历史上任何一个移动端恶意代码家族,包括每一个变种,我们至少做过一次人工分析。安天移动安全掌门人的潘宣辰对雷锋网(公众号:雷锋网)宅客频道(公众号ID:letshome)这样说。语气里不无骄傲。当前,安天AVL 移动反病毒引擎为包括MIUI、YunOS、金立、猎豹、LBE等ROM厂商和APP开发者提供安全服务。
即使是网络安全产业爆发的今天,也鲜有人敢用这种“活字典”的姿态,表示自己的团队和所有的移动恶意代码都“打过照面”。
一种简单的重复,恰是另一个角度的波澜壮阔。
【潘宣辰】
爱上信息安全
黑客帝国
“我希望能看到各种事物的原理和机理。而网络安全安全的综合性更强,所以更适合我渴望探索的性格。”潘宣辰如此解释他选择武汉大学信息安全专业的原因。武汉大学是国内第一个本科信息安全专业,既有张焕国老师这样的专业泰斗,也有彭国军等一批优秀的青年教师。而就在一切都新鲜陌生的大一学年,潘宣辰看到了那部曾经触动了很多人的电影——《黑客帝国》。
你所知道的世界,并不是它的全部。
“代码”第一次以如此具象的方式,冲击了他的世界。潘宣辰突然发现,手里的代码变得锋利,锋利到可以穿透现实,撕开另一个世界的入口。
新世界的入口
对于一个充满好奇心的人来说,未知世界一旦曾经敞开,便成为魂牵梦萦的目的。
让潘宣辰记忆深刻的一次探索来自大三。那年在武汉大学信息安全专业的推荐下,他参加了新加坡南洋理工大学的交流计划。
新加坡的版权意识很强,所以我们都不敢在网上随便下载电影。但是那时的 Windows 有一个默认功能,就是默认共享某些磁盘目录。我利用网络漏洞编译了一个脚本,搜索了校园局域网,搜索到了所有其他电脑上存储的电影。
不过这件事情的结果和我想象得不太一样。一开始我找到了很多大片,但后来突然感到后怕,我突然意识到,原来安全是这么脆弱,每一个人这样需要保障。
他告诉雷锋网宅客频道(公众号ID:letshome),这是他第一次在实际的场景中,体会到了网络安全技术的“趣味性”;“但更重要一点是,我感受到了网络安全的严肃和沉重。”
安天·江海客
武大信息安全专业是国内第一个信息安全本科专业,在国内声望很高,各路大牛都被邀请给同学们演讲授课。不过,潘宣辰唯独对一个仙风道骨的大叔印象深刻。
此人就是肖新光,网名江海客,安天实验室的创始人。
【江海客(右)和潘宣辰(左)】
他有两点非常打动我:一是对原创技术的追求,二是民族产业情怀。潘宣辰说。
2007年,大三的潘宣辰报名去安天实验室实习,在实习人员报名表上,他填写了这样一句话” 我志愿终生从事信息安全方面的工作,这是我的兴趣也是志向……“
在那次面试中,潘宣辰对江海客说:“我认定的东西就一定会坚持。”
实习结束了,潘宣辰接到了安天实验室发展SOHO研究工作组的计划,他决定加入这个计划,组建安天武汉研究小组。于是,一个三人工作组在武汉“挂牌”成立,潘宣辰想起了那部对他影响颇深的电影,把研究组命名为“X-Matrix”。这就是安天移动安全公司前身。
潘宣辰说,Matrix 对我的影响比较深刻,尤其在对多样性的理解和坚持上。真正有活力的组织,有活力的世界必然是多样性的。我用 Matrix,意在希望我的团队也是多样性的。我们团队遵循初衷,采用扁平化的小组结构,每个小组就是一个 Matrix,多个小组,构成了 X-Matrix。
对潘宣辰来说,那段时间是充满挑战的。
设计、编码、组织团队、发展新人,同时又要上课,参加学校活动。X-Matrix 承担的第一个项目与移动安全无关,是安天 WEB 检测系统“猎狐”平台的开发,这个系统投入了安天承担的2008北京奥运的安保工作。但安天内部验收严格,对这个系统给了差评。第二个项目是一个手机分析的工具,效果也不令人满意。尽管被总部批评,但潘宣辰依然意气风发。并把目光逐渐放到移动安全方向,安天历史上曾尝试过在WINCE、智能 Linux 等移动平台上进行安全探索,但都因相关操作系统未成为主流场景而不了了之。那么 iPhone 会是移动安全的主战场么?Symbian 还有必要投入么?Android 呢?他反复猜测着方向,希望做出正确选择。而此时,人生也需要选择,研究生毕业,是去互联网大公司拿高薪;还是留在安天,延续设想中的网络安全工作。他预感到一个使命将要到来。果然,他收到了江海客的信,信里说:
“安天是否有建立武汉研发中心乃至未来武汉研究院的决心,主要在你的决心。”
经过一个晚上的思考,他下定了决心。但他还需要组建一个团队,他灵机一动,把江海客的信中的“你”,都改成了“你们”,转给其他同样面临毕业的 XMatrix 小伙伴们看,在反复的交流和谈心后,安天武汉研发中心开始落地开花。
2010年,安天给对“武研”的定位是“安天的一个侧重基础、偏重高端、以移动安全为主导的的研发团队”。
枪,弹药和打法
我不把自己定义为黑客,而是信息安全工程师。对我来讲黑客是“钻研、开放、分享”的精神和价值观。我向往这个精神,可以某种程度上追逐那种状态和感觉,但这不是我的身份。
安天吸引潘宣辰的,是专注于反病毒引擎核心技术的研发。但安天人知道,国际知名厂商的成长史要比多十年以上,其中的技术积累和底蕴不是简单的靠努力能解决的。所以安天在AVL基础检测引擎更多的发力点更多是放在更快的检测速度,更丰富的检测场景上,安天如果想超越上世纪80年代末期兴起的反病毒先行者们,就必须在一个新的空间中抢先发力。而当移动安全这个空间已经出现时,这个责任落在潘宣辰和他的团队肩上了。
2011——枪
最初一年,安天移动的全职员工只有不到4个人。潘宣辰庆幸自己留住了研究小组最得力的乔伟等小伙伴,他们承载着安天打造一个完美移动引擎的期望。
要做到对病毒最深层次的识别,就需要有检测底层代码的能力。我们做的是二进制级别的监测。每个 APK 安装包里面都有很多文件,包括资源、描述、DEX,可执行文件,还有自己的结构和函数符号。其中一个很重要的部分就是机器指令代码。而这些底层代码有可能被利用发起攻击。
潘宣辰说,这一系列的深度检测点,现在看来也只有很少的厂商全部做到了。
镇守一方,开疆拓土是艰难的,与在总部实习完事不操心不同,那个时候连机房都是我自己维护,面临的最大困难就是机房经常停电。一旦停电服务就被迫中断,不过这算不可抗力吧。
随着工作初见模样,安天移动反病毒引擎已经开始和LBE安全大师、金山手机毒霸(现在的猎豹移动安全)合作,也开始为国家互联网应急中心等管理机构选用。
然而,有一点略为出乎潘宣辰的意料。那就是经过一家合作伙伴的检测,安天AVL移动反病毒引擎对于病毒的检出率并不高,只有60%-70%。合作伙伴的反馈是:引擎很好,你们把我们所能想象的全部检测分支都实现了,但你们的规则还不能覆盖所有样本。
潘宣辰给雷锋网宅客频道(公众号ID:letshome)打了一个有趣的比方。
安天研发了一把很好的枪,但是这远远不够,我们还需要一个兵工厂提供弹药。
这些弹药,就是对于海量病毒样本的分析工作。面对每年翻十倍的恶意代码样本,只有4个核心成员的团队,显然没能力生产“弹药”。
2012——子弹
潘宣辰问江海客,总部会给武研什么支持,江海客说,我能给你的支持只有一个,那就是允许你无节制的招人。
潘宣辰回忆:当时移动安全市场已经开始展现初始的生命力。虽然我们起步很早,但是人员不足严重影响了我们的产品效果。我们判断,如果2012年上半年团队不到35人,这件事我们就不用做了。
但扩展团队何其之难,招聘“恶意代码分析工程师”。安天武研的招聘启事如是说。一个月过去了,连简历都没人投。
武汉并不像北上广深拥有那么多高比格的安全人员,空余孤单的小潘在风中凌乱。但是时间不等人,他心生一计,把招聘岗位改成了“安卓安全测试工程师”。用他的话说就是“把有研发和代码基础,但是不愿做一线代码的人先招过来”。 来了之后就进行恶意代码培训,然后直接干活,而且不能全留下,必须有50%的淘汰率。我们的第一波5-7个工程师就是这么来的。当然,现在他们都是很核心的级别了。
潘宣辰形容他做的事就是“用人把体系填充好”。
这件事没白做,在2012年底国际知名安全软件评测机构AV-Test的移动安全首次内部测评中,安天AVL移动反病毒引擎的检出率指标平均领先行业水平10%-15%。这是国内安全厂商第一次在世界反病毒领域呈现出技术压制的效果。潘宣辰津津乐道的是,2013全年,安天AVL移动反病毒引擎在AV-Test的六次测评中拿了3次第一,并以全年平均检测率第一的成绩荣获“移动设备最佳保护”奖项。而在2015年另一个权威测试机构AV-C年度测试中,安天AVL移动反病毒引擎也成为唯一上下半年均取得100%检出率的产品。
【潘宣辰在 AV-Test 颁奖现场】
2013——人机
工程师的取向和黑客的取向,有一个重要的分水岭。
黑客闪烁的更多的是个性与智慧的锋芒,但对工程师来说,他们深知,与攻击者直接对抗的,不是他们自己,而是产品以及后端的支撑体系。他们必须相信团队协作,必须用工程体系延展团队的经验与能力。
2013年,潘宣辰面临的问题是,恶意代码几何数级爆发,而安天移动的人力不可能无限增加,必须依靠一个更强大的工程体系支撑才能完成。而江海客对这个体系下达的要求更人抓狂,“海量批处理和大代价的精细处理要结合起来,要进一步满足恶意代码进行取证溯源方面的要求,要能够寻找关联性、寻找根源。”
潘宣辰当年在安天实习时,最感兴趣的系统是“病毒自动化分析流水线”。他觉得这条传统流水线对自动强调过多,但对人的经验整合不够,导致对未知恶意代码的判定不够理想。“人擅长精细化、高质量的单点作业,而机器适合规模化复制作业。在恶意代码判定的工序中,我要不断提高机器工作的比例,让人的力量集中在最重要的位置上,而同时还要把两者结合起来。”
这件事情远比说起来简单。教会机器像人一样在千万种选择中做出最优的判断,其难度无外乎教大猩猩跳芭蕾。算法的改变,规则的增删,每一次修改的尝试都面临着退步的风险。
我们曾试图开发一套系统,在没有任何先验经验的情况下,实现样本的分类,然后人工对于某一类的典型样本进行分析。这样就可以进一步减少人力。虽然我们开发出了这套系统,识别率也超过了97%,和人不相上下,但是这个系统需要两个工程师同时维护,同样的事情如果用纯人工的方法只需要一个工程师就能搞定。所以在上线一个月之后,我们还是把它下线了。
对于这些反复和挫折,他习以为常。今天回望有一个数据,可以证明他们的努力效果不错。从13年至今,移动恶意代码数量增长了百倍,而安天移动的恶意代码分析工程师数量只翻了一番。
【恶意代码及工程师增长曲线对比/图片由安天移动提供】
人类的科技史,可以概括为:不断用机器替代人类劳动的过程。安天移动反病毒引擎和支撑体系的发展,似乎也正在印证这一点。潘宣辰重视机器的力量,但不迷信机器的力量。
弗里德•科恩发表过关于不可能有一种系统能够检测所有的恶意代码的著名论文。江海客说,这篇论文使安全工作者放弃了对反病毒技术不切实际理论想象而走上了持续对抗的正道。
人永远无法从这场战役里退出,因为你的对手也是人。
不过,潘宣辰并不悲观。他对雷锋网宅客频道(公众号ID:letshome)说:“目前我们已经在人机之间做出了平衡,接下来要面对的是新增问题,只要能够低人力成本地解决新增问题,我们就可以一直保持在病毒对抗中的优势地位。”
团队.Leader
当年谷歌祭出 Android 1.0 的时候,也许没有预料到这块小小的屏幕会这么快成为“黑客帝国”的主战场。
潘宣辰在如翻阅辞海一般研究病毒家族样本的时候,也没有预料到 安天AVL移动反病毒引擎会这么快为4亿手机用户提供安全保障。
2013年,26岁的潘宣辰成为安天最年轻的合伙人。
2014年,在进行了核心团队激励计划后,安天武汉研发中心已经改制为安天移动安全公司,在安天一体两翼的集团化布局中,成为两大业务单元之一。潘宣辰毫无悬念的成为安天移动安全公司CEO。
2016年,安天移动安全发布了AVL Insight威胁情报平台。设计安天全域威胁情报支撑体系的职责,也落到潘宣辰的肩上。
对于未来,这位安天移动安全少帅说:
反病毒引擎是我们的技术内核,仅有一个内核是不够,我们的使命是在移动和更多新兴场景下,应对更广泛的威胁,为用户解决更多的安全问题。