“云”之进化史 浅析熊猫的云安全

　　“云安全”出现之后，迅速发展，到现在已经成为了安全产业界最炙手可热的话题。近日，我们采访到了首家提出“云安全”概念的安全产商熊猫安全(Panda Security)的CEO：胡安-桑塔纳。安全软件产业中“云”是什么，它有什么用，它如何慢慢改进的，在这里，我们就和大家一起，分享“云”的进化史。

　　为什么我们需要“云”

　　要回答这个问题，我们首先要了解“云安全”所要对付的对象——病毒、木马等等的恶意程序。

　　熊猫安全向我们提供了一份资料，显示，在2006年，全球的恶意软件数量大约为30万，如果你觉得这个数字已经非常可怕，那请一定继续阅读下去，你会发现它实在不值一提，因为进入到2009年，确切的说，是2009年的上半年，恶意软件的数量就已经突破290万。290万这是什么样的概念?我们不妨来做一个简单的计算：一年365天*一天24小时*一小时60分钟=525600分钟。粗略的说，也就是我们一个自然年中，有将近53万分钟，而在这53万分钟里，我们的互联网上就出现了可能超过500万种的恶意程序。

　　恶意软件数量以分钟为单位迅速膨胀，更加不幸的是，这种膨胀背后除了量变，还有质变。现在的恶意软件更多是为它们背后的网络罪犯们服务，根据权威机构统计，目前全球的恶意软件中，有59.53%为木马，而在中国，这一比例甚至可高达70%。罪犯们的目的不在于破坏，更多在于窃取资料，甚至出现了为了窃取资料竟然带有一定系统优化功能的木马，以让用户的电脑运行的更流畅，黑客更快捷的得到用户的私密信息。

　　小白黑客说，我要木马，于是他有了木马

　　小白用户说，我要安全，于是他变肉鸡了

　　上面的两句话似乎是悖论，却又如此真实。

　　如果我们深入一点问，问什么会出现这么多的罪犯，这么多的恶意程序，那除了社会学、心理学上的成因之外，从技术上而言，我们更应该关注“全民黑客时代”的来临。

　　就在我撰写这篇文章的时候，灰鸽子2.03发布了。灰鸽子正可以说是全民黑客时代的一个缩影。软件的使用极其简单，不需要用户有任何的计算机和网络安全基础，就可以熟练的操作，生产出用户自定义的用于窃取信息的木马。大量的类似软件的出现，培养出了大量的小白黑客。而相对于黑客技术的自动化，安全防御技术对于普通电脑用户而言仍然是较为高端的。本来就是敌暗我明的攻防形势，更加的不平等，自然而然的，就出现了标题中提到的现象，对于黑客而言，攻击更加简单，对于处于防御方的用户而言，安全知识的匮乏导致了他们将时刻处于极高的风险中。

　　我们不能寄希望于大力普及安全防御知识，正如大部分人不需要为看电视而去了解电视成像的原理。所以，安全厂商要做的是用新的技术，新的方法去解决这些问题，“云安全”可以说是现阶段处理这个问题的良方。

　　从“蜜罐”的“云安全”

　　在“云安全”之前，“蜜罐”是安全厂商获取病毒最重要的方式。“蜜罐”的原理很简单，实际上两句话就可以解释明白：安全厂商们设立的一个对病毒木马很友好的系统，诱使病毒木马去入侵他，相当于一个装了诱饵来捕获小虫的“蜜罐”，进入“蜜罐”的恶意程序就成为了安全厂商分析以及提取特征码的对象。当然，除了“蜜罐”，用户的上报，竞争对手病毒库的分析也会是获取病毒库的手段，只是数量相对较少。

　　很明显，我们可以发现其中的问题。杀毒软件厂商要以一己之力去捕获互联网上无穷无尽的病毒木马蠕虫流氓软件……就算我们可以很乐观的认为这是一件能够完成的任务，但是最乐观的人也会对这种行为产生的巨额财政预算感到泄气。

　　安全厂商们起初试图通过启发式和行为分析来解决这个问题，很可惜的是，除了ESET在这个领域略有小成，目前的AI显然无法精确的识别病毒和正常的软件。

　　让用户一起参与病毒库的建设，这是一个绝妙的主意。“云安全”也正是基于这个思路发展起来。

　　桑塔纳先生向我们介绍说，早在2003年，熊猫开始尝试让用户上传可能存在风险的文件上传到他们的服务器端，由服务器端进行分析，并且将分析的结果反馈到下一次的病毒库升级中。

　　这种方法即可说是初级阶段的“云安全”，也可以说成为高级版的病毒上报机制。好处显而易见，通过用户上传可疑文件到云端这一过程，实际上大大拓宽的安全产商捕获病毒的来源。来源的增加也让病毒库更加的精确和全面。

　　进化中的概念与成熟的云安全产品

　　在2007年，熊猫安全正式提出了云安全的概念，相比于此前的初级版，熊猫为云安全制定了严格的定义。

　　我们可以注意到，在03、04年时候的云安全雏形，事实上是一个单向的过程。用户单向的提供可以程序给安全厂商，虽然安全产商分析后会反应到病毒库中，可是，病毒库的更新仍然是原有的时间表，该更新的时候更新，不该更新的时候绝对不更新。可是，用户上传到云端的数据，24小时不会间断，而处理的结果无法及时的反馈，云的作用就大打折扣。

　　熊猫率先改进了这一点，将单向升级成为了双向。新的云安全，首先会提取用户端发现的可疑程序，提取该程序的特征码，上传到云端，并且由安全厂商在云端对其进行分析处理，不论结果是安全的还是不安全的，都会将处理结果实时推送的全部用户中。由一个用户PC中发现的可以数据经过处理，在以分钟为单位计量的时间内，通过了云端的处理，并且推送到了全部用户手中，如果是安全的，则不会再有可疑提示，如果是不安全的，就会在第一时间处理。

　　桑塔纳先生很自豪的向我们介绍，熊猫安全每天需要处理5万个可疑文件，这其中，大约有3万5千个包含恶意代码。因为云安全技术，熊猫的用户每天多躲避了3.5万个潜在的安全威胁。

　　采用云安全的好处不言而喻。首先，杀毒软件可以拥有更小的资源占用，因为无需本地上的庞大病毒库，却可以更好的保障安全;其次，云的快速响应，相比于传统模式，用户能够更快的收到最新的病毒特征码，规避风险的概率大大提高;再次，每一台云安全体系中的PC都是整个体系的一部分，人多力量大在这里得到完美体现;最后，对于安全厂商而言，他们只需要支付出架构“云”的服务器等成本，相对于独立收集样本的成本以及安全性上的巨大飞跃，这部分的投资可以说是物超所值。

　　熊猫没有将“云安全”停留在口头，基于云安全的产品事实上已经出现了。熊猫卫士2010的全系列产品正是基于云技术。基于熊猫对云的理解以及对云安全的信心，我们发现了熊猫卫士2010的一个很有趣的现象，一般安全软件的低端版本只会提供反病毒、反木马等最基础的功能，可是熊猫卫士2010，在全系列版本中，除了基础功能，都集成了云安全技术。由于云安全是参与的用户越多，安全性越高，因此，我们也可以看出，熊猫安全放弃了一定的经济利益，从而更多的考虑了安全性的因素。

　　在熊猫提出云安全后，各个安全厂商迅速跟进，如瑞星、金山、卡巴斯基、趋势科技、诺顿等等国内外知名安全企业都纷纷进军云端。当然，云安全的发展不会就此停滞，不论是这个概念还是基于云安全的产品，都会不断出现，对于用户而言，享受云带来的安全保障才是最实际最有价值的。

更多产品信息请访问http://www.xiongmao365.com/