防病毒遇瓶颈
传统的防病毒工作包括:收集病毒样本、开发特征码然后迅速把这些特征码发布给用户。由于很多网络威胁都是针对性的联合攻击,因此收集样本几乎不可能。另外,日益发展的大量变种病毒都使用传递工具(例如垃圾邮件、即时讯息和网络威胁等),使得标准样本收集、特征码创建以及部署不再充分发挥效用。
病毒和不断发展的网络威胁之间的根本差异也对传统的病毒探测流程带来了挑战。起初病毒的设计是为了尽可能快速地进行传播,因此很容易找到。随着网络威胁的涌现,病毒已经从爆发模式发展到隐蔽的“睡眠式”感染,从而让传统的保护技术更加难以探测。
德国AV测试实验室在2008年1到2月,已经发现了100多万种新病毒,并预计今年的新病毒数量将首次超过1000万种,在2009年的新病毒数量将超过2000万种。
通常来说,传统的防病毒技术依赖病毒侦测率,而病毒侦测率是基于病毒特征码和特征库的,就是在计算机程序中寻找特征码,然后与病毒库比对。当防病毒工具面对2000万种新病毒时,其对计算机扫描一次,就需要1GB左右的内存空间,而此时计算机很可能将无法正常运行操作系统和其他应用程序。
可以看出,病毒的传播手段和途径已经超出了杀毒软件的能力界限。从各大杀毒软件厂商所发布的最新安全报告中也能够看出病毒难防的无力现实。趋势科技的CEO曾表示,目前防病毒业界的状况糟糕极了,只有“云-客户端”的架构才能有效地打击黑客。
“云”提供答案
“云计算”是IT发展的新阶段,它的出现和逐渐成熟给防病毒指明了未来的道路。
“云”就是基于网络的拥有大量的分布式计算机的计算机群。“云计算”是“网格计算”的发展,区别于“网格”利用各客户端的空闲计算能力运算,“云计算”则是由统一的计算机群完成计算,而客户端只要能收发信息就行。也就是将所有的数据和计算通过网络让庞大的计算机群完成,而用户只需要屏幕和键盘输入指令和获得结果。
集合了数万台计算机的“云”拥有强大的计算能力,在传统的防病毒方法已经达到能力极限情况下,“云”为病毒防范找到了一条新的出路。
通过云计算实现病毒查杀,客户端可以不保留病毒特征库。相对于动辄上百MB的防病毒软件安装程序来说,利用云计算技术,安装程序的体积可以缩小很多。
2008年,熊猫、趋势科技、瑞星等防病毒厂商纷纷推出自己的“云安全”战略。
熊猫公司将云计算服务称为“Collective Intelligence”(集体人工智能),通过云端的主机群收集并存储终端用户和互联网中的应用程序的行为模式、档案记录和新的恶意程序样本。每天通过监测上千万个网站,分析采集超过8TB的资料内容。
云计算防病毒技术不再需要客户端保留病毒库特征,所有的信息都将存放于互联网中。当全球任何角落的终端用户连接到互联网后,与云端的服务器保持实时联络,当发现异常行为或病毒等风险后,自动提交到云端的服务器群组中,由云计算技术进行集中分析和处理。之后,云计算技术会生成一份对风险的处理意见,同时对全世界的客户端进行统一分发。客户端可以自动进行阻断拦截、查杀等操作。
熊猫公司首席战略执行官Bill认为,云计算防病毒将成为未来的一种趋势。通过云计算的方式,只要有一个客户端发现异常就会自动传送到云端,这样可以最大限度地保护客户端的安全。
熊猫公司准备在今年10月发布一款真正完全基于云计算的防病毒客户端产品,暂定名为Nano AV,它的体积只有10MB,利用遍布全球的云端服务器集群实现对病毒、蠕虫、木马、间谍软件和网络钓鱼的检测和分析。
瑞星的“云安全”计划则首先将矛头指向了木马。
根据瑞星公布的资料,目前木马病毒呈现出爆炸性增长的趋势。据统计,自从1988年莫里斯蠕虫病毒出现直到2004年,全球病毒总数不过10万,而目前瑞星每天就能截获8~10万种新病毒。海量的新增病毒和产业链化的攻击行为,导致安全公司的传统反病毒模式失效,因此全球安全行业都在寻找新的技术和安全模式。
瑞星在国内安全厂商中率先推出了基于互联网的全新安全模式——“云安全”(Cloud Security)计划,同时发布了“瑞星卡卡上网安全助手6.0版”。瑞星卡卡6.0完全基于互联网设计,是瑞星“云安全”计划的重要组成部分,该产品独有“自动在线诊断、木马行为判断与拦截、木马下载拦截”等三大独创的反木马功能。
瑞星“云安全”计划的内容是,将用户和瑞星技术平台通过互联网紧密相连,组成一个庞大的木马/恶意软件监测、查杀网络,每个“瑞星卡卡6.0”用户都为“云安全”计划贡献一份力量,同时分享其他所有用户的安全成果。
“瑞星卡卡6.0”的“自动在线诊断”模块是“云安全”计划的核心之一,每当用户启动电脑,该模块都会自动检测并提取电脑中的可疑木马样本,并上传到瑞星“木马/恶意软件自动分析系统”(Rs Automated Malware Analyzer,简称RsAMA),整个过程只需要几秒钟。随后RsAMA将把分析结果反馈给用户,查杀木马病毒,并通过“瑞星安全资料库”(Rising Security Database,简称RsSD),分享给其他所有“瑞星卡卡6.0”用户。
瑞星公司副总毛一丁说:“瑞星公司在两年内将完成向互联网化方向转变的过程,推出卡卡6.0仅是整个庞大计划的第一步。”
趋势科技在不久前展示了基于云安全技术(SecureCloud)架构构建的下一代内容安全防护解决方案,用于解决当前快速增长和极具动态性的网络威胁。
趋势科技云安全的核心在于超越了拦截Web威胁的传统方法,转而借助汇总了威胁信息的全球网络,该网络采用了趋势科技的云安全技术,在Web威胁到达网络或计算机之前即可对其予以拦截。
通过推出在云中的快速实时安全状态“检测”,趋势科技降低了对端点上下载传统特征码文件的依赖性,同时减少了与在公司范围内部署特征码有关的成本和管理费用。趋势科技产品技术顾问徐学龙说:“通过把大多数特征码文件保存到互联网云数据库中并令其在端点处保持最低数量,趋势科技得以在Web威胁、电子邮件威胁和文件威胁到达最终用户或公司网络之前即可对其予以拦截。这种全新的方法降低了客户网络和端点的带宽消耗,提供了更快且更全面的及时保护。”
趋势科技云安全技术的6大杀手锏包括:Web信誉服务、电子邮件信誉服务、文件信誉服务、行为关联分析技术、自动反馈机制、威胁信息汇总。
目前,趋势科技“云安全技术架构”已经在全球建立了5个数据中心,有几万部在线服务器,拥有99.9999%的可靠性。云安全可以支持平均每天55亿条点击查询,每天收集分析2.5亿个样本,资料库第一次命中率就可以达到99%。相同的分析工作,过去需要一天的运算时间,改用趋势科技云安全技术后,现在只需要几秒钟。