“云安全”在病毒防御领域的应用探究
来源:电脑编程技巧与维护杂志 更新时间:2013-08-14
 
在使用防毒、杀毒软件时,大多数用户都加入了“云安全”计划体验,但却对“云安全”了解不多.针对“云安全”问题,查阅了大量资料,并进行了深入研究与探索.对“云安全”概念、核心技术、用户关注的个人隐私保护等问题进行了简单阐述。
1 引言
    在“平均每秒就有一个新的安全威胁产生,每5分钟就会发生一起网络入侵行为”今天,每个用户都在用这样或那样的防毒杀毒软件保护自己网络、网站、个人电脑等不受病毒攻击。无论采用哪种防毒杀毒软件,都会发现有“云安全”计划、“云安全”网址、“云安全”服务等。对于大多数普通用户很多时候都是不加思考地加入其中,对“云安全”知之甚少。
 2 “云安全”概念
    “云安全” (Cloud Security)不是一种产品,也不是一种解决方案,它是一个理念,是一种基于云计算的互联网安全防御理念,是和所有互联网使用者一起与Web威胁做斗争。具体地说它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。基于云安全的客户端即是病毒的检测者,也是受益者。
    传统杀毒软件将病毒库放在用户电脑上,在扫描病毒过程中会反复与本地病毒库进行比对,占用大量系统资源,使电脑速度越来越慢。并且随着病毒的不断升级,病毒库的容量也会越来越大,如图1所示。而基于“云安全”的病毒防御可以简单地理解为整个互联网就是一个巨大的杀毒软件,风险数据库放在云端服务器中,当进行病毒查杀时,与云端数据库进行分析比对,节省很多系统时间,如图2所示。
  130155655137337092_new.jpg (752×200)
图1 传统的防病毒系统示意图
  130155655416313048_new.jpg (734×199)
图2 “云安全”架构下的防病毒系统示意图
3 “云安全”的核心技术
    3.1 Web信誉服务
    借助全信誉数据库,“云安全”可以按照恶意软件行为分析中所发现的网站页面、可疑活动迹象等因素确定信誉分数,追踪网页的可信度。为了降低误报率,提高准确性,安全厂商还为网站的特定页面或链接指定了信誉分值,通过信誉分值比对,就能知道其风险级别。当用户访问风险网站时,就可以获得系统提醒或阻止,进而帮助用户快速确认目标网站的安全性。通过web信誉服务,可以防范恶意程序源头。
    3.2邮件信誊服务
    邮件信誉服务按垃圾邮件来源的信誉数据库检查m地址,同时利用动态服务对IP进行验证。信誉评分通过对口地址的“行为”、“活动范围”及以前的历史进行不断地分析、细化。对恶意电子邮件,按发送者的口地址在云中即被拦截,从而防止僵尸或僵尸网络等Web威胁到达网络或客户端。
    3.3文件信誉服务
    文件信誉服务技术可以根据已知的良性文件清单和恶性文件清单,检查位于端点、服务器或网关处的每个文件的信誉。由于恶意信息被保存在云中,与下载特征码文件占用端点空间的传统防病毒相比,降低了端点内存和系统消耗。
    3.4行为关联分析技术
    Web威胁的单一活动没有什么害处,但是如果同时进行多项活动,就可能导致恶意结果。通过行为分析的“相关性技术”可以把威胁活动综合联系起来并不断更新其威胁数据库,确定其是否属于恶意行为,实时做出响应,对电子邮件和Web威胁提供及时、自动的保护。
3.5自动反馈机制
    自动反馈机制是以双向更新流方式在威胁研究中心和技术人员之间实现不问断通信。通过检查单个客户的路由信誉来确定各种新型威胁,实现实时探测和及时的“共同智能”保护,确立全面的最新威胁指数。单个客户常规信誉检查发现的每种新威胁都会自动更新各地的威胁数据库,防止以后的客户遇到已经发现的威胁。
    3.6威胁信息汇总
    安全公司综合运用各种技术和数据收集方式——包括网络爬行器、“蜜罐”、客户和合作伙伴内容提交、反馈回路以及TrendLabs威胁研究获得最新威胁情报。通过恶意软件数据库、服务、TrendLabs研究和支持中心对威胁数据进行分析。为了探测、预防并清除攻击,进行7x24小时的全天候威胁监控和攻击防御。
    3.7白名单技术
    白名单技术是将证明是安全文件样本放在白名单数据库中,与将病毒特征码技术即黑名单技术实质相同,区别仅在于规模不同。无论如何安全文件一定会远远超过危险文件。白名单技术作为一种核心技术,主要被用于降低误报率。因为黑名单中也许会存在着实际上并无恶意的特征码。
4 “云安全”解决方案
    “云安全”的策略构想是:整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。因为如此庞大的用户群,足以覆盖互联网的每个角落,只要某个网站被挂马或某个新木马病毒出现,就会立刻被截获。
    4.1瑞星云安全
    瑞星“云安全”系统包括3部分:超过一亿的客户端、云安全服务器、数百家瑞星合作伙伴。
    当用户安装了瑞星防杀病毒相关软件后就成了瑞星“云安全”的客户端。瑞星的“云安全探针”能够感知客户端电脑上的安全信息,如木马文件开始运行、木马对系统注册表关键位置的修改、用户访问的网页带毒等。“探针”会把这些信息上传到“云安全”服务器并进行深入分析。分析后,把结果加入“云安全”系统,使“云安全”的所有客户端能够立刻防御这些威胁。不同的威胁处理方式不同。对于新病毒, “云安全”服务器会将病毒的特征码送回中毒客户端,使用户能够及时查杀该病毒。如果是“带毒网页”,则“云安全”系统会将网址发送给所有的合作伙伴,使搜索引擎、下载软件等公司在第一时间屏蔽这些网站,在最短时间内保证用户的安全。
    瑞星“云安全”系统4大特色:第一,海量的客户端(云安全探针);第二,专业的反病毒技术和经验;第三,投入亿元重金,国内最大专业团队打造;第四,迅雷、久游等数百家重量级合作伙伴鼎力支持。
    4.2 360云安全
    360云安全系统,针对传统的靠病毒特征库进行杀毒、病毒特征库里边是病毒特征码,提取病毒特征码需要先获取病毒的样本,用半人工半自动的方式提取特征码等问题,进行了两大创新。第一,取消了本地特征码的扫描技术,也就是说在360的安全软件里没有特征码,这大大提高了电脑的运行速度。第二,独创了一种新型查杀技术,在360的云端利用云计算的技术,收集将近10亿个黑、白和一些未知程序,当360产品在扫描你电脑的时候,它会连接到云端,然后比对在你的电脑里扫描出的文件是好文件还是坏文件。第一时问阻止木马危害你的电脑。”
    在解决木马的问题上,360云安全系统有3个核心技术的突破:第一,建立了全球最大的白名单系统。第二,独创了人工智能识别引擎,通过人工智能的方法识别文件的好坏。第三,在国内建立了最大的恶意网址自动检测系统,在国内任何一个网站上的任何一个页面只要有人点击,360公司的云技术就能够知道这个页面是安全的还是危险的。
5 “云安全”存在的问题
    尽管各大反病毒软件都在使用“云安全”计划,但“云安全”技术仍处在发展阶段,必然存在这样或那样的问题。但最重要的一个问题是用户的隐私安全能否得到保证。“云安全探针”在用户电脑上“探测”了哪些文件,在往服务器上传时,都上传了什么文件,是恶意文件还是正常文件,无从知晓。如果是正常的且用户私有文件,反病毒厂商采取了哪些后继处理动作?尤其是军事机构、金融服务等行业,是决不允许数据被云基础方案截获或者更改的。因此,基于“云安全”的病毒防御方案若被用户接受,一定要能保证用户隐私安全。做到这一点,反病毒程序应从以下几方面人手:
    第一,做出上传动作之前,要征得用户同意,就像微软“软件更新”提供的选项一样,同意后才能上传,不能偷偷摸摸就上传了。用户也可以要求自己自行上传。
    第二,对于上传文件的路径、类型、大小、创建时间等属性条件,应由用户设定。反病毒厂商不能想搜集什么就搜集什么。用户的银行证书、私密文件、私密路径下文件等信息文件不要搜集。
    第三、上传用户文件后,必须留下完整上传记录日志文件,并向用户提供日志检查功能,让用户对防病毒软件做了什么,上传的文件如何处理等一清二楚,让用户放心,才能获得用户的信任。
6 结语
    “云安全”技术在病毒防御领域的应用,使整个互联网成为一个巨大的“杀毒软件”,参与者越多,网络越安全。网络越安全,终端用户在病毒和黑客攻击面前越安全。但在“云安全”的云端面前,用户的隐私毫无遮掩。尽管各反毒厂商一再发出用户隐私保护声明, “在统计时,不涉及您的个人信息或数据”。但“云安全探针”真的能探测到哪些是个人信息或数据,哪些是威胁信息,只上传含有威胁信息的文件?如果真的到了这种程度,现在的“云安全发展阶段”就该称“云安全”成熟阶段了。如果反病毒厂商真的把用户私有文件收集去了,能保证不拿去卖钱的唯一的方法就是商业自律。期待未来的“云安全”在病毒防御领域的应用真正使互联网安全,用户更安全。