剖析雲安全 炒作還是實用(1)

「雲安全」這以概念從提出之時起就備受爭議。 今天我就來詳細解剖一下雲安全。 為此首先我們需要瞭解一下傳統的殺軟是如何工作的。 傳統的特徵碼殺軟流程一般如下：收集階段：少數的使用者專門上報，廠商的爬蟲程式、MiGuan程式——>分析階段：病毒分析員、機器分析——>回饋階段：數小時一次的定義更新。 由此我們可以看到整個過程完全是廠商在負責。 同時也能看到這樣的流程有極大的缺陷：1、週期過長。 一般殺毒軟體的定義更新需要數小時到數十小時，有較長的一段反應真空期2、收集範圍狹隘。 僅僅借助廠商的收集程式和少量的使用者上報不能做到廣泛的收集樣本。 3、白名單收集不夠。 和第二點類似也是由於收集範圍過於狹隘所致。 傳統的主動防禦流程一般如下：準備階段：收集足夠的樣本，詳細分析，總結出行為特徵庫——>發佈階段：發佈主防產品——>回饋階段：收集被繞過的樣本，改進主防。 整個過程的流程比特徵碼更漫長，往往需要數周，數月的週期。 可見，傳統的殺軟都有一個共有的缺陷，那就是反應速度過慢。 做過免殺的朋友都知道，一個木馬在出爐前是要檢驗的，用幾乎所有的殺軟都掃一遍，有時候還要運行嘗試，大部分不報才能出廠。 一個木馬只要有心去做沒有過不掉的殺軟。 主防也一樣，有時候甚至比特徵碼更容易過，為什麼？ 因為只要有人發現了一個漏洞，那麼就可以製作出一大串的繞過樣本，如果保密得當那麼在很長一段時間內都有效。 為了在一定程度上解決這個反應速度過慢的問題，於是就推出了「雲安全」的概念。 我們來看看雲安全是如何解決上述傳統殺軟所面臨的問題。 我先以國內雲為例，國內的雲將用戶端作為一個收集器，凡是不在雲端庫內的程式，都會被上傳到伺服器進行分析鑒定，並在較短的時間內所有使用者都可以得到回饋。 我們看到國內雲端有如下優勢：1、週期短，回饋速度快。 機器分析一般只需5到30分鐘就可以完成，而且由於病毒庫在雲端因此不 需要升級就可以得到保護。 2、收集範圍廣泛。 除了使用者專門上報，廠商的爬蟲程式、蜜 罐程式之外，每個用戶端都變成了一個收集器，收集能力將成倍提高。 3、不僅收集病毒還能收集白檔。 可以用來降低誤報。 但是不少朋友覺得萬一「斷網」怎麼辦？？ 會出現「首批犧牲者」的問題。 首先關於「斷網」。 那麼我們先設想這樣一種情況，比如一個樣本，經過了免殺處理過掉了絕大部分的殺軟，同時雲端也沒收集到。 這時傳統殺軟被免殺了，因此檢測不出來，運行後中毒，如果沒被針對性斷網但由於病毒庫更新週期的爾遜子啊在很長一段時間內查不出來，如果被斷網了那麼無法升級也查不出來。 再看看雲殺軟，雲殺軟檢測不出來，運行後斷網中毒，無法連接雲端。 因此「斷網」樣本無論是傳統的還是雲端的都是不能解決的，也就沒有所謂傳統殺軟對斷網樣本更厲害之說。 其次關於「首批犧牲者」。 雲安全是用來縮短週期，用來減少中毒人數的。 可以這麼說傳統殺軟不僅有「首批犧牲者」，還有「二批犧牲者」直至「n批犧牲者」，直到病毒被上報，病毒庫更新後為止。 也許有人看了後覺得疑問了，雲和以前的線上病毒上報有什麼區別？？ 區別就在於參與使用者數量的不同！ 線上病毒上報，還有多引擎網站能有多少使用者去積極使用？？ 退一步講，就算大家都去用，但是線上上報網站的伺服器還吃不消呢。 線上病毒掃描無論是其物件導向的狹窄性（只有少數人才會用這個），還是反應的滯後性（即便上報後得出了結論也需要等待下一次病毒庫升級才能生效）都不能和現在的雲安全相比。 雲的創新並不在於技術上有多先進，而在於一種模式的轉變，或者說是思維方式的轉變：將以前完全是廠商在負責的東西，一部分交給了客戶去完成。 1 2 下一頁>>查看全文 內容導航第 1 頁：傳統殺軟 第 2 頁：雲安全技術 原文：剖析雲安全 炒作還是實用(1) 返回網路安全首頁