论文部分内容阅读
“云安全”已经从热门词汇转变为大家实际在应用的技术,大家对云安全的认识也逐步加深。很多人简单地认为它只是收集样本方法的改进,也有人将其与“云计算”归为一类,苛求数据在服务器端的运算。“云安全”究竟为何物呢?日久见真招!我们就从瑞星实施一周年的“云安全”出发来深入解析下这个名词。
一个木马的“云安全”之旅
要理解“云安全”,就让我们亲自感受下这个模式,一个恶意程序——小马悄悄在黑客手里诞生,并被植入在一个网站上。一天,一个使用瑞星的人访问了这个网站。
小马感觉到机会来了,就利用系统漏洞,侵入了这个人的电脑。小马已经沉默了好久,这次还不尽情折腾下啊!它盘算着自己的活动:修改注册表以实现自己随机启动、在系统目录下释放个驱动级文件、修改下系统时间等。
但在另一方面,这台计算机上的瑞星卡卡已经看到了小马的进入,但并没有对它作出什么举动,而是将它的信息上传到了瑞星的智能分析服务器。服务器利用虚拟机技术,模拟了一个真实的运行环境,对小马的代码进行解析,很快,服务器看到了外表伪装下的小马的木马身份,并提取出了小马的特征码,服务器把小马的特征码返回给所有的客户端,告诉瑞星安全软件,这是一个木马文件,马上拦截,小马还没行动,就被捕了,而且小马的其他兄弟也在同一时间被瑞星安全软件杀掉,可怜的小马,这次云安全之旅仅有几十秒(见图1)。
技术的成熟 2.0的跨越
随着“云安全”系统的稳定运行,一些创新的想法被加入进来。工程师们首先想到的是:现在的木马病毒,90%以上是通过挂马网站侵入用户电脑的,而这些木马在入侵之前,通常会在浏览器层面做一些特定的动作,如利用浏览器插件调用本机可执行程序,或者非法访问本机资源。瑞星研发团队成功研制了“基于行为特征的浏览器防挂马技术”,只要木马病毒表现出了恶意行为,则该技术会即刻发出警报,阻止用户访问挂马网站。在阻拦挂马网站的同时,还会把恶意网址上传到服务器,服务器进行分析处理后,分享给所有的“云安全”客户端。这就是所谓的“浏览器防挂马技术”,这个技术在2008年12月被加入到瑞星“云安全”系统之中,“云安全”也就升级到了2.0。该技术的运用,使得“云安全”系统的技术水平达到了一个新的高度,每天拦截的挂马网站攻击次数,达到了每天1000万人次的水平。采用该技术之后,木马病毒在企图入侵之时就会被瑞星拦截,所以大大降低了用户“感染木马后再查杀”的风险。
理想与现实碰撞出的模式
在“云安全”建立伊始,曾经有两种技术思路的争论:一种是“搜索引擎云安全”,这种模式认为,既然用户受到的安全威胁来自互联网,基本局限于网页、邮件、互联网文件这三种途径。那就把互联网上的这三种东西都标上安全等级,用网页爬虫去搜索网页,发现恶意代码就标上不安全,如果用户企图访问这个网页,我就返回结果阻止。邮件和文件也这样做,理论上可以阻止网络上的所有攻击。但从目前“云安全”的实际运行来看,这种模式遇到了不可克服的困难。互联网上的资源过于庞大,依靠现有技术条件,任何一家商业公司都无法对互联网上所有文件实时标注安全信息,并存储在数据库里供用户进行安全查询。由此可见,“搜索引擎云安全”没有改变防御系统的模式,只不过是更多地利用了网络技术,并没有发挥互联网共享协作的巨大优势,本质上还是单机防毒的思路。
而瑞星采用的是后一种模式(见图2),建立一个“超级服务器集群”,把所有的互联网用户都连接起来,其中一个受到攻击,则服务器收到其上传的信息之后,把分析结果返回给网络中的所有用户。这样无论出现多少种网络威胁,只要最初遭到攻击的客户端及时上报信息,经过服务器的分析处理,返回结果之后,整个网络可以在最短时间内获取对该攻击的免疫能力。每个客户端既从服务器“索取”防护信息,又“贡献”自己监测到的网络威胁信息。是真正互联网化的杀毒软件。这种模式主要功能放在服务器端,客户端只要连接到服务器,就可以获取最新的功能。因此安装在用户电脑上的杀毒软件体积更小,杀毒能力更强,可以最大限度减少对用户电脑资源的消耗。这也改变了反病毒工程师的工作内容,从手工分析病毒到“人工+机器智能”,处理效率更高。实时分析海量客户端上报的攻击信息,可以让工程师提前预测到互联网的安全变化,从而提前做好相应的防范。
一个木马的“云安全”之旅
要理解“云安全”,就让我们亲自感受下这个模式,一个恶意程序——小马悄悄在黑客手里诞生,并被植入在一个网站上。一天,一个使用瑞星的人访问了这个网站。
小马感觉到机会来了,就利用系统漏洞,侵入了这个人的电脑。小马已经沉默了好久,这次还不尽情折腾下啊!它盘算着自己的活动:修改注册表以实现自己随机启动、在系统目录下释放个驱动级文件、修改下系统时间等。
但在另一方面,这台计算机上的瑞星卡卡已经看到了小马的进入,但并没有对它作出什么举动,而是将它的信息上传到了瑞星的智能分析服务器。服务器利用虚拟机技术,模拟了一个真实的运行环境,对小马的代码进行解析,很快,服务器看到了外表伪装下的小马的木马身份,并提取出了小马的特征码,服务器把小马的特征码返回给所有的客户端,告诉瑞星安全软件,这是一个木马文件,马上拦截,小马还没行动,就被捕了,而且小马的其他兄弟也在同一时间被瑞星安全软件杀掉,可怜的小马,这次云安全之旅仅有几十秒(见图1)。
技术的成熟 2.0的跨越
随着“云安全”系统的稳定运行,一些创新的想法被加入进来。工程师们首先想到的是:现在的木马病毒,90%以上是通过挂马网站侵入用户电脑的,而这些木马在入侵之前,通常会在浏览器层面做一些特定的动作,如利用浏览器插件调用本机可执行程序,或者非法访问本机资源。瑞星研发团队成功研制了“基于行为特征的浏览器防挂马技术”,只要木马病毒表现出了恶意行为,则该技术会即刻发出警报,阻止用户访问挂马网站。在阻拦挂马网站的同时,还会把恶意网址上传到服务器,服务器进行分析处理后,分享给所有的“云安全”客户端。这就是所谓的“浏览器防挂马技术”,这个技术在2008年12月被加入到瑞星“云安全”系统之中,“云安全”也就升级到了2.0。该技术的运用,使得“云安全”系统的技术水平达到了一个新的高度,每天拦截的挂马网站攻击次数,达到了每天1000万人次的水平。采用该技术之后,木马病毒在企图入侵之时就会被瑞星拦截,所以大大降低了用户“感染木马后再查杀”的风险。
理想与现实碰撞出的模式
在“云安全”建立伊始,曾经有两种技术思路的争论:一种是“搜索引擎云安全”,这种模式认为,既然用户受到的安全威胁来自互联网,基本局限于网页、邮件、互联网文件这三种途径。那就把互联网上的这三种东西都标上安全等级,用网页爬虫去搜索网页,发现恶意代码就标上不安全,如果用户企图访问这个网页,我就返回结果阻止。邮件和文件也这样做,理论上可以阻止网络上的所有攻击。但从目前“云安全”的实际运行来看,这种模式遇到了不可克服的困难。互联网上的资源过于庞大,依靠现有技术条件,任何一家商业公司都无法对互联网上所有文件实时标注安全信息,并存储在数据库里供用户进行安全查询。由此可见,“搜索引擎云安全”没有改变防御系统的模式,只不过是更多地利用了网络技术,并没有发挥互联网共享协作的巨大优势,本质上还是单机防毒的思路。
而瑞星采用的是后一种模式(见图2),建立一个“超级服务器集群”,把所有的互联网用户都连接起来,其中一个受到攻击,则服务器收到其上传的信息之后,把分析结果返回给网络中的所有用户。这样无论出现多少种网络威胁,只要最初遭到攻击的客户端及时上报信息,经过服务器的分析处理,返回结果之后,整个网络可以在最短时间内获取对该攻击的免疫能力。每个客户端既从服务器“索取”防护信息,又“贡献”自己监测到的网络威胁信息。是真正互联网化的杀毒软件。这种模式主要功能放在服务器端,客户端只要连接到服务器,就可以获取最新的功能。因此安装在用户电脑上的杀毒软件体积更小,杀毒能力更强,可以最大限度减少对用户电脑资源的消耗。这也改变了反病毒工程师的工作内容,从手工分析病毒到“人工+机器智能”,处理效率更高。实时分析海量客户端上报的攻击信息,可以让工程师提前预测到互联网的安全变化,从而提前做好相应的防范。