图文：北京亿思高特科技有限公司总经理李贵林

图为：北京亿思高特科技有限公司总经理李贵林演讲(骆磊 摄)

　　6月14日至16日，2007第十一届中国国际软件博览会在北京展览馆召开。本届软博会由国家信息产业部、发改委、科技部和北京市人民政府联合主办，中国软件行业会等具体承办。

　　图为：北京亿思高特科技有限公司总经理李贵林演讲(骆磊 摄)

　　以下为其演讲全文：

　　尊敬的各位领导同仁，在今天我有幸和大家交流思想，向各位介绍我们的想法和产品感到非常光荣和幸运。我们是一家民营的计算机安全公司，今天能够股起勇气站在这里，是因为我们深信，每一个软件公司，每一个软件的开发者设计者有创新的义务和责任，而且有机会和可能，北京亿思高特软件公司是软件行业的新兵，安全产品现在千姿百态，繁花似锦，已经成了每个电脑用户不可或缺的东西，但是这些产品还没有达到尽善尽美的地步，有些是设计思想的原因，有些是实际开发设计的问题，我在这里斗胆分析一下安全产品的现状，并且根据我们理解讨论一下发展趋势。

　　按照我们想法，从设计思想来说，安全产品大致可以分成三类，第一类是把手关隘型产品，第二全盘恢复型，第三个是局部防御型的。把手关隘型是御敌国门之外，通过这些产品把

病毒、木马阻挡在关口之外，一旦突破防守层，这情况下既不会保护系统核心文件也不会保护敏感信息，而且也不会对攻击行为提供蛛丝马迹。

　　第二类全盘恢复型，这产品考虑病毒和其他的危害侵害系统，可以使系统时光倒流回到以前的状态点，这做法固然可靠，但是比较消极，在系统恢复同时往往使用户在这段时间的劳动成果灰飞烟灭。

　　第三种局部防御系统，比如加密传输，加密存储。这些设计思想是一些把手关隘，或者分侧面防御，有点单打独斗的感觉，整体的安全考虑不够全面。对付病毒威胁处理手法是手术式杀毒，病毒发展到今天有很多种方法变形或防御，而且电脑文件本身结构千差万别，做手术难度越来越高，手术成功率往往不能让人满意。

　　第四智能化程度较低，是按图索骥式的方式，要求我们必须针对每一个具体的病毒，具体的维修人工分析，然后通过升级实现，这样设计是否尽善尽美？首先产品有效性存在问题，传统的安全产品对付新病毒是无能为力的，什么时候有效，就需要升级，把病毒样本经过人工分析才能生效，绝大多数安全产品都会导致系统运行效率一定程度的降低。产品频繁升级问题，现在大家都认同安全产品都是依靠升级保障安全的，如果回到起点站在用户角度考虑，被迫进行密集升级显然是麻烦的方式，能不能做到无需频繁升级。第四高度依赖人工的模式，传统安全产品唯一例外要求专家针对个案进行具体分析，然后识别和防御这些病毒，这就导致安全防御马后炮式的尴尬。

　　安全产品的方向是什么？我们觉得应该向智能化、自动化的方向迈进。现有安全产品手动式防御方式，很难保障用户的安全，因为病毒千差万别，这种方式导致用户一定程度的不满。所以我们提到自动化和智能化的趋势。再就是集成化全方位解决方案，如果我们仅仅按照分行业方式，可能整体的安全性仍然有一定问题，要用高可靠性的方式，什么叫高可靠性，如果我们仅仅依靠手术式杀毒的方式，在某些情况可能失效，何况文件千差万别，对做手术的时候可能存在问题。

　　下面我介绍一下我们自己的安全产品。叫毒眼集成安全系统，我们一个是变把手关隘为纵深防御，我们做法是自动进行备份，我们当出现问题自动进行备份，当是病毒流氓软件以后我们进行恢复。变按图索骥为智能分析，在识别方面，我们抛弃了特征码和事前准备的思想，根据它的轨迹进行分析，这就是我们提到自动化和智能化的方式。

　　毒眼集成安全系统独特的技术，一个是害虫监狱技术，我们发现有害文件不做手术，我们采用害虫监狱的技术，病毒发现到今天在很多情况下有保护层，手术起来不一定共，我们考虑反向思维，病毒自己有保护层，我们直接破坏保护层很有可能有其他的保护方式，因为计算机灵活性太强，我们做法不直接破掉它的壳加一个保护壳，把它监禁起来，这样使它失去运行的可能性。

　　第二个事件恢复技术，现在很多恢复产品，但是大多数是全面恢复的想法，也就是把系统回到某个时间点，我们讲的事件恢复是另外一个方式，我们仅仅针对病毒或其他流氓软件做出破坏事件行为来恢复，因为我们借助完整的日志系统，已经记下电脑内发生每一个事件的来龙去脉，一旦我们识别出这是一个病毒破坏，是一个流氓软件的话，就可以把它修改的文件还原过来，从而确保系统安全，这有别于现有的手术式杀毒的方式。

　　第三个除奸技术，你电脑可能存在大量的奸细，比如后门软件，平时你看不到，有什么办法找到它们呢？我们做法通过扫描系统内核关键程序，既然是奸细，肯定通过修改正常的函数，或者修改特定的IPR，如果被修改我们找出修改点，进而找出奸细。

　　下一个技术跨平台的综合分析技术，这平台叫集成安全系统，设计不光着眼一台机器更着眼全网，现在有Windows和Linux的客户单，现在我们自动收集日志和客户单，通过综合分析出病毒在网络的传播轨迹，以及针对流量统计数据。

　　另外实现文件保险柜技术，我们设计假定病毒或木马有可能突破你防护到电脑中，假定病毒进入电脑中，仍然要保证机密文件、数据防止被修改和泄密，文件保险柜可以把文件装到保险柜，可以设一些访问的规则，如果不设规则谁也不可以访问，如果你想访问，可以规定在特点的时间，特点的权限，或特定的密码方式访问，可以指定某个文件只能用Word打开，或者可以规定礼拜一访问，礼拜二不能访问，通过这样的技术可以使客户的重要信息，即使遭到攻击情况下保证安全。

　　最重要的技术是文件关联技术，现在病毒发作不是单一的孤立文件是协同作战，有一大串文件，我们借助日志系统可以知道哪个文件谁改变的，通过文件关联分析技术，可以把害虫文件一个补漏的抓住，这文化称为快刀技术，我们做法不直接破掉它的壳，我们一个叫拦截技术，一个叫害虫家族技术，

注册表拦截技术，因为往往通过注册表加载启动的，我们通过注册表拦截技术，这样就阻止了它的执行，既然保护壳没有执行就失去保护作用就可以被杀掉，为了保证杀的彻底，我们加了文件分析技术，保证它们被一网打尽。

　　我们产品系统占有率非常低，我们安装包只有4M大小，以智能化方式识别病毒，没有任何病毒库识别码，CPU占有率小于1%，内存只有500K，我们不需要频繁升级，只需要功能升级。有了毒眼会怎样？你的电脑安装毒眼就好像安装了一个黑匣子一样，对电脑一举一动做一个详细的记录，对电脑发生了什么事情了如指掌。第二个能够更有效保护你的机密文件，通过文件保险柜使机密文件很方便的保护起来。比如网站被黑掉或怎么样，通过保险柜可以制定一些访问规则，使它们能够被方便安全的访问。通过害虫监狱的方式能够更有效的控制病毒。我们毒眼集成安全系统虽然经过长期的开发和探索，但是产品诞生的时间还不长，不可避免存在这样那样的问题，我们希望得到各位领导专家的批评指正，如果我们能为追究新一代安全产品实现起到探路者作用，我们就感到非常荣幸了，谢谢大家！