序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,在这样的情况下,采用的特征库判别法显然已经过时。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。
历史
最早提出“云安全”这一概念的是趋势科技,2008年5月,趋势科技在美国正式推出了“云安全”技术。“云安全”的概念在早期曾经引起过不小争议,现在已经被普遍接受。值得一提的是,中国网络安全企业在“云安全”的技术应用上走到了世界前列。[3]
技术原理
“云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
[0099]未来杀毒软件将无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,在这样的情况下,采用的特征库判别法显然已经过时。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。
[0100]发展趋势云安全架构
未来杀毒软件将无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,在这样的情况下,采用的特征库判别法显然已经过时。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。
[0101]云安全的概念提出后,曾引起了广泛的争议,许多人认为它是伪命题。但事实胜于雄辩,云安全的发展像一阵风[I],瑞星、趋势、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全卫士等都推出了云安全解决方案。我国安全企业金山,360,瑞星等都拥有相关的技术并投入使用。金山的云技术使得自己的产品资源占用得到极大的减少,在很多老机器上也能流畅运行。趋势科技云安全已经在全球建立了 5大数据中心,几万部在线服务器。据悉,云安全可以支持平均每天55亿条点击查询,每天收集分析2.5亿个样本,资料库第一次命中率就可以达到99%。借助云安全,趋势科技现在每天阻断的病毒感染最闻达1000万次。
[0102]思想来源云安全示意
云安全技术是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果。
[0103]云安全的过程值得一提的是,云安全的核心思想,与刘鹏早在2003年就提出的反垃圾邮件网格非常接近。刘鹏当时认为,垃圾邮件泛滥而无法用技术手段很好地自动过滤,是因为所依赖的人工智能方法不是成熟技术。垃圾邮件的最大的特征是:它会将相同的内容发送给数以百万计的接收者。
[0104]为此,可以建立一个分布式统计和学习平台,以大规模用户的协同计算来过滤垃圾邮件:
首先,用户安装客户端,为收到的每一封邮件计算出一个唯一的“指纹”,通过比对“指纹”可以统计相似邮件的副本数,当副本数达到一定数量,就可以判定邮件是垃圾邮件;其次,由于互联网上多台计算机比一台计算机掌握的信息更多,因而可以采用分布式贝叶斯学习算法,在成百上千的客户端机器上实现协同学习过程,收集、分析并共享最新的信息。
[0105]反垃圾邮件网格体现了真正的网格思想,每个加入系统的用户既是服务的对象,也是完成分布式统计功能的一个信息节点,随着系统规模的不断扩大,系统过滤垃圾邮件的准确性也会随之提高。用大规模统计方法来过滤垃圾邮件的做法比用人工智能的方法更成熟,不容易出现误判假阳性的情况,实用性很强。反垃圾邮件网格就是利用分布互联网里的千百万台主机的协同工作,来构建一道拦截垃圾邮件的“天网”。
[0106]反垃圾邮件网格思想提出后,被IEEE Cluster 2003国际会议选为杰出网格项目在香港作了现场演示,在2004年网格计算国际研讨会上作了专题报告和现场演示,引起较为广泛的关注,受到了中国最大邮件服务提供商网易公司创办人丁磊等的重视。既然垃圾邮件可以如此处理,病毒、木马等亦然,这与云安全的思想就相去不远了。
[0107]策略构想云安全时代会议
云安全的策略构想是使用者越多,每个使用者就越安全,因为如此庞大的用户群,足以覆盖互联网的每个角落,只要某个网站被挂马或某个新木马病毒出现,就会立刻被截获。
[0108]主要内容瑞星云安全计划杀毒软件
瑞星“云安全”计划的内容是,将用户和瑞星技术平台通过互联网紧密相连,组成一个庞大的木马/恶意软件监测、查杀网络,每个“瑞星卡卡6.0”用户都为“云安全”计划贡献一份力量,同时分享其他所有用户的安全成果。
[0109]“瑞星卡卡6.0”的“自动在线诊断”模块,是“云安全”计划的核心之一,每当用户启动电脑,该模块都会自动检测并提取电脑中的可疑木马样本,并上传到瑞星“木马/恶意软件自动分析系统”,整个过程只需要几秒钟。随后RsAMA将把分析结果反馈给用户,查杀木马病毒,并通过瑞星安全资料库,分享给其他所有“瑞星卡卡6.0”用户。
[0110]瑞星卡卡6.0本身只是一个数兆大小的安全工具,但是它的背后是国内最大的信息安全专业团队,是瑞星“木马/恶意软件自动分析系统”(RsAMA)和“瑞星安全资料库”(RsSD),同时共享着数千万其他瑞星卡卡6.0用户的可疑文件监测成果。
[0111]名称设计云安全讲座
“云安全”这个名字是马刚起的,本打算叫“安全云”,被大家鄙视,以为土气。其实这个概念早就有了,只不过瑞星动的比较快。“云计算”之前,有个很热的概念叫做“网格计算”,就是把大家的计算机联合起来,贡献出一些空闲的计算能力,供大家随时取用。google是“网格计算”最早的利用者之一,他的服务器都是用廉价的PC机联合起来,用来取代昂贵的服务器,以提供大容量搜索要求的计算能力。其中的技术难点,就在于并行计算、服务器通讯这些技术。
[0112]由瑞星服务器、数千万卡卡用户就可以组成虚拟的网络,简称为“云”。病毒针对“云”的攻击,都会被服务器截获、记录并反击。被病毒感染的节点可以在最短时间内,获取服务器的解决措施,查杀病毒恢复正常。这样的“云”,理论上的安全程度是可以无限改善的。“云”最强大的地方,就是抛开了单纯的“客户端”防护的概念。传统客户端被感染,杀毒完毕之后就完了,没有进一步的信息跟踪和分享。而“云”的所有节点,是与服务器共享信息的。你中毒了,服务器就会记录,在帮助你处理的同时,也把信息分享给其它用户,他们就不会被重复感染。于是这个“云”笼罩下的用户越多,“云”记录和分享的安全信息也就越多,整体的用户也就越强大。这才是网络的真谪,也是所谓“云安全”的精华之所在。
[0113]难点问题云安全示意
要想建立“云安全”系统,并使之正常运行,需要解决四大问题:第一,需要海量的客户端(云安全探针);第二,需要专业的反病毒技术和经验;第三,需要大量的资金和技术投入;第四,必须是开放的系统,而且需要大量合作伙伴的加入。
[0114]第一、需要海量的客户端(云安全探针)。只有拥有海量的客户端,才能对互联网上出现的病毒、木马、挂马网站有最灵敏的感知能力。目如瑞星有超过一亿的自有客户端,如果加上迅雷、久游等合作伙伴的客户端,则能够完全覆盖国内的所有网民,无论哪个网民中毒、访问挂马网页,都能在第一时间做出反应。
[0115]第二、需要专业的反病毒技术和经验。瑞星拥有将近20年的反病毒技术积累,有数百名工程师组成的研发队伍,近年来连续获得国际级技术认证,技术实力稳居世界前列。这些都使瑞星“云安全”系统的技术水平国内首创,国际领先。大量专利技术、虚拟机、智能主动防御、大规模并行运算等技术的综合运用,使得瑞星的“云安全”系统能够及时处理海量的上报信息,将处理结果共享给“云安全”系统的每个成员。
[0116]第三、需要大量的资金和技术投入。目前瑞星“云安全”系统单单在服务器、带宽等硬件上的投入已经超过I亿元,而相应的顶尖技术团队、未来数年持续的研究花费将数倍于硬件投资,这样的投入规模是非专业厂商无法做到的。
[0117]第四、必须是开放的系统,而且需要大量合作伙伴的加入。瑞星“云安全”是个开放性的系统,其“探针”与所有软件完全兼容,即使用户使用其他杀毒软件,也可以安装瑞星卡卡助手等带有“探针”功能的软件,享受“云安全”系统带来的成果。而久游、迅雷等数百家重量级厂商的加入,也大大加强了“云安全”系统的覆盖能力。
[0118]新增功能木马下载拦截
基于业界领先的反木马技术,拦截中毒电脑通过网络下载更多的病毒和盗号木马,截断木马进入用户电脑的通道,有效遏制“木马群”等恶性木马病毒的泛滥。
[0119]木马判断拦截
基于强大的“智能主动防御”技术,当木马和可疑程序启动、加载时,立刻对其行为进行拦截,阻断其盗号等破坏行为,在木马病毒运行时发现并清除,保护QQ、网游和网银的账号安全。
[0120]自动在线诊断
瑞星“云安全”(CloudSecurity)计划的核心功能。自动检测并提取电脑中的纽曼携手瑞星
可疑木马样本,并上传到瑞星“木马/恶意软件自动分析系统”(RsAutomatedMalwareAnalyzer,简称RsAMA),随后RsAMA将把分析结果反馈给用户,查杀木马病毒,并通过“瑞星安全资料库”(RisingSecurityDatabase,简称RsSD),分享给其他所有“瑞星卡卡6.0”用户。
[0121]增强功能漏洞扫描
应用全新开发的漏洞扫描引擎,智能检测Windows系统漏洞、第三方应用软件漏洞和相关安全设置,并帮助用户修复。用户也可以根据设置,实现上述漏洞的自动修复,简化了用户的操作,同时更加及时的帮助用户在第一时间弥补安全隐患。
[0122]强力修复
对于被病毒破坏的系统设置,如IE浏览器主页被改、经常跳转到广告网站等现象,卡卡助手会修复注册表、系统设置和host文件,使电脑恢复正常。
[0123]进启管理
帮助用户有效管理电脑中的驱动、开机自启动软件、浏览器插件等,可有效提高用户电脑的运行效率。
[0124]高级工具集
针对熟练电脑用户,卡卡上网安全助手6.0提供了全面的实用功能:垃圾文件清理、系统启动项管理、服务管理、联网程序管理、LSP修复、文件粉碎和专杀工具。
[0125]七大监控
卡卡上网安全助手6.0,具有自动在线诊断、U盘病毒免疫、自动修复系统漏洞、木马行为判断与拦截、不良网站防护、IE防漏墙和木马下载拦截7大监控体系。全面开启保护用户电脑安全。
[0126]安全示例 ESET N0D32
来自于斯洛伐克的ESET N0D32早在2006年,就在其高级启发式引擎中采用了该项技术,称之为ThreatSense预警系统,并申请了专利。用户计算机作为ESET云中的一个节点,ESET可以通过ThreatSense预警系统了解用户安装使用软件的情况。当杀毒引擎发现某个软件非常可疑,但又不足以认定它是病毒时,ThreatSense就会收集软件的相关信息,并与中心服务器交换资料,中心服务器通过所有收集到的资料便能够迅速准确的作出反馈。
[0127]金山毒霸
金山毒霸“云安全”是为了解决木马商业化之后的互联网严峻的安全形势应运而生的一种全网防御的安全体系结构。它包括智能化客户端、集群式服务端和开放的平台三个层次。“云安全”是现有反病毒技术基础上的强化与补充,最终目的是为了让互联网时代的用户都能得到更快、更全面的安全保护。
[0128]首先稳定高效的智能客户端,它可以是独立的安全产品,也可以作为与其他产品集成的安全组件,比如金山毒霸2012和百度安全中心等,它为整个云安全体系提供了样本收集与威胁处理的基础功能;金山在2010年推出的金山毒霸2011,一改之前臃肿的软件体积,大大减少了资源占用,使用户体验得到飞跃。
[0129]其次服务端的支持,它是包括分布式的海量数据存储中心、专业的安全分析服务以及安全趋势的智能分析挖掘技术,同时它和客户端协作,为用户提供云安全服务;
最后,云安全以一个开放性的安全服务平台作为基础,它为第三方安全合作伙伴提供了与病毒对抗的平台支持。金山毒霸云安全既为第三方安全合作伙伴用户提供安全服务,又靠和第三方安全合作伙伴合作来建立全网防御体系。使得每个用户都参与到全网防御体系中来,遇到病毒也将不再是孤