“这个五一,全公司的安全团队和我个人都寝食难安。”5 月 4 日,360 大楼里一场关于退出 AV-C 评测的沟通会上,360 副总裁于光东对包括《第一财经日报》在内的媒体说。围绕在奇虎 360 与三大国际杀软测评机构的纠纷,正演变成一场“罗生门”。“我们高考制度不甚完善,但如果因此就在高考时大摇大摆作弊,更有甚者作弊被抓公然训斥监考老师,这就说不过去了。”一位国内安全厂商这样对记者说,“评测专不专业,和作弊被抓,是两件事”。
“我不能容忍大家说我们作弊,我有信心。” 360 反病毒软件工程师路轶则说,“如果我把测评的所有杀毒软件放到用户桌子面前,我们看下用户选谁,谁能通过用户的测评?”
争议一:360
这场纠纷始于 360 在国际参评测试中提交的评测产品。
世界上三大杀毒软件测试机构 AV-Comparatives、AV-TEST 和 VirusBulletin 联合声明显示,中国安全厂商奇虎 360 送给机构的测试产品和实际发放给用户使用的产品表现出了显著不同的行为。
AV-C 在评测报告中注明,奇虎 360 参评产品为 360AntiViru,而目前在 360 官方中文网站、360 英文网站上都无法找到 360AntiVirus 的下载入口。这说明奇虎 360 参评产品不是国内版(360 杀毒软件),也不是国际版(360TotalSecurity),而是为了参与国际评测获得高分,然后再进行市场宣传专门打造的一个版本。
同时,三大评测机构的调查结果表明,奇虎在送测的所有产品中都默认开启了 Bitdefender 引擎,但奇虎自家的 QVM 引擎却从来没有被开启过。相反,在奇虎 360 的主要市场区域里,默认的设置都是 Bitdefender 关闭,而 QVM 引擎开启。
“AV-C 相关评测并未限制参评产品开启云安全辅助检测。”一位国内安全厂商人士告诉记者,安全评测的重要约束条件是,提交参评的产品必须与其主要市场产品一致,且仅允许默认设置,这是基本规则、重要公约,参评厂商均有义务遵守。
而按照 360 官方的说法:360 杀毒是一款多引擎杀毒软件,集成了 QVM 云查杀引擎、QVM 本地引擎、系统修复引擎、BitDefender (比特梵德)引擎和 Avira (小红伞)引擎,其中 QVM、BD、小红伞这三个可以由用户自主设置。
其中,QVM 是人工智能引擎,通过深度机器学习训练出来的,根据不同地区、不同的木马样本进行训练,适应于不同的地区。为了对木马病毒和恶意程序的检出率最高、误报率最低,360 精选了 100 万个样本集进行本地化的 QVM 训练,由于地域化和网络环境的差异,它专门进行分区域和本地特征的机器学习与训练,这也符合现在网络安全的现状。
360 反病毒软件工程师路轶称,360 配备杀毒多引擎的目的,是为了针对互联网时代不同国家地区的网络安全威胁的地域化和个性化的特点,可以进行引擎的灵活选择使用,以保证防护效果的最大化,比如 BD 是欧洲引擎,在欧洲病毒木马的查杀有优势,而 QVM 和我们自己的云引擎针对中国地区比较好。三个引擎都配置,在不同国家和地区有不同的默认配置,用户自己也可以选择。因为 AV-C 的评测标准偏向欧美,所以 360 的参测版本默认开启 BD 引擎,而对于中国用户则推荐 QVM 引擎。
此外,如果所有引擎都默认打开,360 杀毒安装包将从小于 30MB 飙升到超过 300MB,这是国内大多数电脑配置无法接受的。此次事件只是中国和欧洲地区化差异引发的规则冲突,并非“作弊”。
路轶称,从参加 AV-C 评测开始,360 杀毒一直使用这样的引擎配置,AV-C 在自己的报告中也已经明确说明,此次 AV-C 突然提出这个问题有些莫名其妙。
争议二:源于利益纠纷?
事实上,就在半个月前,奇虎 360 曾宣布自己的安全在产品独立杀毒软件测试机构 AV-C 测试中拿下国内第一。此前有公开统计数据显示,360 是迄今为止国内获得 AV-C 认证次数最多的安全软件。
回想起此前 360 在 AV-C 评测中的成绩,于光东坦言:360 在国际化的道路上“拜错了码头”。
他称,360 在确立自己的国际化战略之后,选择参加 AV-C 等国际评测,通过国际评测的成绩来增加产品在国际市场的影响力,但后来才发现这个“码头”并不科学,可以说不是应该拜的“码头”。
按照 360 的官方说法,360 免费安全产品的国际化触动了传统杀毒行业利益,而 AV-C 等国外评测机构与国外杀毒厂商是利益共同体,因此国外评测机构态度才转为质疑。
当《第一财经日报》记者问及是否有相关证据证明这种说法时,360 给出的回答是:360 被 AV-C 取消认证和评级发生的时机非常巧合。
于光东称,2015 年 4 月底,360 公司总裁齐向东带队参加 RSA 信息安全大会,在会上披露了 360 安全产品的国外用户数超过一亿,并将加速推向海外市场的消息。在这一消息宣布约一周之后,AV-C 联合 AV-TEST 和 VirusBulletin 公布了关于 360 的评测声明。
“对方只留给我们 40 分钟的时间然后就直接发布声明,接着就是 51 国际劳动节,对方也放假了无法联系”。于光东说,由于双方无法就评测标准达成一致, 360 宣布退出 AV-C 评测的决定。
而对于为什么只退出三家评测机构中的一家,于光东的解释是,目前主要是由 AV-C 一家出了相关报告,取消了 360 的认证和评级,另外两家 AV-TEST 和 VirusBulletin,目前 360 与它们仍在沟通之中。
争议三:AV-C
在退出 AV-C 的同时,360 方面称,其实 360 与 AV-C 冲突的根源是随着互联网尤其是移动互联网的发展,基于云计算和大数据技术的新的安防技术与落后的传统杀毒评测标准之间的博弈。
360 称,在 AV-C 的评测标准无法准确衡量产品真正水平的情况下,不得不针对评测标准对产品进行妥协性设置,在不自觉中被 AV-C 这样的评测机构绑架,这也是 360 国际化付出的代价。
按照 360 的说法,AV-C 等机构成立于上世纪 90 年代,当时是传统杀毒技术鼎盛时期,其评测标准也是基于传统杀毒技术而制定的。在 AV-C 看来,杀毒软件就应该是“特征码引擎+病毒库”,放在全世界任何一个角落都要测试出相同的结果,根本不认同云安全软件根据不同国家、不同地区配置更适应当地用户需求的引擎和云查杀防护策略。
360 副总裁曲晓东告诉记者,游戏外挂、破解器等软件在中国有上亿人使用,一些外挂甚至是游戏官方许可的,如果这些软件本身无害,360 杀毒不会对其查杀;但是在欧洲,外挂和破解器等软件统一被定义为恶意软件,国产杀毒软件在参加 AV-C 等欧洲地区评测时,必须根据当地标准调整引擎和云查杀策略。
他表示,更重要的问题是,AV-C 等传统杀毒评测是基于已知的病毒样本进行检测,样本选择也更倾向于欧洲地区流行的病毒,比的是杀毒软件病毒库对样本的覆盖能力,其结果往往是 99% 甚至 100% 的检测率,但显然是不符合真实情况的。
此外,360 官方举例称,此前国内曾发生某著名艺人网银被盗 100 万元的真实案件 ,不法分子骗其经纪人卸载了 360 杀毒,再要求受害者从钓鱼网站下载使用 Teamviewer (一款世界知名的远程控制软件),从而控制其电脑盗取巨额网银资金。如果按 AV-C 评测标准,Teamviewer 是合法软件,不应该“查杀”。而 360 杀毒集成了多引擎,其中 QVM 人工智能引擎对未知威胁的防护能力远远优于传统杀毒引擎,360 云安全会根据文件下载途径、软件行为等信息综合判断并查杀被恶意利用的 Teamviewer,这是传统评测所无法体现的、真正的安全保护。
而按照 360 的说法, 目前 AV-C 用来测试的木马病毒样本只有 11~13 万,因为数量太小,不能反应真实的网络环境;而 360 每天获取的新木马病毒样本就达 70~80 万,整体样本集规模接近 2 亿,是 AV-C 测试样本集的 1000 倍还要多。AV-C 用仅有实际样本千分之一数量的样本集来测试,测试结果显然无法反映用户的安防实际。
对于 AV-C 的测试标准是否过时的说法,国内另一家安全厂商的安全工程师对记者给出的回答则是:这是全球杀毒厂商都认可的规则,而这也与 360 被取消认证与评级的原因是两回事。