来的时候 AI 会通过经验提示分析员监控点的数据波动范围,提示他哪一块儿的数据需要着重关注,这样是不是可以提升分析员的效率?

所以不是说人工智能不能用,得看用在哪。

所以通过这些技术拿到威胁情报以后才能做出更快的响应?

刘刚:其实国内威胁情报的用途可能会和你想象中的有些出入,大致分两类:

1.为一些不太懂安全的公司又想做安全的公司解决信息不对等的问题。

比如说一些银行内部自己的安全团队,他们需要解决自己内部的一些安全隐患,这个时候就需要这种病毒信息。

但是由于他们是脱离安全圈的,获取一些病毒信息有障碍,所以需要威胁情报做指导性研究。

2.可以让安全公司升级产品,改进服务。

火绒属于这一类,反病毒这个领域想要提高效率需要以威胁情报作为支撑。

那么威胁情报的价值在哪里呢?

刘刚:火绒其实是把“情报驱动安全”作为核心理念的,为什么这么说呢?主要有两点:

1.更高效率的响应安全威胁,减少用户被影响的范围。

我们做了很久才发现跟国外“终端威胁检测”(EDR)的概念非常接近,它的核心概念是:从终端部点,获取大量信息,放大感知能力,当新威胁出现的时候可以通过这些线索更快捕获它。

2.处理APT类攻击非常有效。

有的恶意代码攻击方式是呈碎片化的,就好像切香肠一样,今天干一件事,明天干另一件事,每件事情单独拿出来看没有问题,把这些事情连起来才能发现它最终目的是恶意的。

我们通过用启发式识别收集来的终端监控点特征可以更好处理这类碎片化攻击。


安全的本质其实是服务

我发现国外和国内做安全的方向好像不太一样,这里面有什么原因吗?

刘刚:安全其实并不是一个片面的概念,单单有底层技术支撑是无法做好安全的,所以火绒当时内部讨论的时候有一个一致看法:服务是做安全的本质。

有意思的想要做好服务还要考虑到地域的因素。

国内这些病毒制造者的攻击目标、变现方式、传播等等一系列的行为其实都带有中国特色。有的时候需要考虑很多因素,比如一个病毒可以伪装成统计类的组件,可以正常获取用户签名等。

不深入分析对它很难做出判断,而分析包括分析代码、环境、传播途径等等一系列工作,在一一验证后才能知道它最终目的。

有意思的是,每个国家的环境、文化、传播途径都不一样,导致同样一个病毒放在其他国家响应会变慢。

举个例子,之前还在瑞星的时候我们发现一种通过QQ传播的病毒,就是往QQ里发查找窗口,然后往里面敲中文,具体表现就是已经中毒的用户没有感知,但他的好友会看到中毒用户经常发一些推荐链接,点进去也会中毒。

那时候芬兰的一家公司找到我们,说要和瑞星建立联合实验室,专门研究中国的病毒。当时我们还觉得很诧异,觉得厂商之间都有病毒样本交换,为什么还要坐下来分析,并且共享病毒报告呢?

他们说:“你们发过来的病毒我们看不懂,看起来像是查找某个窗口然后发一些东西,还全是中文。”这对于他们来说是一个巨大的壁垒。

所以说把握好地域性这个壁垒,在技术、运营这个体系中不断加强,最后服务的品质会有很大的提升。

现在感觉安装杀毒软件的人越来越少了,是不是意味着系统本身越来越安全了?

刘刚:这其实是个误区,因为病毒的行为模式已经发生了很大改变。

以前的病毒制造者大多为了炫技,目的是破坏系统。现在为了牟利,它们学会了隐藏,隐匿性增加了。

比如说电脑桌面上突然出现的一些图标,这是某些推广渠道导流量的手法。而这些恶意代码在系统中运行的时候你都感受不到……

本质上说一个病毒和一个软件没有任何分别,真正的区别在于意图赋予它的行为模式。

就如同技术本身没有善恶,都是人的欲望在驱动。

不管是开放式系统代表Windows和移动端安卓,亦或是封闭式(半封闭式)系统如 Mac OS 和 iOS,它们的安全问题依旧存在,只不过由于封闭式系统的用户人群少,导致大多数病毒制造者会更多瞄准开放式系统而已。

这里产生了一个新的问题,对于非专业的人来说,如果他们以电脑能否正常使用为标准衡量是否中病毒,可能很多用户根本不会感觉到病毒存在,所以选择不装杀毒软件。是不是只有当出现一个大规模的病毒事件爆发的时候,我们才会意识到安全的重要性?

刘刚:首先我认为勒索类的这种病毒,大规模的爆发事件会越来越少。像很早以前的震网、冲击波这种病毒爆发的时间间隔很短,现在做病毒的人已经不那么张扬了,因为他们藏的更深了。

其次,未来安全只会越来越重要。因为它可以直接影响到经济生活,比如网上支付,网上购物。

让机器“裸奔”感觉确实挺好的,很清爽,但是真等脚被扎了,或者说磕了碰了才会想着去找双鞋穿,事件会给他们一些被教育的可能。


后记

在刘刚身上,我总能看到一种特有的执着。不管是从创业的时候对安全行业的坚持,还是现在对于服务信念的坚守。

就好像临走前他说的一句话:“我坚定的认为中国是正向发展的,历史不会往回走,所以中小企业一定是可以做起来的。”


-完-

本文作者铁柱,科技作者,微信:schizoyo。

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存