| 摘要:在上一章中我们详细讲解了云安全的定义、思想来源及思想难点,这章我们重点讲下云安全厂商的实例。 |
瑞星“云安全”计划白皮书
“云安全”(Cloud Security)计划:将用户和瑞星技术平台通过互联网紧密相连,组成一个庞大的木马/恶意软件监测、查杀网络,每个“瑞星卡卡6.0”用户都为“云安全”(Cloud Security)计划贡献一份力量,同时分享其他所有用户的安全成果。
“瑞星卡卡6.0”的“自动在线诊断”模块,是“云安全”(Cloud Security)计划的核心之一,每当用户启动电脑,该模块都会自动检测并提取电脑中的可疑木马样本,并上传到瑞星“木马/恶意软件自动分析系统”(Rs Automated Malware Analyzer,简称RsAMA),整个过程只需要几秒钟。随后RsAMA将把分析结果反馈给用户,查杀木马病毒,并通过“瑞星安全资料库”(Rising Security Database,简称RsSD),分享给其他所有“瑞星卡卡6.0”用户。
由于此过程全部通过互联网并经程序自动控制,可以在最大程度上提高用户对木马和病毒的防范能力。理想状态下,从一个盗号木马从攻击某台电脑,到整个“云安全”(Cloud Security)网络对其拥有免疫、查杀能力,仅需几秒的时间。
“云安全”(Cloud Security)计划:瑞星如何每天处理10万个新木马病毒
瑞星如何分析、处理每天收到的8-10万个新木马病毒样本的呢?光凭人力肯定是无法解决这个问题,“云安全”(Cloud Security)计划的核心是瑞星“木马/恶意软件自动分析系统”(Rs Automated Malware Analyzer,简称RsAMA),该系统能够对大量病毒样本进行动分类与共性特征分析。借助该系统,能让病毒分析工程师的处理效率成倍提高。
虽然每天收集到的木马病毒样本有8~10万个,但是瑞星的自动分析系统能够根据木马病毒的变种群自动进行分类,并利用“变种病毒家族特征提取技术”分别将每个变种群的特征进行提取。这样,对数万个新木马病毒进行自动分析处理后,真正需要真正人工分析的新木马病毒样本只有数百个。
江民打造“云安全”+“沙盒”
以云方式构建的大规模特征库并不足以应对安全威胁的迅速增长,国内外杀毒厂商还需要在核心杀毒技术上下足功夫,例如虚拟机、启发式、沙盒、智能主动防御等未知病毒防范技术都需要加强和发展,多数杀毒软件本身的自我保护能力也需要加强。病毒增长的再快,只是量的变化,而现实当中,造成巨大损失的,却往往是极少数应用了新病毒技术的恶性病毒,。
“云安全”必然要建立在“内核级自我保护”“沙盒”“虚拟机”等核心技术的基础上才能显出威力,没有这些核心技术,杀毒软件在病毒面前就可能会出现“有心无力”的尴尬,现实中许多杀毒软件扫描发现了病毒,却无力清除,甚至反被病毒关闭的现象比比皆是。这也是为什么江民在推出KV2009时,首先强调的是“沙盒”“内核级自我保护”“智能主动防御”“虚拟机”等核心技术,而把“云安全”防毒系统排在后面的原因。杀毒和其它行业一样,首先是基础要足够强大,基础不扎实,楼建的再高也不牢靠。
“沙盒”是一种更深层的系统内核级技术,与“虚拟机”无论在技术原理还是在表现形式上都不尽相同,“沙盒”会接管病毒调用接口或函数的行为,并会在确认为病毒行为后实行回滚机制,让系统复原,而“虚拟机”并不具备回滚复原机制,在激发病毒后,虚拟机会根据病毒的行为特征判断为是某一类病毒,并调用引擎对该病毒进行清除,两者之间有着本质的区别。事实上,在对付新病毒入侵时,应用了“沙盒”的KV2009已经开始发挥了强大的效力。有用户在关闭江民KV2009杀毒软件各种实时监控,仅开启了“带沙盒技术的主动防御”模式,结果运行“扫荡波”新病毒后,病毒的所有行为被拦截并抹除,没有机会在系统中留下任何痕迹。
目前反病毒面临的最主要问题是驱动型病毒对杀毒软件的技术挑战。因此,目前反病毒的首要任务是进一步提升反病毒核心技术,在确保反病毒技术的前提下,充分借助“云安全”防毒系统的快迅响应机制,打造“云安全”加“沙盒”的双重安全保障体系。
责任编辑:Alice
评论表单加载中...
