Polyswarm VS Virustotal：DAO激励模式下的在线杀毒与威胁情报

看到一个比较有趣的在线杀毒平台Ployswarm，连着老大哥VirusTotal一起分析一下。

01 在线杀毒平台

在线杀毒老大哥VirusTotal（后简称VT）估计从业者都用过，12年被Google收购。

在这里，用户上传疑似病毒文件，平台会分发给几十个厂商，这些厂商提供查杀结果，帮助用户快速判断，而且还会对恶意文件进行分类，如：勒索软件、后门程序、挖矿程序....

好用到不止网民在用，安全技术从业者经常懒得分析（绝大部分也不会分析），直接丢进来看结果。

恶意文件查杀 这里技术壁垒是非常深的。做个网站集成别人的能力，自己不做核心技术，如何赚钱？这里涉及到两个增强回路。

02 样本——杀毒厂商的利益诉求

用户上传文件之后，这个文件会分发给数十个厂商进行查杀验证。

这些杀毒厂商对自己客户卖的都是收费产品，但是允许甚至主动向一个网站提供免费的查杀能力？这对厂商有什么好处？

网络病毒和咱们生物领域的病毒类似，想做检测手段（核酸）和防御手段（疫苗），首先都得拿到病毒样本，分析，然后才能有效的与之对抗。

对于杀毒软件厂商来讲，样本的积累量，就是核心竞争力。

商业化产品追求投入产出比，厂商在构建病毒的查杀能力时，需要以尽可能小的研发成本，覆盖尽可能多的病毒。做产品，我们当然不能“人工分析每一个病毒，并针对性的研制疫苗”，而是我先来个几亿历史病毒样本，尽可能找到覆盖面大的共性特征，先快速做几个通用检测手段覆盖50%问题，然后再提升到80%，再到90%，97%，99%，99.1%......，越往后投入产出比越小，再做就亏钱了。

在整个查杀能力建设过程中，知识都是从样本中分析而来，因此样本的重要性极高，和机器学习模型效果依赖数据集是一个道理。

而与机器学习领域不同的是，安全场景获取标注数据的成本极高。

判断一个车是不是车，在图片里的什么位置，普通人即可完成。但是判断一个文件是不是病毒，这玩意的技术难度非常高。一些含金量高的病毒样本（军火），只做定点打击，不会大规模流传。

此外，攻击方会不断打造绕过已有检测手段的新样本。在对重要目标进行渗透之前，为了确保「一击必中」，很多攻击者会选择把免杀样本上传到VT先检验一下，发现确实没有厂商能检测出来，再实施攻击。

为了积累样本，杀毒厂商可以允许自己的能力被免费集成。

03 在线杀毒：第一个增强回路

因此，以在线杀毒业务构建的第一个增强回路如图：

用户越多，提交的样本越多，样本越多越能吸引杀毒厂商入驻，厂商越多查杀能力越强，越吸引用户，这样一个增强回路。

变现方法：

1. 卖能力：把各种厂商能力打包API化售卖，然后按调用次数/账号权限 搞PLG的阶梯套餐。

2. 卖数据：因为平台收集了海量用户提交的样本，可以卖给厂商进行能力建设。
   

04 威胁情报：第二个增强回路

基础杀毒业务起步之后，平台的运营模式不仅可以解决用户的病毒查杀问题，还可以复用到针对URL、IP等其他资源的鉴别。如通过IP的历史行为，对IP打上恶意标签，这样企业在防御角度就可以阻断该IP的通信请求。

另一方面，平台在积累了大量的数据之后，由数据自身加工即可产生有价值的“知识”，如通过建立样本之间的关联性来研判病毒的传播趋势，跟踪僵尸网络家族，或者通过样本特征对攻击者进行溯源等

利用VT Graph对某勒索软件家族分析：

基于已有运营模式的复用，以及数据加工产出的新知识，构建出的新回路如下:

变现：

1. API化能力售卖：不仅是文件查杀，还包括URL、IP、域名、邮箱等等情报研判。

2. 在线情报调查产品：VT Graph，VT Intelligence等。

3. Enterprise版：打包能力进行本地化售卖，直接去抢AV（杀毒）、EDR（终端安全）、APT（高级威胁检测）、风控等等市场。

以上几种产品形态，背后的核心壁垒是一致的：数据。基于情报能力的产品天然适合SaaS的售卖模式。

到此，我们看到了一个以运营能力为核心的，以数据为壁垒的，SaaS牵引本地化销售的VT。

05 DAO社区激励模式的设计

接下来终于讲到了Polyswarm，2017成立，主要业务也是集成式杀毒平台，自称「VT replacement」、「第一个去中心化的网络威胁情报市场」。同样也成功吸引到一批的主流厂商加入，包括国内的360，阿里，深信服等。

从功能来看，与VT大同小异，但是他在社区「运营」这个核心能力方面引入了DAO（基于区块链技术构建的分布式自治组织）。

Polyswarm认为VT构建的 「厂商-用户」 系统中，用户的查杀效果依赖于厂商的产品，问题有二：

1. 通用型产品出于投入产出比考虑，只能解决90分的普遍问题（这一点上文已经论述），无法解决差异性的高端问题。

2.各种厂商进来，到底谁检测的准，怎么评价，客户要相信谁？

怎么办，Polyswarm说我们要引入「安全专家个体」这个角色，构建 厂商-安全专家-用户 三方共赢的机制。

两种交易：

1.  BOUNTY：发布悬赏，谁都可以接。

2. OFFER：定向对能力提供者出价。
   

角色说明：

最终用户(End Users): 需要查杀病毒的企业和家庭用户。最终用户通过”悬赏”和 ”出价”参与PolySwarm市场，提取及时且准确的恶意企图分类。

安全专家(Security Expert): 位在世界各地的恶意软件专家和逆向工程师。”专家”开 发并维护连接至 PolySwarm 市场的检测引擎(“工作引擎”)，分析最新的可疑文件，判断恶意企图。”专家”提出“断言”(Assertions)，即对于恶意文件分析结果的公开声明，提出正确断言的专家可以得到花蜜令牌(NCT)作为奖赏。

代表(Ambassador): 使最终用户从 PolySwarm 市场受益的公司。”代表”从他们的客户(最终用户)收取法币(即订阅费)和可疑文件,帮客户将悬赏和出价导入给市场,”代表”有责把各种”专家”的断言 (Assertion) 提取成一个简单恶意或非恶意的判 决 (Verdict),交付给他们的客户。

仲裁者(Arbiters): 负责确定真正事实的高阶”代表”。一定比例的“代表”(就产生的费用而言)将被视为“仲裁者”。

简单来说，厂商或用户「出价」，安全专家「投标」，技术代表「赌」结果的正确性。以出价激励参与度，以赌约激励结果正确性。所有交易上链并以虚拟货币结算。

06 你怎么看

从性质上讲：提出了一种新的方式，以期优化企业增长链路中「运营」这一核心环节。

从成本-收益角度来讲：这个模型真正落地的技术难度还是很大的，包括链上的交易速度问题、安全问题、订单保密性问题、产品迭代路径的容错率问题等等，都涉及到研发成本。然而，这些研发成本换来多少的用户增长及现金收益？目前笔者尚未观察到有力的数据支撑。

有趣的是，Polyswarm似乎非常关注国内市场，出了中文版白皮书，并在知乎、微博等平台进行了内容投放，有内味了。

原文链接附上Polyswarm白皮书，欢迎交流指正。