扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:网界网 2009年9月3日
关键字:
简单的讲,“云安全”指防毒安全厂商利用客户端搜集病毒样本,然后找到处理方式分发给用户,这样整个互联网就成了一个大的保障用户电脑安全的杀毒软件。
简介云发展
一直以来,杀毒软件都是采取基于特征码扫描的方式来查毒,这一方式只有在新病毒出现后才可分析出特征码并加入到病毒库中,具有先天的滞后性。然而病毒技术一直在发展,新的漏洞也层出不穷,每天产生的新病毒也越来越多,为了应对未知威胁,2007年杀毒软件行业力推的“主动防御”技术概念——它们贯以诸如“行为分析”,“虚拟机”, 或者“启发式”等种种让人混淆的名词——,让人们看到另一种思路,它们可以主动检测和拦截未知威胁。
图一
但是目前为止,无论是哪种主动防御技术都还达不到可以单独应用的地步,传统的特征码扫描方式仍是杀毒软件的主要技术。而在此期间,病毒技术的发展也有了一点新变化,病毒制造者们并不再只是着重于发展新的病毒技术,而是转变了另一种思路,这一转变发生在病毒的生产制造以及传播流程上,病毒的制造更简单,病毒的传播方式更多样更复杂,病毒开始互联网化,而最终这些病毒与经济利益挂钩,完整的病毒产业链形成。在2008年,病毒互联网化的趋势越来越明显, 传统的杀毒软件已经难以应对每天产生的越来越多的新病毒。于是,相应地,杀毒软件也开始互联网化,“云安全”的概念横空出世,杀毒软件行业迎来一场新的变革。
了解趋势科技云安全
最早提出“云安全”这一概念的是趋势科技,2008年5月,趋势科技在美国正式推出了“云安全”技术。“云安全”的概念一经推出,很快就受到业界热捧,而对于喜欢跟风的国内杀毒软件行业来说,自然也是不能放过这一概念。
趋势科技的“云安全Secure Cloud”主要用于企业级产品当中,强调的是对复合式攻击的拦截和轻客户端策略,最终目的是让威胁在到达用户计算机或公司网络之前就对其予以拦截。
目前的病毒常常包含多个组件,而不是依靠单一的病毒体。对于用户来说,单一的组件可能不具备什么威胁,看似是无害的。但是多个组件组合在一起就形成了一个符合式的攻击。而趋势的云安全正是解决这一问题,在各个组成部分上进行检查,最终判断威胁。
其次,是轻客户端策略。在趋势官方的举例中,提到当用户收到一封含有网络链接的恶意电子邮件时先会在邮件信誉服务数据库中检查其发送源地址,然后会在Web信誉服务数据库中检查邮件中的链接,然后会将网页的组件和重定向网页进行分析,提取IP地址并且添加到交互式威胁数据库中。
可以看出,趋势的云安全可以概括为基于互联网数据库的轻客户端程序,也就是构架一个庞大的黑白名单服务器群,用于客户端的查询。在趋势的云安全概念中,趋势的服务器组成一个大“云”。因此,趋势云安全必须建立在大量服务器基础上。
读透瑞星云安全技术
很快,在2008年7月16日,瑞星正式推出“瑞星卡卡6.0”时,也放出了其“云安全”计划。按瑞星的说法,其“云安全”计划的内容是,通过“瑞星卡卡”将用户和瑞星服务器紧密相连,组成一个庞大的木马/恶意软件监测、查杀网络,每个瑞星卡卡用户都为“云安全”计划贡献一份力量,同时分享其他所有用户的安全成果。用户只要下载使用免费的“瑞星卡卡6.0”,无需任何操作,即可加入“云安全”。
事实上,瑞星此时的“云安全”计划还只是个雏形,仍只是安全厂商普遍采用的病毒样本自动上报分析系统的进一步发展而已。到了2008年10月,瑞星又推出了其““云安全”2.0版”,此次瑞星在其软件中加入“挂马网页”的自动诊断和收集模块,一旦发现疑似染毒网页,就立刻阻断木马病毒的下载,并将诊断信息传回瑞星技术平台进一步分析处理,并将截获的恶意网址添加到恶意网址库中。由此,瑞星的“云安全”形成了比较完整的体系。而在2009年,瑞星将推出其“云安全”3.0版,在这一版中,主要工作会集中在扩大“云安全”的客户端量和对获取数据进行挖掘处理。
瑞星“云安全”官方给出的定义:通过网状的大量客户端对网络中软件行为的异常监测,截获互联网中的木马、恶意程序的最新信息,然后推送到服务器端进行自动分析和处理,然后再把病毒和木马的解决方案分发到每一个客户端。
上面那句话看着比较官方,不过注意看“通过网状的大量客户端对网络中软件行为的异常监测”这句话。可以看出,瑞星的“云安全”和趋势的“云安全”讲述的并不是同一个概念。趋势“云安全”中的“云”是趋势的服务器群,而瑞星的“云”则是大量用户。在瑞星的云安全当中,瑞星的服务器反倒成了一个Client端。
通过各个客户端对用户计算机进行扫描,然后提取可能是病毒的文件上报,经过瑞星的处理后,升级杀毒软件或卡卡再推送给用户。
瑞星的云安全的实质是一个样本收集处理机制。实现瑞星云安全需要有大量的客户端(卡卡6.0),才能组成真正意义上的云,另外需要有对病毒的快速分析处理能力。在瑞星云安全里,由于客户端才是云的组成部分,所以不需要架设那么多服务器。
云安全简单适用技术
趋势科技认知到:与网络上流窜的病毒对抗,必须要找到新方法。须以其人之道还治其人之身,网络来的病毒,就得在云端解决。目前,趋势科技云安全技术架构已经在全球建立了5个数据中心,34000多部在线服务器,拥有99.9999%的可靠性。可以支持平均每天50亿笔点击查询,每天收集分析2.5亿个样本,资料库第一次命中率就可以达到99%。借助云安全技术,趋势科技现在每天阻断的病毒感染高达1000万次。徐学龙强调:“反病毒响应时间必须与病毒生成的时间相匹配,云安全技术在云端构建了庞大的病毒威胁库,进行7×24小时的进行实时计算,云安全技术将手工制作特征码的方式转变为云服务器群动态计算的方式,相同的分析工作,传统的人工分析需要2小时的时间,而云安全技术只需要几秒钟,从而达到了与病毒产生速度匹配的效果。用户在实际使用中,通过安全子系统的自动查询,就可获得及时保护,如此惊人的差距,必然让以往频繁的更新病毒码工作成为历史。”
图四
目前,趋势科技针对来自于网络的病毒,将基于Internet传播的病毒特征码放入云端,端点用户可以大大减少更新病毒码的工作。同时,趋势科技全线硬件网关产品如IWSA、IGSA等都内嵌了云安全的核心技术之一Web信誉评估技术(WRS),彻底阻绝用户与病毒接触的风险。
趋势科技Web安全网关IWSA现已成功应用在制造、政府、交通等行业,据这些用户反馈:自从云安全技术应用后,在网关处实现了对网站挂马病毒的有效拦截,使得病毒数量下降了70%,这是依靠传统的病毒特征码更新无法达到的效果。与此同时,作为企业IT管理人员表示,现在接到的企业内部中毒报警电话也大大下降,与之前相比减少了80%左右。
趋势科技云安全技术将病毒本地扫描防护的机制转变为了Client—Cloud(客户端-云端)的安全防护架构,这意味着用户随时都能获得最新的安全防护,相信在未来,随着网络应用的深入发展,云端防护的有效性会越来越突出。虽然云安全技术不是万能的,但至少是反病毒技术的一次飞跃,也是内容安全厂商的必由之路。可以预计:对整个信息安全行业来说,未来产品客户端将不再是竞争的焦点,企业差异化竞争的核心将转移到云端架构的后台计算和分析服务能力方面;而对于用户来说,安全防护更及是地、更全面,还不用频繁地升级病毒特征码数据库,用户将以最低限度的存储和计算资源,获得最完善的安全防护。
束语
由上可见,“云安全”并不是一种纯粹的反病毒技术,我们可以将其理解为一种反病毒理念,一种安全互联网化的思路,一个互联网化的安全防御体系,也就是杀毒软件的互联网化。利用“云安全”体系,杀毒软件能够更快地收集病毒样本,更快地对病毒进行处理,并能在网络威胁到达用户电脑前就对其进行阻止,反病毒的效率大大提升,而且将更为智能化,带来更完善的用户体验,最终目的可让互联网时代的用户都能得到更快、更全面的安全保护。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。