“云安全”这以概念从提出之时起就备受争议。今天我就来详细解剖一下云安全。为此首先我们需要了解一下传统的杀软是如何工作的。
传统的特征码杀软流程一般如下:收集阶段:少数的用户专门上报,厂商的爬虫程序、MiGuan程序——>分析阶段:病毒分析员、机器分析——>反馈阶段:数小时一次的定义更新。
由此我们可以看到整个过程完全是厂商在负责。同时也能看到这样的流程有极大的缺陷:
1、周期过长。一般杀毒软件的定义更新需要数小时到数十小时,有较长的一段反应真空期
2、收集范围狭隘。仅仅借助厂商的收集程序和少量的用户上报不能做到广泛的收集样本。
3、白名单收集不够。和第二点类似也是由于收集范围过于狭隘所致。
传统的主动防御流程一般如下:准备阶段:收集足够的样本,详细分析,总结出行为特征库——>发布阶段:发布主防产品——>反馈阶段:收集被绕过的样本,改进主防。
整个过程的流程比特征码更漫长,往往需要数周,数月的周期。
可见,传统的杀软都有一个共有的缺陷,那就是反应速度过慢。做过免杀的朋友都知道,一个木马在出炉前是要检验的,用几乎所有的杀软都扫一遍,有时候还要运行尝试,大部分不报才能出厂。一个木马只要有心去做没有过不掉的杀软。主防也一样,有时候甚至比特征码更容易过,为什么?因为只要有人发现了一个漏洞,那么就可以制作出一大串的绕过样本,如果保密得当那么在很长一段时间内都有效。为了在一定程度上解决这个反应速度过慢的问题,于是就推出了“云安全”的概念。
我们来看看云安全是如何解决上述传统杀软所面临的问题。我先以国内云为例,国内的云将客户端作为一个收集器,凡是不在云端库内的程序,都会被上传到服务器进行分析鉴定,并在较短的时间内所有用户都可以得到反馈。
我们看到国内云端有如下优势:
1、周期短,反馈速度快。机器分析一般只需5到30分钟就可以完成,而且由于病毒库在云端因此不 需要升级就可以得到保护。
2、收集范围广泛。除了用户专门上报,厂商的爬虫程序、蜜 罐程序之外,每个客户端都变成了一个收集器,收集能力将成倍提高。
3、不仅收集病毒还能收集白文件。可以用来降低误报。
但是不少朋友觉得万一“断网”怎么办??会出现“首批牺牲者”的问题。
首先关于“断网”。那么我们先设想这样一种情况,比如一个样本,经过了免杀处理过掉了绝大部分的杀软,同时云端也没收集到。这时传统杀软被免杀了,因此检测不出来,运行后中毒,如果没被针对性断网但由于病毒库更新周期的尔逊子啊在很长一段时间内查不出来,如果被断网了那么无法升级也查不出来。再看看云杀软,云杀软检测不出来,运行后断网中毒,无法连接云端。 因此“断网”样本无论是传统的还是云端的都是不能解决的,也就没有所谓传统杀软对断网样本更厉害之说。
其次关于“首批牺牲者”。云安全是用来缩短周期,用来减少中毒人数的。可以这么说传统杀软不仅有“首批牺牲者”,还有“二批牺牲者”直至“n批牺牲者”,直到病毒被上报,病毒库更新后为止。
也许有人看了后觉得疑问了,云和以前的在线病毒上报有什么区别??区别就在于参与用户数量的不同!在线病毒上报,还有多引擎网站能有多少用户去积极使用??退一步讲,就算大家都去用,但是在线上报网站的服务器还吃不消呢。在线病毒扫描无论是其面向对象的狭窄性(只有少数人才会用这个),还是反应的滞后性(即便上报后得出了结论也需要等待下一次病毒库升级才能生效)都不能和现在的云安全相比。
云的创新并不在于技术上有多先进,而在于一种模式的转变,或者说是思维方式的转变:将以前完全是厂商在负责的东西,一部分交给了客户去完成。 #p#
再谈谈我对国内云不同之处的理解。就目前云安全私以为有两种:
一种是以信誉认证为主要手段的云安全
在这种云安全中主要运用以下技术,1.终端用户评价体系。这种用户评价打分式的社区体系,就容易被黑客利用,进行刷分,但从大范围来讲还是靠谱的。2.数字签名验证体系。对有可信厂商的数字签名的文件,给予较高的信誉度,一般情况下不会出问题。当然也有些木马有伪造的或者利用小厂商的数字签名,对伪造的数字签名只要严格验证是能发现的(卡巴斯基2009曾出现对数字签名验证不严而被利用的情况)。 3.文件统计及属性评价体系。这种以文件在客户端的分布规律,扩散速度,新老程度,文件的属性(比如是否隐藏,文件名是否是随机命名、混淆命名、流行病毒常用命名等可疑名称,是否在系统关键文件夹中)进行统计分析得出文件是否有恶意的结论,缺点是需要一段时间来判定。当然评估体系使用的手段绝不仅仅限于此,这里只是稍作讲解。
另一种则是以机器自动分析为主要手段的云安全(比如金山,360)
在这种云安全中主要运用以下技术。1.高级启发式分析,这种启发式分析不同于普通客户端的启发式分析,由于服务器性能强大,启发式分析可以做的更复杂专业,对代码静态分析更深入,因此侦测率更高,同时误报也高。2.高级虚拟机行为分析。同样,靠着服务器的强大性能,可以在完全仿真(比如使用VMWare,甚至隔离式实机)的情况下对文件进行判定,其优缺点和上述启发式一样。3.多引擎查杀。借助合法来源的多种杀毒软件作为参考。
不论使用那种手段,云安全最根本的颠覆就是不再和以前一样仅收集黑名单(病毒特征库),而是把所有文件分为黑,白,灰(未知)三类,并通过技术手段把灰文件判定成白或黑文件,借此力图一网打尽所有文件获得"***"安全。
而云安全的理念绝不仅仅于此,还能和HIPS结合,打造智能主防。比如360就是本地内置HIPS模块当发现程序危险动作时,连接云服务器查询,判断是否拦截。再比如卡巴斯基,把云信誉数据反馈到HIPS的弹框中,以便于选择。再比如诺顿把云融入sonar的主防中,提高查杀率。
原文链接:http://www.kafan.cn/article-664-1.html
【编辑推荐】