這些小小的螢幕拼接出新世界的圖景,改變了很多人的生活,也組成了一道堤壩,改道了潘宣辰的命運河流。
曆史上任何一個移動端惡意代碼家族,包括每一個變種,我們至少做過一次人工分析。安天移動安全掌門人的潘宣辰對雷鋒網(公衆号:雷鋒網)宅客頻道(公衆号id:letshome)這樣說。語氣裡不無驕傲。目前,安天avl 移動反病毒引擎為包括miui、yunos、金立、獵豹、lbe等rom廠商和app開發者提供安全服務。
即使是網絡安全産業爆發的今天,也鮮有人敢用這種“活字典”的姿态,表示自己的團隊和所有的移動惡意代碼都“打過照面”。
一種簡單的重複,恰是另一個角度的波瀾壯闊。
【潘宣辰】
“我希望能看到各種事物的原理和機理。而網絡安全安全的綜合性更強,是以更适合我渴望探索的性格。”潘宣辰如此解釋他選擇武漢大學資訊安全專業的原因。武漢大學是國内第一個大學資訊安全專業,既有張煥國老師這樣的專業泰鬥,也有彭國軍等一批優秀的青年教師。而就在一切都新鮮陌生的大一學年,潘宣辰看到了那部曾經觸動了很多人的電影——《黑客帝國》。
你所知道的世界,并不是它的全部。
“代碼”第一次以如此具象的方式,沖擊了他的世界。潘宣辰突然發現,手裡的代碼變得鋒利,鋒利到可以穿透現實,撕開另一個世界的入口。
對于一個充滿好奇心的人來說,未知世界一旦曾經敞開,便成為魂牽夢萦的目的。
讓潘宣辰記憶深刻的一次探索來自大三。那年在武漢大學資訊安全專業的推薦下,他參加了新加坡南洋理工大學的交流計劃。
新加坡的版權意識很強,是以我們都不敢在網上随便下載下傳電影。但是那時的 windows 有一個預設功能,就是預設共享某些磁盤目錄。我利用網絡漏洞編譯了一個腳本,搜尋了校園區域網路,搜尋到了所有其他電腦上存儲的電影。 不過這件事情的結果和我想象得不太一樣。一開始我找到了很多大片,但後來突然感到後怕,我突然意識到,原來安全是這麼脆弱,每一個人這樣需要保障。
他告訴雷鋒網宅客頻道(公衆号id:letshome),這是他第一次在實際的場景中,體會到了網絡安全技術的“趣味性”;“但更重要一點是,我感受到了網絡安全的嚴肅和沉重。”
武大資訊安全專業是國内第一個資訊安全大學專業,在國内聲望很高,各路大牛都被邀請給同學們演講授課。不過,潘宣辰唯獨對一個仙風道骨的大叔印象深刻。
此人就是肖新光,網名江海客,安天實驗室的創始人。
【江海客(右)和潘宣辰(左)】
他有兩點非常打動我:一是對原創技術的追求,二是民族産業情懷。潘宣辰說。
2007年,大三的潘宣辰報名去安天實驗室實習,在實習人員報名表上,他填寫了這樣一句話” 我志願終生從事資訊安全方面的工作,這是我的興趣也是志向……“
在那次面試中,潘宣辰對江海客說:“我認定的東西就一定會堅持。”
實習結束了,潘宣辰接到了安天實驗室發展soho研究工作組的計劃,他決定加入這個計劃,組建安天武漢研究小組。于是,一個三人工作組在武漢“挂牌”成立,潘宣辰想起了那部對他影響頗深的電影,把研究組命名為“x-matrix”。這就是安天移動安全公司前身。
潘宣辰說,matrix 對我的影響比較深刻,尤其在對多樣性的了解和堅持上。真正有活力的組織,有活力的世界必然是多樣性的。我用 matrix,意在希望我的團隊也是多樣性的。我們團隊遵循初衷,采用扁平化的小組結構,每個小組就是一個 matrix,多個小組,構成了 x-matrix。
對潘宣辰來說,那段時間是充滿挑戰的。
設計、編碼、組織團隊、發展新人,同時又要上課,參加學校活動。x-matrix 承擔的第一個項目與移動安全無關,是安天 web 檢測系統“獵狐”平台的開發,這個系統投入了安天承擔的2008北京奧運的安保工作。但安天内部驗收嚴格,對這個系統給了差評。第二個項目是一個手機分析的工具,效果也不令人滿意。盡管被總部批評,但潘宣辰依然意氣風發。并把目光逐漸放到移動安全方向,安天曆史上曾嘗試過在wince、智能 linux 等移動平台上進行安全探索,但都因相關作業系統未成為主流場景而不了了之。那麼 iphone 會是移動安全的主戰場麼?symbian 還有必要投入麼?android 呢?他反複猜測着方向,希望做出正确選擇。而此時,人生也需要選擇,研究所學生畢業,是去網際網路大公司拿高薪;還是留在安天,延續設想中的網絡安全工作。他預感到一個使命将要到來。果然,他收到了江海客的信,信裡說:
“安天是否有建立武漢研發中心乃至未來武漢研究院的決心,主要在你的決心。”
經過一個晚上的思考,他下定了決心。但他還需要組建一個團隊,他靈機一動,把江海客的信中的“你”,都改成了“你們”,轉給其他同樣面臨畢業的 xmatrix 小夥伴們看,在反複的交流和談心後,安天武漢研發中心開始落地開花。
2010年,安天給對“武研”的定位是“安天的一個側重基礎、偏重高端、以移動安全為主導的的研發團隊”。
我不把自己定義為黑客,而是資訊安全工程師。對我來講黑客是“鑽研、開放、分享”的精神和價值觀。我向往這個精神,可以某種程度上追逐那種狀态和感覺,但這不是我的身份。
安天吸引潘宣辰的,是專注于反病毒引擎核心技術的研發。但安天人知道,國際知名廠商的成長史要比多十年以上,其中的技術積累和底蘊不是簡單的靠努力能解決的。是以安天在avl基礎檢測引擎更多的發力點更多是放在更快的檢測速度,更豐富的檢測場景上,安天如果想超越上世紀80年代末期興起的反病毒先行者們,就必須在一個新的空間中搶先發力。而當移動安全這個空間已經出現時,這個責任落在潘宣辰和他的團隊肩上了。
最初一年,安天移動的全職員工隻有不到4個人。潘宣辰慶幸自己留住了研究小組最得力的喬偉等小夥伴,他們承載着安天打造一個完美移動引擎的期望。
要做到對病毒最深層次的識别,就需要有檢測底層代碼的能力。我們做的是二進制級别的監測。每個 apk 安裝包裡面都有很多檔案,包括資源、描述、dex,可執行檔案,還有自己的結構和函數符号。其中一個很重要的部分就是機器指令代碼。而這些底層代碼有可能被利用發起攻擊。
潘宣辰說,這一系列的深層檢測點,現在看來也隻有很少的廠商全部做到了。
鎮守一方,開疆拓土是艱難的,與在總部實習完事不操心不同,那個時候連機房都是我自己維護,面臨的最大困難就是機房經常停電。一旦停電服務就被迫中斷,不過這算不可抗力吧。
随着工作初見模樣,安天移動反病毒引擎已經開始和lbe安全大師、金山手機毒霸(現在的獵豹移動安全)合作,也開始為國家網際網路應急中心等管理機構選用。
然而,有一點略為出乎潘宣辰的意料。那就是經過一家合作夥伴的檢測,安天avl移動反病毒引擎對于病毒的檢出率并不高,隻有60%-70%。合作夥伴的回報是:引擎很好,你們把我們所能想象的全部檢測分支都實作了,但你們的規則還不能覆寫所有樣本。
潘宣辰給雷鋒網宅客頻道(公衆号id:letshome)打了一個有趣的比方。
安天研發了一把很好的槍,但是這遠遠不夠,我們還需要一個兵工廠提供彈藥。
這些彈藥,就是對于海量病毒樣本的分析工作。面對每年翻十倍的惡意代碼樣本,隻有4個核心成員的團隊,顯然沒能力生産“彈藥”。
潘宣辰問江海客,總部會給武研什麼支援,江海客說,我能給你的支援隻有一個,那就是允許你無節制的招人。
潘宣辰回憶:當時移動安全市場已經開始展現初始的生命力。雖然我們起步很早,但是人員不足嚴重影響了我們的産品效果。我們判斷,如果2012年上半年團隊不到35人,這件事我們就不用做了。
但擴充團隊何其之難,招聘“惡意代碼分析工程師”。安天武研的招聘啟事如是說。一個月過去了,連履歷都沒人投。
武漢并不像北上廣深擁有那麼多高比格的安全人員,空餘孤單的小潘在風中淩亂。但是時間不等人,他心生一計,把招聘崗位改成了“安卓安全測試工程師”。用他的話說就是“把有研發和代碼基礎,但是不願做一線代碼的人先招過來”。 來了之後就進行惡意代碼教育訓練,然後直接幹活,而且不能全留下,必須有50%的淘汰率。我們的第一波5-7個工程師就是這麼來的。當然,現在他們都是很核心的級别了。
潘宣辰形容他做的事就是“用人把體系填充好”。
這件事沒白做,在2012年底國際知名安全軟體評測機構av-test的移動安全首次内部測評中,安天avl移動反病毒引擎的檢出率名額平均領先行業水準10%-15%。這是國内安全廠商第一次在世界反病毒領域呈現出技術壓制的效果。潘宣辰津津樂道的是,2013全年,安天avl移動反病毒引擎在av-test的六次測評中拿了3次第一,并以全年平均檢測率第一的成績榮獲“移動裝置最佳保護”獎項。而在2015年另一個權威測試機構av-c年度測試中,安天avl移動反病毒引擎也成為唯一上下半年均取得100%檢出率的産品。
【潘宣辰在 av-test 頒獎現場】
工程師的取向和黑客的取向,有一個重要的分水嶺。
黑客閃爍的更多的是個性與智慧的鋒芒,但對工程師來說,他們深知,與攻擊者直接對抗的,不是他們自己,而是産品以及後端的支撐體系。他們必須相信團隊協作,必須用工程體系延展團隊的經驗與能力。
2013年,潘宣辰面臨的問題是,惡意代碼幾何數級爆發,而安天移動的人力不可能無限增加,必須依靠一個更強大的工程體系支撐才能完成。而江海客對這個體系下達的要求更人抓狂,“海量批處理和大代價的精細處理要結合起來,要進一步滿足惡意代碼進行驗證溯源方面的要求,要能夠尋找關聯性、尋找根源。”
潘宣辰當年在安天實習時,最感興趣的系統是“病毒自動化分析流水線”。他覺得這條傳統流水線對自動強調過多,但對人的經驗整合不夠,導緻對未知惡意代碼的判定不夠理想。“人擅長精細化、高品質的單點作業,而機器适合規模化複制作業。在惡意代碼判定的工序中,我要不斷提高機器工作的比例,讓人的力量集中在最重要的位置上,而同時還要把兩者結合起來。”
這件事情遠比說起來簡單。教會機器像人一樣在千萬種選擇中做出最優的判斷,其難度無外乎教大猩猩跳芭蕾。算法的改變,規則的增删,每一次修改的嘗試都面臨着退步的風險。
我們曾試圖開發一套系統,在沒有任何先驗經驗的情況下,實作樣本的分類,然後人工對于某一類的典型樣本進行分析。這樣就可以進一步減少人力。雖然我們開發出了這套系統,識别率也超過了97%,和人不相上下,但是這個系統需要兩個工程師同時維護,同樣的事情如果用純人工的方法隻需要一個工程師就能搞定。是以在上線一個月之後,我們還是把它下線了。
對于這些反複和挫折,他習以為常。今天回望有一個資料,可以證明他們的努力效果不錯。從13年至今,移動惡意代碼數量增長了百倍,而安天移動的惡意代碼分析工程師數量隻翻了一番。
【惡意代碼及工程師增長曲線對比/圖檔由安天移動提供】
人類的科技史,可以概括為:不斷用機器替代人類勞動的過程。安天移動反病毒引擎和支撐體系的發展,似乎也正在印證這一點。潘宣辰重視機器的力量,但不迷信機器的力量。
弗裡德•科恩發表過關于不可能有一種系統能夠檢測所有的惡意代碼的著名論文。江海客說,這篇論文使安全工作者放棄了對反病毒技術不切實際理論想象而走上了持續對抗的正道。
人永遠無法從這場戰役裡退出,因為你的對手也是人。
不過,潘宣辰并不悲觀。他對雷鋒網宅客頻道(公衆号id:letshome)說:“目前我們已經在人機之間做出了平衡,接下來要面對的是新增問題,隻要能夠低人力成本地解決新增問題,我們就可以一直保持在病毒對抗中的優勢地位。”
當年谷歌祭出 android 1.0 的時候,也許沒有預料到這塊小小的螢幕會這麼快成為“黑客帝國”的主戰場。
潘宣辰在如翻閱辭海一般研究病毒家族樣本的時候,也沒有預料到 安天avl移動反病毒引擎會這麼快為4億手機使用者提供安全保障。
2013年,26歲的潘宣辰成為安天最年輕的合夥人。 2014年,在進行了核心團隊激勵計劃後,安天武漢研發中心已經改制為安天移動安全公司,在安天一體兩翼的集團化布局中,成為兩大業務單元之一。潘宣辰毫無懸念的成為安天移動安全公司ceo。 2016年,安天移動安全釋出了avl insight威脅情報平台。設計安天全域威脅情報支撐體系的職責,也落到潘宣辰的肩上。
對于未來,這位安天移動安全少帥說:
反病毒引擎是我們的技術核心,僅有一個核心是不夠,我們的使命是在移動和更多新興場景下,應對更廣泛的威脅,為使用者解決更多的安全問題。