“雲安全”在病毒防御領域的應用探究
來源:電腦編程技巧與維護雜志 更新時間:2013-08-14
 
在使用防毒、殺毒軟件時,大多數用戶都加入了“雲安全”計劃體驗,但卻對“雲安全”了解不多.針對“雲安全”問題,查閱了大量資料,並進行了深入研究與探索.對“雲安全”概念、核心技術、用戶關注的個人隱私保護等問題進行了簡單闡述。
1 引言
    在“平均每秒就有一個新的安全威脅產生,每5分鐘就會發生一起網絡入侵行為”今天,每個用戶都在用這樣或那樣的防毒殺毒軟件保護自己網絡、網站、個人電腦等不受病毒攻擊。無論采用哪種防毒殺毒軟件,都會發現有“雲安全”計劃、“雲安全”網址、“雲安全”服務等。對於大多數普通用戶很多時候都是不加思考地加入其中,對“雲安全”知之甚少。
 2 “雲安全”概念
    “雲安全” (Cloud Security)不是一種產品,也不是一種解決方案,它是一個理念,是一種基於雲計算的互聯網安全防御理念,是和所有互聯網使用者一起與Web威脅做鬥爭。具體地說它融合了並行處理、網格計算、未知病毒行為判斷等新興技術和概念,通過網狀的大量客戶端對網絡中軟件行為的異常監測,獲取互聯網中木馬、惡意程序的最新信息,傳送到Server端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端。基於雲安全的客戶端即是病毒的檢測者,也是受益者。
    傳統殺毒軟件將病毒庫放在用戶電腦上,在掃描病毒過程中會反復與本地病毒庫進行比對,占用大量系統資源,使電腦速度越來越慢。並且隨著病毒的不斷升級,病毒庫的容量也會越來越大,如圖1所示。而基於“雲安全”的病毒防御可以簡單地理解為整個互聯網就是一個巨大的殺毒軟件,風險數據庫放在雲端服務器中,當進行病毒查殺時,與雲端數據庫進行分析比對,節省很多系統時間,如圖2所示。
  130155655137337092_new.jpg (752×200)
圖1 傳統的防病毒系統示意圖
  130155655416313048_new.jpg (734×199)
圖2 “雲安全”架構下的防病毒系統示意圖
3 “雲安全”的核心技術
    3.1 Web信譽服務
    借助全信譽數據庫,“雲安全”可以按照惡意軟件行為分析中所發現的網站頁面、可疑活動跡像等因素確定信譽分數,追蹤網頁的可信度。為了降低誤報率,提高准確性,安全廠商還為網站的特定頁面或鏈接指定了信譽分值,通過信譽分值比對,就能知道其風險級別。當用戶訪問風險網站時,就可以獲得系統提醒或阻止,進而幫助用戶快速確認目標網站的安全性。通過web信譽服務,可以防範惡意程序源頭。
    3.2郵件信謄服務
    郵件信譽服務按垃圾郵件來源的信譽數據庫檢查m地址,同時利用動態服務對IP進行驗證。信譽評分通過對口地址的“行為”、“活動範圍”及以前的歷史進行不斷地分析、細化。對惡意電子郵件,按發送者的口地址在雲中即被攔截,從而防止僵屍或僵屍網絡等Web威脅到達網絡或客戶端。
    3.3文件信譽服務
    文件信譽服務技術可以根據已知的良性文件清單和惡性文件清單,檢查位於端點、服務器或網關處的每個文件的信譽。由於惡意信息被保存在雲中,與下載特征碼文件占用端點空間的傳統防病毒相比,降低了端點內存和系統消耗。
    3.4行為關聯分析技術
    Web威脅的單一活動沒有什麼害處,但是如果同時進行多項活動,就可能導致惡意結果。通過行為分析的“相關性技術”可以把威脅活動綜合聯系起來並不斷更新其威脅數據庫,確定其是否屬於惡意行為,實時做出響應,對電子郵件和Web威脅提供及時、自動的保護。
3.5自動反饋機制
    自動反饋機制是以雙向更新流方式在威脅研究中心和技術人員之間實現不問斷通信。通過檢查單個客戶的路由信譽來確定各種新型威脅,實現實時探測和及時的“共同智能”保護,確立全面的最新威脅指數。單個客戶常規信譽檢查發現的每種新威脅都會自動更新各地的威脅數據庫,防止以後的客戶遇到已經發現的威脅。
    3.6威脅信息彙總
    安全公司綜合運用各種技術和數據收集方式——包括網絡爬行器、“蜜罐”、客戶和合作伙伴內容提交、反饋回路以及TrendLabs威脅研究獲得最新威脅情報。通過惡意軟件數據庫、服務、TrendLabs研究和支持中心對威脅數據進行分析。為了探測、預防並清除攻擊,進行7x24小時的全天候威脅監控和攻擊防御。
    3.7白名單技術
    白名單技術是將證明是安全文件樣本放在白名單數據庫中,與將病毒特征碼技術即黑名單技術實質相同,區別僅在於規模不同。無論如何安全文件一定會遠遠超過危險文件。白名單技術作為一種核心技術,主要被用於降低誤報率。因為黑名單中也許會存在著實際上並無惡意的特征碼。
4 “雲安全”解決方案
    “雲安全”的策略構想是:整個互聯網就是一個巨大的“殺毒軟件”,參與者越多,每個參與者就越安全,整個互聯網就會更安全。因為如此龐大的用戶群,足以覆蓋互聯網的每個角落,只要某個網站被掛馬或某個新木馬病毒出現,就會立刻被截獲。
    4.1瑞星雲安全
    瑞星“雲安全”系統包括3部分:超過一億的客戶端、雲安全服務器、數百家瑞星合作伙伴。
    當用戶安裝了瑞星防殺病毒相關軟件後就成了瑞星“雲安全”的客戶端。瑞星的“雲安全探針”能夠感知客戶端電腦上的安全信息,如木馬文件開始運行、木馬對系統注冊表關鍵位置的修改、用戶訪問的網頁帶毒等。“探針”會把這些信息上傳到“雲安全”服務器並進行深入分析。分析後,把結果加入“雲安全”系統,使“雲安全”的所有客戶端能夠立刻防御這些威脅。不同的威脅處理方式不同。對於新病毒, “雲安全”服務器會將病毒的特征碼送回中毒客戶端,使用戶能夠及時查殺該病毒。如果是“帶毒網頁”,則“雲安全”系統會將網址發送給所有的合作伙伴,使搜索引擎、下載軟件等公司在第一時間屏蔽這些網站,在最短時間內保證用戶的安全。
    瑞星“雲安全”系統4大特色:第一,海量的客戶端(雲安全探針);第二,專業的反病毒技術和經驗;第三,投入億元重金,國內最大專業團隊打造;第四,迅雷、久游等數百家重量級合作伙伴鼎力支持。
    4.2 360雲安全
    360雲安全系統,針對傳統的靠病毒特征庫進行殺毒、病毒特征庫裡邊是病毒特征碼,提取病毒特征碼需要先獲取病毒的樣本,用半人工半自動的方式提取特征碼等問題,進行了兩大創新。第一,取消了本地特征碼的掃描技術,也就是說在360的安全軟件裡沒有特征碼,這大大提高了電腦的運行速度。第二,獨創了一種新型查殺技術,在360的雲端利用雲計算的技術,收集將近10億個黑、白和一些未知程序,當360產品在掃描你電腦的時候,它會連接到雲端,然後比對在你的電腦裡掃描出的文件是好文件還是壞文件。第一時問阻止木馬危害你的電腦。”
    在解決木馬的問題上,360雲安全系統有3個核心技術的突破:第一,建立了全球最大的白名單系統。第二,獨創了人工智能識別引擎,通過人工智能的方法識別文件的好壞。第三,在國內建立了最大的惡意網址自動檢測系統,在國內任何一個網站上的任何一個頁面只要有人點擊,360公司的雲技術就能夠知道這個頁面是安全的還是危險的。
5 “雲安全”存在的問題
    盡管各大反病毒軟件都在使用“雲安全”計劃,但“雲安全”技術仍處在發展階段,必然存在這樣或那樣的問題。但最重要的一個問題是用戶的隱私安全能否得到保證。“雲安全探針”在用戶電腦上“探測”了哪些文件,在往服務器上傳時,都上傳了什麼文件,是惡意文件還是正常文件,無從知曉。如果是正常的且用戶私有文件,反病毒廠商采取了哪些後繼處理動作?尤其是軍事機構、金融服務等行業,是決不允許數據被雲基礎方案截獲或者更改的。因此,基於“雲安全”的病毒防御方案若被用戶接受,一定要能保證用戶隱私安全。做到這一點,反病毒程序應從以下幾方面人手:
    第一,做出上傳動作之前,要征得用戶同意,就像微軟“軟件更新”提供的選項一樣,同意後才能上傳,不能偷偷摸摸就上傳了。用戶也可以要求自己自行上傳。
    第二,對於上傳文件的路徑、類型、大小、創建時間等屬性條件,應由用戶設定。反病毒廠商不能想搜集什麼就搜集什麼。用戶的銀行證書、私密文件、私密路徑下文件等信息文件不要搜集。
    第三、上傳用戶文件後,必須留下完整上傳記錄日志文件,並向用戶提供日志檢查功能,讓用戶對防病毒軟件做了什麼,上傳的文件如何處理等一清二楚,讓用戶放心,才能獲得用戶的信任。
6 結語
    “雲安全”技術在病毒防御領域的應用,使整個互聯網成為一個巨大的“殺毒軟件”,參與者越多,網絡越安全。網絡越安全,終端用戶在病毒和黑客攻擊面前越安全。但在“雲安全”的雲端面前,用戶的隱私毫無遮掩。盡管各反毒廠商一再發出用戶隱私保護聲明, “在統計時,不涉及您的個人信息或數據”。但“雲安全探針”真的能探測到哪些是個人信息或數據,哪些是威脅信息,只上傳含有威脅信息的文件?如果真的到了這種程度,現在的“雲安全發展階段”就該稱“雲安全”成熟階段了。如果反病毒廠商真的把用戶私有文件收集去了,能保證不拿去賣錢的唯一的方法就是商業自律。期待未來的“雲安全”在病毒防御領域的應用真正使互聯網安全,用戶更安全。