钟伟：互联网安全策略和实施——“云安全”

图：瑞星系统架构师钟伟

    钟伟：终于轮到我了，非常迫切的希望和大家进行交流，因为今天我会给大家带来非常有意思的东西。各位嘉宾，尊敬的瑞星客户，大家下午好！为什么说下午好，我会给大家解释。刚才我的同事们的演讲，我们可以发现，病毒的互联网化已经使病毒的更新速度和爆发的速度相比以前有了爆发式的增长，那么病毒的传播范围和危害范围也被无形的扩大了无数倍，那么面对这种新的形式，传统的信息安全策略显然已经不能使用病毒互联网化这样一个新形式的发展，那么我们说任何一个事物，都有自己的发展的周期和生命的周期，如果不能适应新形式的发展的话，那么他的顶点往往也就是衰落的开始。如果我们把传统的信息安全模式比作今天上午8、9点钟的太阳的话，现在已经快11点半的，如果不从现在开始做准备，如果不从现在开始寻找应对的策略的话，我们很有可能会被这个时代所摈弃，所以对于我来说，11点半，可能对于很多人来说还是上午，还是中午，但是对于我来说已经是下午了。如果我们没有超前的意识，没有危机感和紧迫感的话，我们很可能就看不到明天的朝阳了。还好瑞星的钟比其他人快了一点点。

    那么面对新的挑战，瑞星公司是如何应对的呢？这个就是我今天要与大家共同分享的主题。瑞星互联网安全策略实施，也就是瑞星的“云计划”。我们首先看一下，云计划到底是什么呢？自从瑞星提出云计划安全策略以来，很多厂商也陆续的提出了自己对云计划的理解，有人说云计划就是云计算，也有人说云计划就是获得更多病毒样本的方式，实际上我说这两种观点都是不全面或片脱的，瑞星有一句话是怎么理解的？我们认为云计划就是安全的互联网化。那么什么是安全的互联网化？传统的信息安全策略为什么不能应对病毒互联网化的威胁呢？下面我在我的演讲中会逐一的为大家作出解答。

    首先先看一下传统的安全策略有哪些？我们总结了一下传统的安全策略有两点，首先是升级软件升级间隔的方式来加快对用户中病毒后的反映速度。另外一种方式就是发展和完善更多的主机反病毒技术在产品中应用更多的病毒解决方法和防御技术。下面我们就来逐一的对这两种方式的弊病做一个了解。

    首先看第一个，缩短软件升级的间隔以加快对用户中病毒后的反映速度。这个策略的毛病在什么地方呢？大家通过这句话实际上就已经看出来问题的所在了，从这句话的逻辑关系上可以看出，如果病毒的传播速度、更新速度无限放大的话，那么我们应对策略就是要使软件升级的间隔无限的缩小，什么概念呢？我们升级的频率无限的扩大。这显然是非常不合理的关系，那么我们看一下瑞星从2002年到2007年我们升级频率的变化趋势，在02年的时候，每周升级一次，03年3次，04年4次，05年5次，07年每周升级21次，也就是说我每天升级三次病毒库。那么从02年到07年，我们的升级频率增加了20倍。病毒的更新的频率增加多少呢？病毒的数量增加多少呢？我在03年的时候，看新浪网有关一个报告，02年全球爆发的新的病毒数量达到的2万种那么多，但是现在08年我报告大家一个数据，每天新增的病毒样本数就已经达到了2万多。那么也就是说实际上现在的病毒的互联网化使病毒的更新更快了，病毒可以以10分钟为单位更新一次，甚至更快。那我们的杀毒软件可以不可以这样更新呢？也是可以的，完全没有问题，我们也可以10分钟升级一次病毒库，那什么概念呢？就是一个小时要升级6次，一天24小时要升级的144次，从技术上来讲我们没有问题，但是在座的瑞星用户谁能受得了一天升级144次的频率？所以频繁的或者说不断的缩小这种软件收升级的间隔，增加软件升级的频率，显然就是死路一条，已经走到了尽头。

    那么我们再看第二条路是否能够走得通？就是发展完善更多的主机方面的技术，在产品中运用更多的病毒检测方法的技术。谈到这一点，我们先简单的介绍一下现在，目前业界常用的一些反病毒技术，大致的可以分为两类，一类是病毒的检测技术，一类是病毒的防御技术。那么在检测技术里面又分为静态检测识别和动态检测识别技术，在静态数据特征检测是业界普遍应用的比较成熟的技术，这种技术他的识别率非常高，非常好。静态启发式特征检测的话，它的误报率会很高。那么动态检测数据是相对于静态而言的，动态启发式检测就是智能行为判断技术，我们下面有一个主题的演讲，也是我主持的，希望大家参加。谈完了检测技术看一下防御技术，防御技术分为文件监控技术、系统资源的访问控制和沙盘技术。瑞星在反病毒技术领域一直走在前面的，我们看一下瑞星的反病毒的发展，90年代，静态特征检测技术就已经开使用到杀毒软件中了，90年代末，瑞星开始利用了文件监控的防御技术，01年开发了DOW虚拟机下病毒分析的技术，03年Windows的虚拟机下病毒分析技术，07年监控性行为，这是瑞星公司从技术发展的延续，我们单机的防御技术已经发展到了很高的顶点了，为什么我们依然无法去更好的应对病毒网络化这种新的挑战呢？

    我们看一看，除了技术以外，还有哪些环节出了问题？我们看一下传统的安全模式，这张图就是我们现在传统安全模式的流程图，我向大家解释一下，一个用户受到了恶意的威胁，这个客户会通过电子邮件等方式向杀毒软件厂商取得联系，把这种病样本上报过来，我们的杀毒软件厂商获得了这些样本以后，这也是我们的一个工作流程，获得了以后把样本提供给分析处理系统，由分析处理系统提出解决方案，提供给技术服务器，由技术服务器制造出新的版本升级。另外一种方式是比较主动的，我们安排工程师、专家主动的去安全论坛搜集样本，在这些地方主动的发现样本，这就是我们现在绝大多数比较传统的也是比较为主流的安全模式。

    下面我们看一看这种安全模式遇到的问题，首先我们来看，如果我们把它分为两部分的话，这一部分从一开始就是被动的，为什么说它是被动的呢？作为杀毒厂商来说，是客户遭到了恶意威胁以后才提供这种上报我们才接受这种信息，用户受到威胁，形成破坏以后我们才去发现，采取解决，采取走这个流程，所以这个环节从一开始就是被动的。那么我们再看一下冒视主动的方式，我们安排这些工程师去主动的收集样本这是不是就是很主动的方式呢？实际上这种方式也遇到很多问题，比如说第一，现在病毒的爆发量跟原来已经不能同日而语了，我们每天有两万种新病毒的话，需要安排多少人力物力去做病毒样本收集工作？这个工作量是非常巨大的，而我们的资源是有限的，这是第一个问题。第二个问题，整个的病毒量除了被动以外还有一个是盲目的，我不知道用户什么时间以什么方式向我提供什么样的样本？我也不知道这个用户是单机的情况还是周边的用户也有这样的情况？我还不知道这种情况在网络中到底造成了多大的危害？我去收集这些样本也是被动的有什么就收什么，所以说整个的传统的信息安全模式，从一开始，就是被动的，这就是为什么我们传统的模式不能解决病毒互联网化这种新的问题的根本的原因。

    我们现在总结一下传统安全模式的缺点，我们刚才提到了被动的应对互联网出现的新威胁，主要以来用户对威胁的感知能力，这个出发点就是错的，用户对威胁的感知能量是不一样的，厂商监控互联网威胁的模式过于盲目。还有一个我们整个的安全防御思想是基于单机设计的，就是只发展单机的检测和防御技术，我们的互联网化程度也只停留在利用互联网这个渠道升级或者是白名单验证，如果用一句话概括的话，病毒的传播或者病毒的发展已经互联网化，但是我们的信息安全的思路、功能还只停留在单机，我们还没有互联网化，这个就是现代的模式无法应对新形式的关键所在。

    那么病毒的互联网化给我们带来哪些挑战呢？我们用什么样的方式应对这个挑战呢？我们来看互联网的关键问题，第一如何快速感知互联网出现的新的威胁？我们现在的这种安全体系，因为它从一开始就是被动的，所以我们无法去快速的感知，比如说我们的一个客户服务人员接到了客户的电话，我只知道这个客户是怎么样一个情况，我不知道这个客户的情况是不是也在其他客户身上有所体现，如果说达到一定数量的时候才知道这是一个普遍性的问题，这个过程是需要时间的，我刚才提过了，病毒10分钟就可以复制自己，那么在这10分钟里病毒就已经泛滥了。第二个问题如果我们建立了快速的感知系统的话，我们如何去处理和回应海量的信息呢？第三如何改进单机的思想来应对互联网化的病毒呢？我们提出了三个安全策略，简单的介绍一下，我还有一个详细的图，会给大家做一个分析。

    第一要主动监控、挖掘新的互联网威胁。第二通过对威胁的互联网传播渠道进行主动的拦截。第三通过互联网进行主机防御信息共享协作建立互联网的安全防御模式。

    下面我把这三个策略以图的方式给大家详细的介绍一下。

    这张图看似很复杂，实际上也不简单，我们看当一个恶意威胁在互联网的某个角落发生了，那么它可能会通过下载网站门户网站等等各种渠道技术传播，那么这个时候，我们“云安全”的客户端就感知并截获了，这里面我向大家介绍一下什么是“云安全”客户端？“云安全”客户端区别于我们以往理解的单机的客户端，它不是一个人在战斗，它是一个我们对传统的客户端进行互联网化改造的客户端。我们看一下“云安全”客户端的功能，它是感知捕获抵御互联网的一个集成，除了具有单机客户端的技术，比如说静态特征检测，静态启发式检测以外还有基于互联网协作的行为特征检测，和基于互联网协作的资源防护功能，因此它就可以在感知到威胁的同时，迅速的把威胁传递给我们的威胁信息数据中心。那么威胁信息数据中心是什么概念呢？它是收集威胁信息并提供给客户端协作信息的这样一个机构，我们可以看到，它实际上具有两个功能，第一个功能就是收集威胁信息，第二个功能是客户端的协作信息的查询和反馈，这两个功能待会会像大家详细的做介绍。先看第一个功能，收集的功能，我们从“云安全”的客户端收集上来，截获的恶意威胁的信息，及时传递给数据中心，传递功能传递给来源挖掘和挖掘服务集群，来源挖掘和挖掘服务集群会根据这些数据来挖掘我们的恶意威胁的来源。什么意思？不仅要知道这个病毒造成了什么破坏还要知道它从哪来的，我们通过协作分析找到了源头，那么既然找到了源头下一步做的工作就是对源头进行控制，如果不能控制的话，至少可以对源头进行检测。那么我们把这些收集所有信息集中到自动分析处理系统，自动分析处理系统会形成一个解决方案，传递给服务器，服务器会传回给我们的客户端，或者是形成一个互联网的基础服务，传递给我们的合作伙伴，形成一个互联网技术服务的话，如果能形成互联网技术服务的话，那么整个网络都会享受到我们的安全解决方案。

    由于我们知道了来源，对来源实施了事实监控，那么一旦来源的病毒有了变种，或者有了变化的时候，我们就会及时的收集到这个信息，通过这个流程反馈给我们的“云安全”的客户端，这样的话，它在传播的过程中，或者还没有传播就是把通路已经阻断了，这就是我们能够应对新的互联网化病毒的传播的主要策略。

    那么刚才我说到，威胁信息处理中心，实际上有两个功能，一个是传递的功能，另外一个是协作信息查询的功能。我举一个例子，比如说我的某一个计算机或者某一个“云安全”的客户端反映说我中了一个病毒，体现为我头疼，另外一个客户端也反映说中了一个病毒，反映为脖子疼，第三个反映我除了头和脖子其他地方都疼，我们会把所有的特征集合在一起，然后进行处理，然后反馈给“云安全”客户端一个整体的解决方案，这就是信息反馈和查询，这样的话我们不会头疼治头，脚疼治脚。

    我们为什么说“云安全”网这种架构能够迅速的对互联网化的威胁作出反映呢？我们来比较一下，传统的模式和我们安全模式相比，我们到底优势在于什么地方？同样的再给大家举一个例子，比如说某天的上午，客户中心接到一个电话，说我们家小孩肾结石，客户中心说以前遇到过，注意点水源吧。那么过了三分钟又接到一个电话，我们家小孩肾结石。又过了两分钟、三分钟反映我们家小孩肾结石，那就想了，肾结石今年可能比往年多吧还没有引起重视，等到肾结石的电话接到100个的时候，这时候电话量要比平常电话量多100倍的时候，我们就会引起注意，这是不是一个普遍的现象？然后再收集这些电话的资源，走流程，这是传统的模式。我们看一下“云安全”这种新的策略是如何应对的？如果同时有100个人患了肾结石这个毛病，原来是这100个客户分别给数据中心联系，或者给信息安全中心联系，现在这100个用户可以同时的，因为他是“云安全”的客户端，他已经不是一个人在战斗了，也不是单机了就可以及时的把信息提供给威胁处理器，威胁信息数据中心可以同时接听100个电话，在很短的时间里就可以把信息收集起来，我们不可能有100个耳朵，人再怎么做也不可能有计算机收集信息来的快、全面。那么我们收到威胁信息以后，我们在威胁信息处理中心，找到这些来源，这些小孩都是什么年龄段的，得肾结石之前吃了什么东西？找了半天都是喝奶粉的，这是一个特征。喝奶粉？奶粉能导致肾结石吗？不是，我们进一步的挖掘，是三聚氰氨会导致肾结石，我们通过挖掘系统，通过数据分析找到来源，这些肾结石的客户大多来自石家庄，河北，都喝了什么品牌的奶粉，这时候就可以定位到石家庄某品牌，这时候除了进行解决方案之前，就可以对石家庄某品牌进行监控。这时候知道了导致肾结石这个毛病的最终的一个因素就是三聚氰氨，那么我们这个服务器会把这个信息传递给我们的“云安全”合作合办，形成互联网基础服务，由它再去向所有的互联网用户传播。下一次我们在打网页的时候，或者做某件事情的时候，会跳出一个信息，不要喝三聚氰氨奶粉，会导致肾结石，这样的话我们就作出一个整体的部署和调整。危机挖掘系统一直在检测石家庄某品牌奶粉，那么这个品牌再出另外一种奶粉的时候，我们马上对它进行检测，新一批的奶粉就不会对用户造成安全。

    我们总结一下，“云安全”有这么几个特点，第一快速感知，捕获新的威胁。我刚才说了，人类再怎么进化不可能同时接听100个电话，但是我们的“云安全”的客户数据中心可以做到，通过我们的数据中心通过互联网，我们的效率大大的提高。第二“云安全”的客户端具有专业的感知能力，互联网威胁的源头监控，就是我们的威胁挖掘集群会及时的检测。