“云安全”在病毒防御領(lǐng)域的應(yīng)用探究

1 引言

    在“平均每秒就有一個新的安全威脅產(chǎn)生，每5分鐘就會發(fā)生一起網(wǎng)絡(luò)入侵行為”今天，每個用戶都在用這樣或那樣的防毒殺毒軟件保護(hù)自己網(wǎng)絡(luò)、網(wǎng)站、個人電腦等不受病毒攻擊。無論采用哪種防毒殺毒軟件，都會發(fā)現(xiàn)有“云安全”計劃、“云安全”網(wǎng)址、“云安全”服務(wù)等。對于大多數(shù)普通用戶很多時候都是不加思考地加入其中，對“云安全”知之甚少。

 2 “云安全”概念

    “云安全” (Cloud Security)不是一種產(chǎn)品，也不是一種解決方案，它是一個理念，是一種基于云計算的互聯(lián)網(wǎng)安全防御理念，是和所有互聯(lián)網(wǎng)使用者一起與Web威脅做斗爭。具體地說它融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術(shù)和概念，通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，傳送到Server端進(jìn)行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。基于云安全的客戶端即是病毒的檢測者，也是受益者。

    傳統(tǒng)殺毒軟件將病毒庫放在用戶電腦上，在掃描病毒過程中會反復(fù)與本地病毒庫進(jìn)行比對，占用大量系統(tǒng)資源，使電腦速度越來越慢。并且隨著病毒的不斷升級，病毒庫的容量也會越來越大，如圖1所示。而基于“云安全”的病毒防御可以簡單地理解為整個互聯(lián)網(wǎng)就是一個巨大的殺毒軟件，風(fēng)險數(shù)據(jù)庫放在云端服務(wù)器中，當(dāng)進(jìn)行病毒查殺時，與云端數(shù)據(jù)庫進(jìn)行分析比對，節(jié)省很多系統(tǒng)時間，如圖2所示。

圖1 傳統(tǒng)的防病毒系統(tǒng)示意圖

圖2 “云安全”架構(gòu)下的防病毒系統(tǒng)示意圖

3 “云安全”的核心技術(shù)

    3．1 Web信譽(yù)服務(wù)

    借助全信譽(yù)數(shù)據(jù)庫，“云安全”可以按照惡意軟件行為分析中所發(fā)現(xiàn)的網(wǎng)站頁面、可疑活動跡象等因素確定信譽(yù)分?jǐn)?shù)，追蹤網(wǎng)頁的可信度。為了降低誤報率，提高準(zhǔn)確性，安全廠商還為網(wǎng)站的特定頁面或鏈接指定了信譽(yù)分值，通過信譽(yù)分值比對，就能知道其風(fēng)險級別。當(dāng)用戶訪問風(fēng)險網(wǎng)站時，就可以獲得系統(tǒng)提醒或阻止，進(jìn)而幫助用戶快速確認(rèn)目標(biāo)網(wǎng)站的安全性。通過web信譽(yù)服務(wù)，可以防范惡意程序源頭。

    3．2郵件信謄服務(wù)

    郵件信譽(yù)服務(wù)按垃圾郵件來源的信譽(yù)數(shù)據(jù)庫檢查m地址，同時利用動態(tài)服務(wù)對IP進(jìn)行驗證。信譽(yù)評分通過對口地址的“行為”、“活動范圍”及以前的歷史進(jìn)行不斷地分析、細(xì)化。對惡意電子郵件，按發(fā)送者的口地址在云中即被攔截，從而防止僵尸或僵尸網(wǎng)絡(luò)等Web威脅到達(dá)網(wǎng)絡(luò)或客戶端。

    3．3文件信譽(yù)服務(wù)

    文件信譽(yù)服務(wù)技術(shù)可以根據(jù)已知的良性文件清單和惡性文件清單，檢查位于端點、服務(wù)器或網(wǎng)關(guān)處的每個文件的信譽(yù)。由于惡意信息被保存在云中，與下載特征碼文件占用端點空間的傳統(tǒng)防病毒相比，降低了端點內(nèi)存和系統(tǒng)消耗。

    3．4行為關(guān)聯(lián)分析技術(shù)

    Web威脅的單一活動沒有什么害處，但是如果同時進(jìn)行多項活動，就可能導(dǎo)致惡意結(jié)果。通過行為分析的“相關(guān)性技術(shù)”可以把威脅活動綜合聯(lián)系起來并不斷更新其威脅數(shù)據(jù)庫，確定其是否屬于惡意行為，實時做出響應(yīng)，對電子郵件和Web威脅提供及時、自動的保護(hù)。

    3．5自動反饋機(jī)制

    自動反饋機(jī)制是以雙向更新流方式在威脅研究中心和技術(shù)人員之間實現(xiàn)不問斷通信。通過檢查單個客戶的路由信譽(yù)來確定各種新型威脅，實現(xiàn)實時探測和及時的“共同智能”保護(hù)，確立全面的最新威脅指數(shù)。單個客戶常規(guī)信譽(yù)檢查發(fā)現(xiàn)的每種新威脅都會自動更新各地的威脅數(shù)據(jù)庫，防止以后的客戶遇到已經(jīng)發(fā)現(xiàn)的威脅。

    3．6威脅信息匯總

    安全公司綜合運用各種技術(shù)和數(shù)據(jù)收集方式——包括網(wǎng)絡(luò)爬行器、“蜜罐”、客戶和合作伙伴內(nèi)容提交、反饋回路以及TrendLabs威脅研究獲得最新威脅情報。通過惡意軟件數(shù)據(jù)庫、服務(wù)、TrendLabs研究和支持中心對威脅數(shù)據(jù)進(jìn)行分析。為了探測、預(yù)防并清除攻擊，進(jìn)行7x24小時的全天候威脅監(jiān)控和攻擊防御。

    3．7白名單技術(shù)

    白名單技術(shù)是將證明是安全文件樣本放在白名單數(shù)據(jù)庫中，與將病毒特征碼技術(shù)即黑名單技術(shù)實質(zhì)相同，區(qū)別僅在于規(guī)模不同。無論如何安全文件一定會遠(yuǎn)遠(yuǎn)超過危險文件。白名單技術(shù)作為一種核心技術(shù)，主要被用于降低誤報率。因為黑名單中也許會存在著實際上并無惡意的特征碼。

4 “云安全”解決方案

    “云安全”的策略構(gòu)想是：整個互聯(lián)網(wǎng)就是一個巨大的“殺毒軟件”，參與者越多，每個參與者就越安全，整個互聯(lián)網(wǎng)就會更安全。因為如此龐大的用戶群，足以覆蓋互聯(lián)網(wǎng)的每個角落，只要某個網(wǎng)站被掛馬或某個新木馬病毒出現(xiàn)，就會立刻被截獲。

    4．1瑞星云安全

    瑞星“云安全”系統(tǒng)包括3部分：超過一億的客戶端、云安全服務(wù)器、數(shù)百家瑞星合作伙伴。

    當(dāng)用戶安裝了瑞星防殺病毒相關(guān)軟件后就成了瑞星“云安全”的客戶端。瑞星的“云安全探針”能夠感知客戶端電腦上的安全信息，如木馬文件開始運行、木馬對系統(tǒng)注冊表關(guān)鍵位置的修改、用戶訪問的網(wǎng)頁帶毒等。“探針”會把這些信息上傳到“云安全”服務(wù)器并進(jìn)行深入分析。分析后，把結(jié)果加入“云安全”系統(tǒng)，使“云安全”的所有客戶端能夠立刻防御這些威脅。不同的威脅處理方式不同。對于新病毒， “云安全”服務(wù)器會將病毒的特征碼送回中毒客戶端，使用戶能夠及時查殺該病毒。如果是“帶毒網(wǎng)頁”，則“云安全”系統(tǒng)會將網(wǎng)址發(fā)送給所有的合作伙伴，使搜索引擎、下載軟件等公司在第一時間屏蔽這些網(wǎng)站，在最短時間內(nèi)保證用戶的安全。

    瑞星“云安全”系統(tǒng)4大特色：第一，海量的客戶端(云安全探針)；第二，專業(yè)的反病毒技術(shù)和經(jīng)驗；第三，投入億元重金，國內(nèi)最大專業(yè)團(tuán)隊打造；第四，迅雷、久游等數(shù)百家重量級合作伙伴鼎力支持。

    4．2 360云安全

    360云安全系統(tǒng)，針對傳統(tǒng)的靠病毒特征庫進(jìn)行殺毒、病毒特征庫里邊是病毒特征碼，提取病毒特征碼需要先獲取病毒的樣本，用半人工半自動的方式提取特征碼等問題，進(jìn)行了兩大創(chuàng)新。第一，取消了本地特征碼的掃描技術(shù)，也就是說在360的安全軟件里沒有特征碼，這大大提高了電腦的運行速度。第二，獨創(chuàng)了一種新型查殺技術(shù)，在360的云端利用云計算的技術(shù)，收集將近10億個黑、白和一些未知程序，當(dāng)360產(chǎn)品在掃描你電腦的時候，它會連接到云端，然后比對在你的電腦里掃描出的文件是好文件還是壞文件。第一時問阻止木馬危害你的電腦。”

    在解決木馬的問題上，360云安全系統(tǒng)有3個核心技術(shù)的突破：第一，建立了全球最大的白名單系統(tǒng)。第二，獨創(chuàng)了人工智能識別引擎，通過人工智能的方法識別文件的好壞。第三，在國內(nèi)建立了最大的惡意網(wǎng)址自動檢測系統(tǒng)，在國內(nèi)任何一個網(wǎng)站上的任何一個頁面只要有人點擊，360公司的云技術(shù)就能夠知道這個頁面是安全的還是危險的。

5 “云安全”存在的問題

    盡管各大反病毒軟件都在使用“云安全”計劃，但“云安全”技術(shù)仍處在發(fā)展階段，必然存在這樣或那樣的問題。但最重要的一個問題是用戶的隱私安全能否得到保證。“云安全探針”在用戶電腦上“探測”了哪些文件，在往服務(wù)器上傳時，都上傳了什么文件，是惡意文件還是正常文件，無從知曉。如果是正常的且用戶私有文件，反病毒廠商采取了哪些后繼處理動作?尤其是軍事機(jī)構(gòu)、金融服務(wù)等行業(yè)，是決不允許數(shù)據(jù)被云基礎(chǔ)方案截獲或者更改的。因此，基于“云安全”的病毒防御方案若被用戶接受，一定要能保證用戶隱私安全。做到這一點，反病毒程序應(yīng)從以下幾方面人手：

    第一，做出上傳動作之前，要征得用戶同意，就像微軟“軟件更新”提供的選項一樣，同意后才能上傳，不能偷偷摸摸就上傳了。用戶也可以要求自己自行上傳。

    第二，對于上傳文件的路徑、類型、大小、創(chuàng)建時間等屬性條件，應(yīng)由用戶設(shè)定。反病毒廠商不能想搜集什么就搜集什么。用戶的銀行證書、私密文件、私密路徑下文件等信息文件不要搜集。

    第三、上傳用戶文件后，必須留下完整上傳記錄日志文件，并向用戶提供日志檢查功能，讓用戶對防病毒軟件做了什么，上傳的文件如何處理等一清二楚，讓用戶放心，才能獲得用戶的信任。

6 結(jié)語

    “云安全”技術(shù)在病毒防御領(lǐng)域的應(yīng)用，使整個互聯(lián)網(wǎng)成為一個巨大的“殺毒軟件”，參與者越多，網(wǎng)絡(luò)越安全。網(wǎng)絡(luò)越安全，終端用戶在病毒和黑客攻擊面前越安全。但在“云安全”的云端面前，用戶的隱私毫無遮掩。盡管各反毒廠商一再發(fā)出用戶隱私保護(hù)聲明， “在統(tǒng)計時，不涉及您的個人信息或數(shù)據(jù)”。但“云安全探針”真的能探測到哪些是個人信息或數(shù)據(jù)，哪些是威脅信息，只上傳含有威脅信息的文件?如果真的到了這種程度，現(xiàn)在的“云安全發(fā)展階段”就該稱“云安全”成熟階段了。如果反病毒廠商真的把用戶私有文件收集去了，能保證不拿去賣錢的唯一的方法就是商業(yè)自律。期待未來的“云安全”在病毒防御領(lǐng)域的應(yīng)用真正使互聯(lián)網(wǎng)安全，用戶更安全。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/

本文標(biāo)題：“云安全”在病毒防御領(lǐng)域的應(yīng)用探究

本文網(wǎng)址：http://m.hanmeixuan.com/html/consultation/1083959436.html