云安全

2008年7月16日,瑞星公司正式发布“瑞星卡卡上网安全助手6.0版”,同时推出了基于互联网的全新安全模式——“云安全”(CloudSecurity)计划。瑞星安全专家表示,瑞星卡卡6.0完全基于互联网设计,是瑞星“云安全”(CloudSecurity)计划的重要组成部分,该产品独有“自动在线诊断、木马行为判断与拦截、木马下载拦截”等三大独创的反木马功能,是一款集防、查、杀于一体的全新的反木马利器。所有用户都可以登录瑞星网站,免费下载使用该产品(tool.ikaka.com)。

什么是“云安全”

紧随云计算、云存储之后,云安全也出现了。云安全是我国企业创造的概念,在国际云计算领域独树一帜。
“云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
未来杀毒软件将无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,在这样的情况下,采用的特征库判别法显然已经过时。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。

云安全的概念提出后,曾引起了广泛的争议,许多人认为它是伪命题。但事实胜于雄辩,云安全的发展像一阵风,瑞星、趋势、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全卫士、卡卡上网安全助手等都推出了云安全解决方案。瑞星基于云安全策略开发的2009新品,每天拦截数百万次木马攻击,其中1月8日更是达到了765万余次。势科技云安全已经在全球建立了5大数据中心,几万部在线服务器。据悉,云安全可以支持平均每天55亿条点击查询,每天收集分析2.5亿个样本,资料库第一次命中率就可以达到99%。借助云安全,趋势科技现在每天阻断的病毒感染最高达1000万次。

云安全-发展概览

我国企业创造的“云安全”概念,在国际云计算领域独树一帜。云安全通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。云安全的策略构想是:使用者越多,每个使用者就越安全,因为如此庞大的用户群,足以覆盖互联网的每个角落,只要某个网站被挂马或某个新木马病毒出现,就会立刻被截获。云安全的发展像一阵风,瑞星、趋势、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全卫士、卡卡上网安全助手等都推出了云安全解决方案。瑞星基于云安全策略开发的2009新品,每天拦截数百万次木马攻击,其中1月8日更是达到了765万余次。势科技云安全已经在全球建立了5大数据中心,几万部在线服务器。据悉,云安全可以支持平均每天55亿条点击查询,每天收集分析2.5亿个样本,资料库第一次命中率就可以达到99%。借助云安全,趋势科技现在每天阻断的病毒感染最高达1000万次。

云安全-专家评论

云安全
云安全原理图
瑞星“云安全”(CloudSecurity)计划的内容是,将用户和瑞星技术平台通过互联网紧密相连,组成一个庞大的木马/恶意软件监测、查杀网络,每个“瑞星卡卡6.0”用户都为“云安全”(CloudSecurity)计划贡献一份力量,同时分享其他所有用户的安全成果。

“瑞星卡卡6.0”的“自动在线诊断”模块,是“云安全”(CloudSecurity)计划的核心之一,每当用户启动电脑,该模块都会自动检测并提取电脑中的可疑木马样本,并上传到瑞星“木马/恶意软件自动分析系统”(RsAutomatedMalwareAnalyzer,简称RsAMA),整个过程只需要几秒钟。随后RsAMA将把分析结果反馈给用户,查杀木马病毒,并通过“瑞星安全资料库”(RisingSecurityDatabase,简称RsSD),分享给其他所有“瑞星卡卡6.0”用户。

瑞星工程师尹松介绍,瑞星卡卡6.0本身只是一个数兆大小的安全工具,但是它的背后是国内最大的信息安全专业团队,是瑞星“木马/恶意软件自动分析系统”(RsAMA)和“瑞星安全资料库”(RsSD),同时共享着数千万其他瑞星卡卡6.0用户的可疑文件监测成果。

尹松总结道,整个互联网,变成了一个超级大的“杀毒软件”,这就是瑞星“云安全”(CloudSecurity)计划的宏伟目标。

根据瑞星公布的资料,目前木马病毒呈现出爆炸性增长的趋势。据统计,自从1988年莫里斯蠕虫病毒出现直到2004年,全球病毒总数不过10万,而目前瑞星每天就能截获8-10万种新病毒。海量的新增病毒和产业链化的攻击行为,导致安全公司的传统反病毒模式失效,因此全球安全行业都在寻找新的技术和安全模式。

国外反病毒公司TrendMicro的CEO上个月曾表示,目前反病毒业界的状况糟糕极了,只有“云-客户端”的架构才能有效地打击黑客;而欧洲安全厂商Panda则于今年5月份在巴塞罗那公布了一个类似的战略。

瑞星副总裁毛一丁表示,“这次我们走在了全球安全行业的前端”。瑞星“云安全”(CloudSecurity)计划从去年底开始实施,其核心平台“木马/恶意软件自动分析系统”(RsAMA)从3月底投入试运行以来,目前每天能处理10万个新木马病毒。该系统采取病毒样本自动分类与共性特征提取的策略,采用瑞星多年积累的虚拟机脱壳、行为判断和族群式查杀等技术,可以自动分析、处理绝大多数新增木马病毒。

毛一丁重申,依靠瑞星强大的专业团队和全新的“木马/恶意软件自动分析系统”(RsAMA),每个瑞星卡卡6.0用户都将成为互联网安全的前哨,“我们相信,随着‘云安全’(CloudSecurity)计划的展开,国内互联网上木马横行的局面即将有较大的改观”。他邀请所有电脑用户都来使用免费的瑞星卡卡6.0,全民防御,绝杀肆虐互联网的木马病毒。

云安全-技术由来

云安全技术是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果。
值得一提的是,云安全的核心思想,与刘鹏早在2003年就提出的反垃圾邮件网格非常接近。刘鹏当时认为,垃圾邮件泛滥而无法用技术手段很好地自动过滤,是因为所依赖的人工智能方法不是成熟技术。垃圾邮件的最大的特征是:它会将相同的内容发送给数以百万计的接收者。为此,可以建立一个分布式统计和学习平台,以大规模用户的协同计算来过滤垃圾邮件:首先,用户安装客户端,为收到的每一封邮件计算出一个唯一的“指纹”,通过比对“指纹”可以统计相似邮件的副本数,当副本数达到一定数量,就可以判定邮件是垃圾邮件;其次,由于互联网上多台计算机比一台计算机掌握的信息更多,因而可以采用分布式贝叶斯学习算法,在成百上千的客户端机器上实现协同学习过程,收集、分析并共享最新的信息。反垃圾邮件网格体现了真正的网格思想,每个加入系统的用户既是服务的对象,也是完成分布式统计功能的一个信息节点,随着系统规模的不断扩大,系统过滤垃圾邮件的准确性也会随之提高。用大规模统计方法来过滤垃圾邮件的做法比用人工智能的方法更成熟,不容易出现误判假阳性的情况,实用性很强。反垃圾邮件网格就是利用分布互联网里的千百万台主机的协同工作,来构建一道拦截垃圾邮件的“天网”。反垃圾邮件网格思想提出后,被IEEE Cluster 2003国际会议选为杰出网格项目在香港作了现场演示,在2004年网格计算国际研讨会上作了专题报告和现场演示,引起较为广泛的关注,受到了中国最大邮件服务提供商网易公司创办人丁磊等的重视。既然垃圾邮件可以如此处理,病毒、木马等亦然,这与云安全的思想就相去不远了。
 

云安全-名称由来

“云安全”这个名字是马刚起的,本打算叫“安全云”,被大家鄙视,以为土气。

其实,这个概念早就有了,只不过瑞星动的比较快。“云计算”之前,有个很热的概念叫做“网格计算”,就是把大家的计算机联合起来,贡献出一些空闲的计算能力,供大家随时取用。

google是“网格计算”最早的利用者之一,他的服务器都是用廉价的PC机联合起来,用来取代昂贵的服务器,以提供大容量搜索要求的计算能力。其中的技术难点,就在于并行计算、服务器通讯这些技术。

云计算也好,网格计算也好,都是互联网出现之后的产物,PC的处理能力越来越强,普通用户根本用不到那些空闲的计算能力,有人就废物利用,这就是最通俗的“网格计算”、“云计算”的表述。

其中最典型的应用之一,就是“寻找外星人”计划,大家下载一个客户端,你空闲的时候,它就在那里默默计算,很努力的样子……

瑞星早就有这个想法,而真正落实到实践,还是今年的3月份,卡卡5.2中集成了“自动诊断”功能。开机的时候,这个模块会自动扫描,如果发现异常行为的程序,则上传到服务器进行分析。分析完毕,如果不是病毒,则无操作;如果是病毒,则把特征码返回给卡卡,用户运行卡卡扫描,即可清除病毒。

由于卡卡有几千万活跃用户,这些用户中只要有任何一个中毒,则样本一定会被收集上来,这样就可以最大程度的解决木马样本收集困难的问题。

而自动脱壳、行为判断识别未知病毒等等技术的进步,使得瑞星的服务器可以自动处理绝大部分卡卡上传的新病毒。这样,用户中毒——卡卡自动上传——服务器返回分析结果——查杀,这样的过程最短可以在几秒钟之内完成。这样,理论上可以使病毒造成的危害降低到最小。

因为,这短短的几秒钟,一个病毒能感染几台电脑?这样的危害损失,相对于六千万PC的存量来讲,已经几乎接近于零了。

当然,有一小部分病毒是服务器无法自动处理的,这就要求工程师参与的人工分析。由于少了那些机器自动处理病毒的拖累,工程师的效率同样可以上升到最高。

这样,由瑞星服务器、数千万卡卡用户就可以组成虚拟的网络,简称为“云”。病毒针对“云”的攻击,都会被服务器截获、记录并反击。被病毒感染的节点可以在最短时间内,获取服务器的解决措施,查杀病毒恢复正常。这样的“云”,理论上的安全程度是可以无限改善的。

“云”最强大的地方,就是抛开了单纯的“客户端”防护的概念。传统客户端被感染,杀毒完毕之后就完了,没有进一步的信息跟踪和分享。而“云”的所有节点,是与服务器共享信息的。你中毒了,服务器就会记录,在帮助你处理的同时,也把信息分享给其它用户,他们就不会被重复感染。

于是,这个“云”笼罩下的用户越多,“云”记录和分享的安全信息也就越多,整体的用户也就越强大。
这才是网络的真谛,也是所谓“云安全”的精华之所在。
“云安全”和“云计算”的区别云计算是一群的机算单元的计算能力协同、分享。云安全是一群探针的结果上报、专业处理结果的分享(预防)(云安全好处是理论上可以把病毒的传播范围控制在一定区域内!和探针的数量、存活、及病毒处理的速度有关)

云安全-云安全系统的难点

  要想建立“云安全”系统,并使之正常运行,需要解决四大问题:第一,需要海量的客户端(云安全探针);第二,需要专业的反病毒技术和经验;第三,需要大量的资金和技术投入;第四,必须是开放的系统,而且需要大量合作伙伴的加入。
  第一、 需要海量的客户端(云安全探针)。只有拥有海量的客户端,才能对互联网上出现的病毒、木马、挂马网站有最灵敏的感知能力。目前瑞星有超过一亿的自有客户端,如果加上迅雷、久游等合作伙伴的客户端,则能够完全覆盖国内的所有网民,无论哪个网民中毒、访问挂马网页,都能在第一时间做出反应。
  第二、 需要专业的反病毒技术和经验。瑞星拥有将近20年的反病毒技术积累,有数百名工程师组成的研发队伍,近年来连续获得国际级技术认证,技术实力稳居世界前列。这些都使瑞星“云安全”系统的技术水平国内首创,国际领先。大量专利技术、虚拟机、智能主动防御、大规模并行运算等技术的综合运用,使得瑞星的“云安全”系统能够及时处理海量的上报信息,将处理结果共享给“云安全”系统的每个成员。
  第三、 需要大量的资金和技术投入。目前瑞星“云安全”系统单单在服务器、带宽等硬件上的投入已经超过1亿元,而相应的顶尖技术团队、未来数年持续的研究花费将数倍于硬件投资,这样的投入规模是非专业厂商无法做到的。
  第四、 必须是开放的系统,而且需要大量合作伙伴的加入。瑞星“云安全”是个开放性的系统,其“探针”与所有软件完全兼容,即使用户使用其他杀毒软件,也可以安装瑞星卡卡助手等带有“探针”功能的软件,享受“云安全”系统带来的成果。而久游、迅雷等数百家重量级厂商的加入,也大大加强了“云安全”系统的覆盖能力。

云安全-新增功能

木马下载拦截

基于业界领先的反木马技术,拦截中毒电脑通过网络下载更多的病毒和盗号木马,截断木马进入用户电脑的通道,有效遏制“木马群”等恶性木马病毒的泛滥。

木马行为判断与拦截

基于强大的“智能主动防御”技术,当木马和可疑程序启动、加载时,立刻对其行为进行拦截,阻断其盗号等破坏行为,在木马病毒运行时发现并清除,保护QQ、网游和网银的账号安全。

自动在线诊断

瑞星“云安全”(CloudSecurity)计划的核心功能。自动检测并提取电脑中的可疑木马样本,并上传到瑞星“木马/恶意软件自动分析系统”(RsAutomatedMalwareAnalyzer,简称RsAMA),随后RsAMA将把分析结果反馈给用户,查杀木马病毒,并通过“瑞星安全资料库”(RisingSecurityDatabase,简称RsSD),分享给其他所有“瑞星卡卡6.0”用户。

云安全-增强功能

全新的“漏洞扫描与设置”,自动修复操作系统及第三方软件漏洞

应用全新开发的漏洞扫描引擎,智能检测Windows系统漏洞、第三方应用软件漏洞和相关安全设置,并帮助用户修复。用户也可以根据设置,实现上述漏洞的自动修复,简化了用户的操作,同时更加及时的帮助用户在第一时间弥补安全隐患。

强力系统修复

对于被病毒破坏的系统设置,如IE浏览器主页被改、经常跳转到广告网站等现象,卡卡助手会修复注册表、系统设置和host文件,使电脑恢复正常。

强大的进程、启动项管理

帮助用户有效管理电脑中的驱动、开机自启动软件、浏览器插件等,可有效提高用户电脑的运行效率。

高级工具集

针对熟练电脑用户,卡卡上网安全助手6.0提供了全面的实用功能:垃圾文件清理、系统启动项管理、服务管理、联网程序管理、LSP修复、文件粉碎和专杀工具。

七大监控保护用户系统安全

卡卡上网安全助手6.0,具有自动在线诊断、U盘病毒免疫、自动修复系统漏洞、木马行为判断与拦截、不良网站防护、IE防漏墙和木马下载拦截7大监控体系。全面开启保护用户电脑安全。

使用说明:

本软件支持Win2000/XP/2003操作系统。
软件所包含的浏览器工具栏支持IE5.0/6.0/7.0版本。

云安全-困境

云安全
云安全新增病毒样本趋势图
电脑用户的痛苦和安全厂商的困境

自从1988年莫里斯蠕虫病毒出现直到2004年,全球截获的电脑病毒总数有10万个;国内最大的安全公司瑞星最新公布的数据,目前每天截获的新病毒数量就高达8-10万个,仅2008年上半年瑞星全球反病毒监测网就发现了近156万个病毒,其中大部分是木马病毒。

电子邮件带毒、即时通信工具带毒、网上下载的电影和MP3带毒、网页上被植入木马……可以说,只要电脑接入互联网,就会立刻面临木马病毒的包围。但是电脑用户不是专业安全人士,在感染了木马病毒后,大部分的用户根本没有感觉,也不懂得如何通过检查注册表、可疑进程等信息进行分析并上报。一个普通的病毒分析工程师,每天最多能分析20个左右新病毒,面对成几何级数爆炸增长的新木马病毒,反病毒公司承担如此严峻的任务。如果依然沿袭以往的反病毒模式,安全厂商将被淹没在木马病毒的汪洋大海中。

云安全
瑞星“云安全”(CloudSecurity)计划
“云安全”(CloudSecurity)计划:让每一台电脑都变成一个木马监测站

因此,除了利用主动防御技术、未知病毒分析技术等提高杀毒软件的查杀能力之外,还需要对传统的木马病毒截获、分析处理方法做根本性的变革,才可以有效应对木马病毒泛滥的严峻局势。

瑞星“云安全”(CloudSecurity)计划的内容是,将用户和瑞星技术平台通过互联网紧密相连,组成一个庞大的木马/恶意软件监测、查杀网络,每个“瑞星卡卡6.0”用户都为“云安全”(CloudSecurity)计划贡献一份力量,同时分享其他所有用户的安全成果。

“瑞星卡卡6.0”的“自动在线诊断”模块,是“云安全”(CloudSecurity)计划的核心之一,每当用户启动电脑,该模块都会自动检测并提取电脑中的可疑木马样本,并上传到瑞星“木马/恶意软件自动分析系统”(RsAutomatedMalwareAnalyzer,简称RsAMA),整个过程只需要几秒钟。随后RsAMA将把分析结果反馈给用户,查杀木马病毒,并通过“瑞星安全资料库”(RisingSecurityDatabase,简称RsSD),分享给其他所有“瑞星卡卡6.0”用户。

由于此过程全部通过互联网并经程序自动控制,可以在最大程度上提高用户对木马和病毒的防范能力。理想状态下,从一个盗号木马从攻击某台电脑,到整个“云安全”(CloudSecurity)网络对其拥有免疫、查杀能力,仅需几秒的时间。

云安全
瑞星自动分析系统
“云安全”(CloudSecurity)计划:瑞星如何每天处理10万个新木马病毒

瑞星如何分析、处理每天收到的8-10万个新木马病毒样本的呢?光凭人力肯定是无法解决这个问题,“云安全”(CloudSecurity)计划的核心是瑞星“木马/恶意软件自动分析系统”(RsAutomatedMalwareAnalyzer,简称RsAMA),该系统能够对大量病毒样本进行动分类与共性特征分析。借助该系统,能让病毒分析工程师的处理效率成倍提高。

虽然每天收集到的木马病毒样本有8~10万个,但是瑞星的自动分析系统能够根据木马病毒的变种群自动进行分类,并利用“变种病毒家族特征提取技术”分别将每个变种群的特征进行提取。这样,对数万个新木马病毒进行自动分析处理后,真正需要真正人工分析的新木马病毒样本只有数百个。

瑞星拥有近20年的反病毒经验,是国内最早将行为模式判断、虚拟机脱壳和智能主动防御等新技术应用在产品中的厂商,也最早提出族群式查杀的概念。其“木马/恶意软件自动分析系统”(RsAMA)从去年底开始搭建,并于今年3月份就投入试运行,目前每天可以处理10万个可疑木马样本。

云安全
云安全杀毒软件
“云安全”(CloudSecurity)计划的梦想:互联网就是杀毒软件

每一个“瑞星卡卡6.0”的用户都为“云安全”(CloudSecurity)计划贡献力量,同时分享所有用户的安全成果。瑞星卡卡6.0本身只是一个数兆大小的安全工具,但是它的背后是国内最大的信息安全专业团队,是瑞星“木/恶意软件自动分析系统”(RsAMA)和瑞星安全资料库(RsSD),同时共享着数千万其他瑞星卡卡6.0用户的可疑文件监测成果。

参与者越多,整个网络越安全。随着“瑞星卡卡6.0”用户数量的不断增长,新木马病毒暴露在监测节点面前的几率就会增大,瑞星“木马/恶意软件自动分析系统”(RsAMA)收取并分析处理的样本就会同步提升,而每一个“瑞星卡卡6.0”用户从“瑞星安全资料库”(RisingSecurityDatabase,简称RsSD)所获得的新木马病毒查杀能力就会提高。瑞星“木马/恶意软件自动分析系统”(RsAMA)光是服务器就有上百台,为了保障和海量用户随时的通信,预计为了保障“云安全”计划实施,每年付出的服务器托管和带宽费用高达上千万。但是针对整个互联网用户的安全,这种付出的回报是超值的。

云安全-云安全怎样工作?

  其实“云安全”的设想在提出之初一直备受关注,不少人认为这是概念炒作,成不了什么气候,未必能引领下一代的安全技术,但今天我们看到“云安全”已经得到实践应用,并获得了较多数的好评。
  关于“云安全”,这里有几个关键词“发动用户的力量”、“并联”、“主动灭杀”,串联起来就形成了“云安全”群收集集中处理,主动歼杀的工作流程,以此来加强对计算机和网络安全的保障。
  比如我们日常用的电子邮件,使用ERS技术的防护,它能按照已知垃圾邮件源信誉数据库检查IP地址,并对IP地址加以验证。信誉评级通过对IP地址“行为”、活动范围和以前的历史进行不断的分析优化。今后发现该发送者的IP地址,其发出恶意电子邮件将被拦截在云中,从而防止威胁到用户。

六个厂商云安全示例

金山毒霸“云安全”定义
  金山毒霸“云安全”是为了解决木马商业化之后的互联网严峻的安全形势应运而生的一种全网防御的安全体系结构。它包括智能化客户端、集群式服务端和开放的平台三个层次。“云安全”是现有反病毒技术基础上的强化与补充,最终目的是为了让互联网时代的用户都能得到更快、更全面的安全保护。
  首先稳定高效的智能客户端,它可以是独立的安全产品,也可以作为与其他产品集成的安全组件,比如金山毒霸2009和百度安全中心等,它为整个云安全体系提供了样本收集与威胁处理的基础功能;
  
  其次服务端的支持,它是包括分布式的海量数据存储中心、专业的安全分析服务以及安全趋势的智能分析挖掘技术,同时它和客户端协作,为用户提供云安全服务;
  
  最后,云安全以一个开放性的安全服务平台作为基础,它为第三方安全合作伙伴提供了与病毒对抗的平台支持。金山毒霸云安全既为第三方安全合作伙伴用户提供安全服务,又靠和第三方安全合作伙伴合作来建立全网防御体系。使得每个用户都参与到全网防御体系中来,遇到病毒也将不再是孤军奋战。
  金山毒霸“云安全”的体系结构
  1.可支撑海量样本存储及计算的水银平台
  2.互联网可信认证服务
  3.爬虫系统
  
趋势科技——在Web威胁到达之前予以阻止
  
  趋势科技SecureCloud云安全6大杀手锏:
  1.Web信誉服务
  借助全球最大的域信誉数据库之一,趋势科技的Web信誉服务按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉分数,从而追踪网页的可信度。然后将通过该技术继续扫描网站并防止用户访问被感染的网站。为了提高准确性、降低误报率,趋势科技Web信誉服务为网站的特定网页或链接指定了信誉分值,而不是对整个网站进行分类或拦截,因为通常合法网站只有一部分受到攻击,而信誉可以随时间而不断变化。
  通过信誉分值的比对,就可以知道某个网站潜在的风险级别。当用户访问具有潜在风险的网站时,就可以及时获得系统提醒或阻止,从而帮助用户快速地确认目标网站的安全性。通过Web信誉服务,可以防范恶意程序源头。由于对零日攻击的防范是基于网站的可信程度而不是真正的内容,因此能有效预防恶意软件的初始下载,用户进入网络前就能够获得防护能力。
    2.电子邮件信誉服务
  趋势科技的电子邮件信誉服务按照已知垃圾邮件来源的信誉数据库检查IP地址,同时利用可以实时评估电子邮件发送者信誉的动态服务对IP地址进行验证。信誉评分通过对IP地址的“行为”、“活动范围”以及以前的历史进行不断的分析而加以细化。按照发送者的IP地址,恶意电子邮件在云中即被拦截,从而防止僵尸或僵尸网络等web威胁到达网络或用户的计算机。
  3.文件信誉服务
  现在的趋势科技云安全将包括文件信誉服务技术,它可以检查位于端点、服务器或网关处的每个文件的信誉。检查的依据包括已知的良性文件清单和已知的恶性文件清单,即现在所谓的防病毒特征码。高性能的内容分发网络和本地缓冲服务器将确保在检查过程中使延迟时间降到最低。由于恶意信息被保存在云中,因此可以立即到达网络中的所有用户。而且,和占用端点空间的传统防病毒特征码文件下载相比,这种方法降低了端点内存和系统消耗。
  4.行为关联分析技术
  趋势科技云安全利用行为分析的“相关性技术”把威胁活动综合联系起来,确定其是否属于恶意行为。Web威胁的单一活动似乎没有什么害处,但是如果同时进行多项活动,那么就可能会导致恶意结果。因此需要按照启发式观点来判断是否实际存在威胁,可以检查潜在威胁不同组件之间的相互关系。通过把威胁的不同部分关联起来并不断更新其威胁数据库,使得趋势科技获得了突出的优势,即能够实时做出响应,针对电子邮件和Web威胁提供及时、自动的保护。
  5.自动反馈机制
  趋势科技云安全的另一个重要组件就是自动反馈机制,以双向更新流方式在趋势科技的产品及公司的全天候威胁研究中心和技术之间实现不间断通信。通过检查单个客户的路由信誉来确定各种新型威胁,趋势科技广泛的全球自动反馈机制的功能很像现在很多社区采用的“邻里监督”方式,实现实时探测和及时的“共同智能”保护,将有助于确立全面的最新威胁指数。单个客户常规信誉检查发现的每种新威胁都会自动更新趋势科技位于全球各地的所有威胁数据库,防止以后的客户遇到已经发现的威胁。
  6.威胁信息汇总
  来自美国、菲律宾、日本、法国、德国和中国等地研究人员的研究将补充趋势科技的反馈和提交内容。在趋势科技防病毒研发暨技术支持中心TrendLabs,各种语言的员工将提供实时响应,24/7的全天候威胁监控和攻击防御,以探测、预防并清除攻击。
  趋势科技综合应用各种技术和数据收集方式——包括“蜜罐”、网络爬行器、客户和合作伙伴内容提交、反馈回路以及TrendLabs威胁研究——趋势科技能够获得关于最新威胁的各种情报。通过趋势科技云安全中的恶意软件数据库以及TrendLabs研究、服务和支持中心对威胁数据进行分析。
卡巴斯基--全功能安全防护:无缝透明安全体系的搭建
  卡巴斯基的全功能安全防护旨在为互联网信息搭建一个无缝透明的安全体系:
  1.针对互联网环境中类型多样的信息安全威胁,卡巴斯基实验室以反恶意程序引擎为核心,以技术集成为基础,实现了信息安全软件的功能平台化。系统安全、在线安全、内容过滤和反恶意程序等核心功能可以在全功能安全软件的平台上实现统一、有序和立体的安全防御,而不是不同类型和功能的产品的杂凑;
  2.在强大的后台技术分析能力和在线透明交互模式的支持下,卡巴斯基全功能安全软件2009可以在用户“知情并同意(Awareness&Approval)”的情况下在线收集、分析(OnlineRealtimeCollecting&Analysing)用户计算机中可疑的病毒和木马等恶意程序样本,并且通过平均每小时更新1次的全球反病毒数据库进行用户分发(InstantSolutionDistribution)。从而实现病毒及木马等恶意程序的在线收集、即时分析及解决方案在线分发的“卡巴斯基安全网络”,即“云安全”技术。卡巴斯基全功能安全软件2009通过“卡巴斯基安全网络”,将“云安全”技术透明地应用于广大计算机用户,使得全球的卡巴斯基用户组成了一个具有超高智能的安全防御网,能够在第一时间对新的威胁产生免疫力,杜绝安全威胁的侵害。"卡巴斯基安全网络"经过了卡巴斯基实验室长期的研发和测试,具有极高的稳定性和成熟度。因此,才能够率先在全功能安全软件2009正式版的产品中直接为用户提供服务。
  3.通过扁平化的服务体系实现用户与技术后台的零距离对接。卡巴斯基拥有全球领先的恶意程序样本中心及恶意程序分析平台,每小时更新的反病毒数据库能够保障用户计算机的安全防御能力与技术后台的零距离对接。在卡巴斯基的全功能安全的防御体系中,所有用户都是互联网安全的主动参与者和安全技术革新的即时受惠者。
McAfee推云安全
  著名安全厂商McAfee宣布,将推出基于云计算的安全系统Artemis。该系统能够保护计算机免受病毒、木马或其他安全威胁的侵害。
  McAfee旗下AvertLabs的研究人员表示,该系统能够缩短收集、检测恶意软件的时间,及配置整个解决方案的时间。
  随着安全系统的发展,这一时间已经从以往的几天减少到数小时,目前又下降到"数毫秒"。
  AvertLabs安全研究及通信主管DaveMarcus表示:"Artemis系统管理一个窗口,企业用户的所有活动都在该窗口中进行,而该窗口将会持续分析有无恶意软件。Artemis的目的是为了使所用时间最小化。"
  传统安全系统使用威胁签名数据库来管理恶意软件信息,而作为一款云计算服务,Artemis可以在签名文件尚未发布之前就对威胁作出反应。
  Marcus表示,AvertLabs研究人员每周会发现上万个新的签名文件。如果用户电脑装有Artemis系统,那么一旦电脑被检测到存在可疑文件,那么会立刻与McAfee服务器联系,以确定可疑文件是否是恶意的。通过这一方式,McAfee还能利用所收集的数据为企业提供定制的安全解决方案。
  专家表示,Artemis能够提供实时的安全保护。而在传统的基于签名的安全系统中,发现安全威胁和采取保护措施之间往往存在时间延迟。
  IDC安全产品研究主管CharlesKolodgy表示:"传统的基于签名的恶意软件检测方式存在不足。随着用户行为的改变,安全威胁也在改变,恶意软件检测技术总体上来看没有保持同步发展。"
瑞星“云安全”计划白皮书
  “云安全”(CloudSecurity)计划:将用户和瑞星技术平台通过互联网紧密相连,组成一个庞大的木马/恶意软件监测、查杀网络,每个“瑞星卡卡6.0”用户都为“云安全”(CloudSecurity)计划贡献一份力量,同时分享其他所有用户的安全成果。
  “瑞星卡卡6.0”的“自动在线诊断”模块,是“云安全”(CloudSecurity)计划的核心之一,每当用户启动电脑,该模块都会自动检测并提取电脑中的可疑木马样本,并上传到瑞星“木马/恶意软件自动分析系统”(RsAutomatedMalwareAnalyzer,简称RsAMA),整个过程只需要几秒钟。随后RsAMA将把分析结果反馈给用户,查杀木马病毒,并通过“瑞星安全资料库”(RisingSecurityDatabase,简称RsSD),分享给其他所有“瑞星卡卡6.0”用户。
  由于此过程全部通过互联网并经程序自动控制,可以在最大程度上提高用户对木马和病毒的防范能力。理想状态下,从一个盗号木马从攻击某台电脑,到整个“云安全”(CloudSecurity)网络对其拥有免疫、查杀能力,仅需几秒的时间。
  “云安全”(CloudSecurity)计划:瑞星如何每天处理10万个新木马病毒
  瑞星如何分析、处理每天收到的8-10万个新木马病毒样本的呢?光凭人力肯定是无法解决这个问题,“云安全”(CloudSecurity)计划的核心是瑞星“木马/恶意软件自动分析系统”(RsAutomatedMalwareAnalyzer,简称RsAMA),该系统能够对大量病毒样本进行动分类与共性特征分析。借助该系统,能让病毒分析工程师的处理效率成倍提高。
  虽然每天收集到的木马病毒样本有8~10万个,但是瑞星的自动分析系统能够根据木马病毒的变种群自动进行分类,并利用“变种病毒家族特征提取技术”分别将每个变种群的特征进行提取。这样,对数万个新木马病毒进行自动分析处理后,真正需要真正人工分析的新木马病毒样本只有数百个。
江民打造“云安全”+“沙盒”
  以云方式构建的大规模特征库并不足以应对安全威胁的迅速增长,国内外杀毒厂商还需要在核心杀毒技术上下足功夫,例如虚拟机、启发式、沙盒、智能主动防御等未知病毒防范技术都需要加强和发展,多数杀毒软件本身的自我保护能力也需要加强。病毒增长的再快,只是量的变化,而现实当中,造成巨大损失的,却往往是极少数应用了新病毒技术的恶性病毒,。
  “云安全”必然要建立在“内核级自我保护”“沙盒”“虚拟机”等核心技术的基础上才能显出威力,没有这些核心技术,杀毒软件在病毒面前就可能会出现“有心无力”的尴尬,现实中许多杀毒软件扫描发现了病毒,却无力清除,甚至反被病毒关闭的现象比比皆是。这也是为什么江民在推出KV2009时,首先强调的是“沙盒”“内核级自我保护”“智能主动防御”“虚拟机”等核心技术,而把“云安全”防毒系统排在后面的原因。杀毒和其它行业一样,首先是基础要足够强大,基础不扎实,楼建的再高也不牢靠。
  “沙盒”是一种更深层的系统内核级技术,与“虚拟机”无论在技术原理还是在表现形式上都不尽相同,“沙盒”会接管病毒调用接口或函数的行为,并会在确认为病毒行为后实行回滚机制,让系统复原,而“虚拟机”并不具备回滚复原机制,在激发病毒后,虚拟机会根据病毒的行为特征判断为是某一类病毒,并调用引擎对该病毒进行清除,两者之间有着本质的区别。事实上,在对付新病毒入侵时,应用了“沙盒”的KV2009已经开始发挥了强大的效力。有用户在关闭江民KV2009杀毒软件各种实时监控,仅开启了“带沙盒技术的主动防御”模式,结果运行“扫荡波”新病毒后,病毒的所有行为被拦截并抹除,没有机会在系统中留下任何痕迹。
  目前反病毒面临的最主要问题是驱动型病毒对杀毒软件的技术挑战。因此,目前反病毒的首要任务是进一步提升反病毒核心技术,在确保反病毒技术的前提下,充分借助“云安全”防毒系统的快迅响应机制,打造“云安全”加“沙盒”的双重安全保障体系。
 

拥有云安全的厂商:

瑞星(卡卡上网安全助手) 卡巴斯基 NOD32 MCAFEE SYMANTEC 趋势 江民科技 PANDA 金山 360安全卫士

云安全-参考资料

[1] 中国云计算网:http://www.cloudcomputing-china.cn/
[2] 中国云计算: http://www.chinacloud.cn
[3] 中国云计算云安全专栏:http://www.chinacloud.cn/list.aspx?cid=29
[4] 中国云计算网_云安全专题:http://www.cloudcomputing-china.cn/Article/ShowClass.asp?ClassID=8
[5] 瑞星 http://www.rising.com.cn/2008/cloud/
[6] 金山度霸 http://article.pchome.net/content-762206.html
[7] 刘鹏 赵伟。反垃圾邮件网格清扫网络, 软件世界,2006年13期, http://media.ccidnet.com/art/3017/20060718/640971_1.html

编辑/发表时间:2009-06-25 10:07
编辑词条如何编辑词条?)                          历史版本

资料出处:
贡献者:
徐尚杰张田阳高黎林灏庞翔宇