“这个五一,全公司的安全团队和我个人都寝食难安。”5月4日,360大楼里一场关于退出AV-C评测的沟通会上,360副总裁于光东对包括《第一财经日报》在内的媒体说。围绕在奇虎360与三大国际杀软测评机构的纠纷,正演变成一场“罗生门”。“我们高考制度不甚完善,但如果因此就在高考时大摇大摆作弊,更有甚者作弊被抓公然训斥监考老师,这就说不过去了。”一位国内安全厂商这样对记者说,“评测专不专业,和作弊被抓,是两件事”。
“我不能容忍大家说我们作弊,我有信心。” 360反病毒软件工程师路轶则说,“如果我把测评的所有杀毒软件放到用户桌子面前,我们看下用户选谁,谁能通过用户的测评?”
争议一:360
这场纠纷始于360在国际参评测试中提交的评测产品。
世界上三大杀毒软件测试机构AV-Comparatives、AV-TEST和VirusBulletin联合声明显示,中国安全厂商奇虎360送给机构的测试产品和实际发放给用户使用的产品表现出了显著不同的行为。
AV-C在评测报告中注明,奇虎360参评产品为360AntiViru,而目前在360官方中文网站、360英文网站上都无法找到360AntiVirus的下载入口。这说明奇虎360参评产品不是国内版(360杀毒软件),也不是国际版(360TotalSecurity),而是为了参与国际评测获得高分,然后再进行市场宣传专门打造的一个版本。
同时,三大评测机构的调查结果表明,奇虎在送测的所有产品中都默认开启了Bitdefender引擎,但奇虎自家的QVM引擎却从来没有被开启过。相反,在奇虎360的主要市场区域里,默认的设置都是Bitdefender关闭,而QVM引擎开启。
“AV-C相关评测并未限制参评产品开启云安全辅助检测。”一位国内安全厂商人士告诉记者,安全评测的重要约束条件是,提交参评的产品必须与其主要市场产品一致,且仅允许默认设置,这是基本规则、重要公约,参评厂商均有义务遵守。
而按照360官方的说法:360杀毒是一款多引擎杀毒软件,集成了QVM云查杀引擎、QVM本地引擎、系统修复引擎、BitDefender(比特梵德)引擎和Avira(小红伞)引擎,其中QVM、BD、小红伞这三个可以由用户自主设置。
其中,QVM是人工智能引擎,通过深度机器学习训练出来的,根据不同地区、不同的木马样本进行训练,适应于不同的地区。为了对木马病毒和恶意程序的检出率最高、误报率最低,360精选了100万个样本集进行本地化的QVM训练,由于地域化和网络环境的差异,它专门进行分区域和本地特征的机器学习与训练,这也符合现在网络安全的现状。
360反病毒软件工程师路轶称,360配备杀毒多引擎的目的,是为了针对互联网时代不同国家地区的网络安全威胁的地域化和个性化的特点,可以进行引擎的灵活选择使用,以保证防护效果的最大化,比如BD是欧洲引擎,在欧洲病毒木马的查杀有优势,而QVM和我们自己的云引擎针对中国地区比较好。三个引擎都配置,在不同国家和地区有不同的默认配置,用户自己也可以选择。因为AV-C的评测标准偏向欧美,所以360的参测版本默认开启BD引擎,而对于中国用户则推荐QVM引擎。
此外,如果所有引擎都默认打开,360杀毒安装包将从小于30MB飙升到超过300MB,这是国内大多数电脑配置无法接受的。此次事件只是中国和欧洲地区化差异引发的规则冲突,并非“作弊”。
路轶称,从参加AV-C评测开始,360杀毒一直使用这样的引擎配置,AV-C在自己的报告中也已经明确说明,此次AV-C突然提出这个问题有些莫名其妙。
争议二:源于利益纠纷?
事实上,就在半个月前,奇虎360曾宣布自己的安全在产品独立杀毒软件测试机构AV-C测试中拿下国内第一。此前有公开统计数据显示,360是迄今为止国内获得AV-C认证次数最多的安全软件。
回想起此前360在AV-C评测中的成绩,于光东坦言:360在国际化的道路上“拜错了码头”。
他称,360在确立自己的国际化战略之后,选择参加AV-C等国际评测,通过国际评测的成绩来增加产品在国际市场的影响力,但后来才发现这个“码头”并不科学,可以说不是应该拜的“码头”。
按照360的官方说法,360免费安全产品的国际化触动了传统杀毒行业利益,而AV-C等国外评测机构与国外杀毒厂商是利益共同体,因此国外评测机构态度才转为质疑。
当《第一财经日报》记者问及是否有相关证据证明这种说法时,360给出的回答是:360被AV-C取消认证和评级发生的时机非常巧合。
于光东称,2015年4月底,360公司总裁齐向东带队参加RSA信息安全大会,在会上披露了360安全产品的国外用户数超过一亿,并将加速推向海外市场的消息。在这一消息宣布约一周之后,AV-C联合AV-TEST和VirusBulletin公布了关于360的评测声明。
“对方只留给我们40分钟的时间然后就直接发布声明,接着就是51国际劳动节,对方也放假了无法联系”。于光东说,由于双方无法就评测标准达成一致, 360宣布退出AV-C评测的决定。
而对于为什么只退出三家评测机构中的一家,于光东的解释是,目前主要是由AV-C一家出了相关报告,取消了360的认证和评级,另外两家AV-TEST和VirusBulletin,目前360与它们仍在沟通之中。
争议三:AV-C
在退出AV-C的同时,360方面称,其实360与AV-C冲突的根源是随着互联网尤其是移动互联网的发展,基于云计算和大数据技术的新的安防技术与落后的传统杀毒评测标准之间的博弈。
360称,在AV-C的评测标准无法准确衡量产品真正水平的情况下,不得不针对评测标准对产品进行妥协性设置,在不自觉中被AV-C这样的评测机构绑架,这也是360国际化付出的代价。
按照360的说法,AV-C等机构成立于上世纪90年代,当时是传统杀毒技术鼎盛时期,其评测标准也是基于传统杀毒技术而制定的。在AV-C看来,杀毒软件就应该是“特征码引擎+病毒库”,放在全世界任何一个角落都要测试出相同的结果,根本不认同云安全软件根据不同国家、不同地区配置更适应当地用户需求的引擎和云查杀防护策略。
360副总裁曲晓东告诉记者,游戏外挂、破解器等软件在中国有上亿人使用,一些外挂甚至是游戏官方许可的,如果这些软件本身无害,360杀毒不会对其查杀;但是在欧洲,外挂和破解器等软件统一被定义为恶意软件,国产杀毒软件在参加AV-C等欧洲地区评测时,必须根据当地标准调整引擎和云查杀策略。
他表示,更重要的问题是,AV-C等传统杀毒评测是基于已知的病毒样本进行检测,样本选择也更倾向于欧洲地区流行的病毒,比的是杀毒软件病毒库对样本的覆盖能力,其结果往往是99%甚至100%的检测率,但显然是不符合真实情况的。
此外,360官方举例称,此前国内曾发生某著名艺人网银被盗100万元的真实案件 ,不法分子骗其经纪人卸载了360杀毒,再要求受害者从钓鱼网站下载使用Teamviewer(一款世界知名的远程控制软件),从而控制其电脑盗取巨额网银资金。如果按AV-C评测标准,Teamviewer是合法软件,不应该“查杀”。而360杀毒集成了多引擎,其中QVM人工智能引擎对未知威胁的防护能力远远优于传统杀毒引擎,360云安全会根据文件下载途径、软件行为等信息综合判断并查杀被恶意利用的Teamviewer,这是传统评测所无法体现的、真正的安全保护。
而按照360的说法, 目前AV-C用来测试的木马病毒样本只有11~13万,因为数量太小,不能反应真实的网络环境;而360每天获取的新木马病毒样本就达70~80万,整体样本集规模接近2亿,是AV-C测试样本集的1000倍还要多。AV-C用仅有实际样本千分之一数量的样本集来测试,测试结果显然无法反映用户的安防实际。
对于AV-C的测试标准是否过时的说法,国内另一家安全厂商的安全工程师对记者给出的回答则是:这是全球杀毒厂商都认可的规则,而这也与360被取消认证与评级的原因是两回事。