雲時代 技術決定安全

手動更新病毒碼將成為歷史

今天，你更新病毒碼了嗎？ 根據AV-Test.org的最新統計，全球惡意程式已超過1100萬個，而且每4秒鐘就產生一個新病毒。 在網路威脅飆升的今天，更新病毒碼成為企業及線民每天必備的工作，從每週一次到每天一次，直至時刻更新，而傳統代碼比對技術的流程性問題正在導致查殺病毒的有效性急劇下降，反病毒行業必須尋找新的技術突破。

今年7月，趨勢科技率先在業內推出了基於雲計算平臺的雲安全解決方案，以應對快速增長和極具動態性的網路威脅。 據徐學龍介紹：該技術超越了傳統病毒樣本分析的處理機制，通過構建龐大的雲端伺服器群對Internet上的海量資訊源進行分析整理，將高風險資訊源保存到雲端資料庫中，當使用者訪問Internet資訊時， 通過即時查詢資訊源的安全等級，就可以及時將高風險資訊及時阻擋，在網路威脅到達終端使用者或公司網路之前將其攔截，從而讓使用者頻繁的更新病毒碼工作成為歷史。

Web傳播是主管道 變種彈指瞬息萬變

病毒發展的管道、傳播形式以及生命週期已經發生了質的改變。 目前病毒的成長多數來自網路，通過網路傳播、自動下載新病毒或自動更新變種，不斷成長。

網路釣魚、木馬、間諜程式、Botnet僵屍網路，往往潛伏在看似正常的頁面中，它們像是網路的隱形地雷，一旦 Click 就有可能引爆。 當你流覽網頁或按下垃圾郵件、MSN所附帶的URL連結的同時，其實與災難只有一「鍵」之隔！

2007年起利用Web 頁面的攻擊如過江之鯽，到2008年3月發現有 400 多種用來產生網路釣魚的工具套件。 近20年來，網路惡意攻擊呈爆炸性增長態勢。 1988年，全球共搜集發現了1738例病毒樣本，而2008年單月搜集的數量就超過了64萬例（平居一天約2萬，每隔4秒一個病毒）。 截止2008年5月份，整個惡意軟體的數量超過了1100萬例。 根據統計，Web威脅從2005年到2008年3月，增長了1731%。

傳統病毒碼碼比對已現疲態

病毒碼碼像是犯人的指紋，當防毒軟體公司收集到一個新的病毒樣本時，他們就會從這個病毒程式中截取一小段獨一無二，而且足以表示這個病毒的二進位程式碼 (Binary Code)，來當做掃毒程式辨認此病毒的依據， 這段獨一無二的二進位程式碼就是所謂的病毒碼碼。 因為病毒的種類及型態一直在改變，新病毒每天不斷的被寫作出來，如果不經常更新病毒碼碼，再強悍的防毒軟體也會失靈。 今天，由於新的惡意軟體海量出現，而且線上自動更新變種，這使得採用傳統的病毒碼碼防護工作變得非常困難。

不斷更新的病毒碼庫，不僅檔越變越大，而且無法追上新病毒產生的速度。 2001年，每週更新一次病毒碼碼成為了業內的共識。 那時病毒的生命週期較長，每週更新一次足以保證電腦的安全。 隨著病毒的生命週期的縮短，更新病毒碼碼從每週一次到每天一次，再到每小時一次，甚至以分鐘計算的地步。 但即便這樣，傳統的病毒碼碼防護價值仍在縮水，對遏制主流Web威脅已經起不到太大作用。

傳統的反病毒應付這些木馬，需要先從用戶端得到病毒樣本，然後進行研製作出解決樣本，再通過成功測試，最終還需端點使用者下載更新病毒代碼才能實現真正的病毒防護工作。 如上文所說，目前每隔4秒種就有一個新病毒誕生，而在4秒內，我們可以做出病毒碼碼並分發到各個終端嗎？ 這顯然是不現實的。

僅針對製作病毒碼碼的環節，每天2萬個病毒就至少需要1000位資深病毒分析工程師一刻不停地進行分析才能完成，由於病毒仍在持續加速產生，這對任何一個安全廠商來講，如果沒有技術上的革新，最終都會走到一個人力的瓶頸。 目前單個病毒的發作週期日益縮短，病毒碼碼的防護有效性正變得越來越低，傳統的代碼比對技術因此變得越來越不經濟。

讓你的病毒碼在雲中進行更新

認知：與網路上流竄的病毒對抗，必須要找到新方法。 須以其人之道還治其人之身，網路來的病毒，就得在雲端解決。 徐學龍強調：「反病毒回應時間必須與病毒生成的時間相匹配，雲安全技術在雲端構建了龐大的病毒威脅庫，進行7×24小時的進行即時計算，雲安全技術將手工製作特徵碼的方式轉變為雲伺服器群動態計算的方式，相同的分析工作， 傳統的人工分析需要2小時的時間，而雲安全技術只需要幾秒鐘，從而達到了與病毒產生速度匹配的效果。 使用者在實際使用中，通過安全子系統的自動查詢，就可獲得及時保護，如此驚人的差距，必然讓以往頻繁的更新病毒碼工作成為歷史。 」

目前，對來自于網路的病毒，將基於Internet傳播的病毒碼碼放入雲端，端點使用者可以大大減少更新病毒碼的工作。

Web信譽服務

借助全信譽資料庫，雲安全可以按照惡意軟體行為分析所發現的網站頁面、歷史位置變化和可疑活動跡象等因素來指定信譽分數，從而追蹤網頁的可信度。 然後將通過該技術繼續掃描網站並防止使用者訪問被感染的網站。 為了提高準確性、降低誤報率，安全廠商還為網站的特定網頁或連結指定了信譽分值，而不是對整個網站進行分類或攔截，因為通常合法網站只有一部分受到攻擊，而信譽可以隨時間而不斷變化。

通過信譽分值的比對，就可以知道某個網站潛在的風險級別。 當使用者訪問具有潛在風險的網站時，就可以及時獲得系統提醒或阻止，從而説明使用者快速地確認目標網站的安全性。 通過Web信譽服務，可以防範惡意程式源頭。 由於對零日攻擊的防範是基於網站的可信程度而不是真正的內容，因此能有效預防惡意軟體的初始下載，使用者進入網路前就能夠獲得防護能力。

電子郵件信譽服務

電子郵件信譽服務按照已知垃圾郵件來源的信譽資料庫檢查IP位址，同時利用可以即時評估電子郵件發送者信譽的動態服務對IP位址進行驗證。 信譽評分通過對IP位址的「行為」、「活動範圍」以及以前的歷史進行不斷的分析而加以細化。 按照發送者的IP位址，惡意電子郵件在雲中即被攔截，從而防止僵屍或僵屍網路等Web威脅到達網路或使用者的電腦。

檔信譽服務

檔信譽服務技術，它可以檢查位於端點、伺服器或閘道處的每個檔的信譽。 檢查的依據包括已知的良性檔清單和已知的惡性檔清單，即現在所謂的防病毒碼碼。 高性能的內容分發網路和本地緩衝伺服器將確保在檢查過程中使延遲時間降到最低。 由於惡意資訊被保存在雲中，因此可以立即到達網路中的所有使用者。 而且，和佔用端點空間的傳統防病毒碼碼檔下載相比，這種方法降低了端點記憶體和系統消耗。

行為關聯分析技術

通過行為分析的「相關性技術」可以把威脅活動綜合聯繫起來，確定其是否屬於惡意行為。 Web威脅的單一活動似乎沒有什麼害處，但是如果同時進行多項活動，那麼就可能會導致惡意結果。 因此需要按照啟發式觀點來判斷是否實際存在威脅，可以檢查潛在威脅不同元件之間的相互關係。 通過把威脅的不同部分關聯起來並不斷更新其威脅資料庫，即能夠即時做出回應，針對電子郵件和Web威脅提供及時、自動的保護。

自動回饋機制

雲安全的另一個重要元件就是自動回饋機制，以雙向更新流方式在威脅研究中心和技術人員之間實現不間斷通信。 通過檢查單個客戶的路由信譽來確定各種新型威脅。 例如：趨勢科技的全球自動回饋機制的功能很像現在很多社區採用的「鄰里監督」方式，實現即時探測和及時的「共同智慧」保護，將有助於確立全面的最新威脅指數。 單個客戶常規信譽檢查發現的每種新威脅都會自動更新趨勢科技位於全球各地的所有威脅資料庫，防止以後的客戶遇到已經發現的威脅。

由於威脅資料將按照通信源的信譽而非具體的通信內容收集，因此不存在延遲的問題，而客戶的個人或商業資訊的私密性也得到了保護。

威脅資訊匯總

安全公司綜合應用各種技術和資料收集方式——包括「蜜罐」、網路爬行器、客戶和合作夥伴內容提交、反饋回路。 通過趨勢雲安全中的惡意軟體資料庫、服務和支援中心對威脅資料進行分析。 過7×24小時的全天候威脅監控和攻擊防禦，以探測、預防並清除攻擊。

白名單技術

作為一種核心技術，白名單與黑名單（病毒碼碼技術實際上採用的是黑名單技術思路）並無多大區別，區別僅在於規模不同。 AVTest.org的近期惡意樣本（Bad Files，壞檔）包括了約1200萬種不同的樣本。 即使近期該數量顯著增加，但壞檔的數量也仍然少於好檔（Good Files）。 商業白名單的樣本超過1億，有些人預計這一數位高達5億。 因此要逐一追蹤現在全球存在的所有好檔無疑是一項巨大的工作，可能無法由一個公司獨立完成。

作為一種核心技術，現在的白名單主要被用於降低誤報率。 例如，黑名單中也許存在著實際上並無惡意的特徵碼。 因此防病毒碼資料庫將會按照內部或商用白名單進行定期檢查，趨勢科技和熊貓目前也是定期執行這項工作。

因此，作為避免誤報率的一種措施，白名單實際上已經被包括在了Smart Protection Network中。

束語：

相信在未來，隨著網路應用的深入發展，雲端防護的有效性會越來越突出。 雖然雲安全技術不是萬能的，但至少是反病毒技術的一次飛躍，也是內容安全廠商的必由之路。 可以預計：對整個資訊安全行業來說，未來產品用戶端將不再是競爭的焦點，企業差異化競爭的核心將轉移到雲端架構的後臺計算和分析服務能力方面；而對於使用者來說，安全防護更及是地、更全面，還不用頻繁地升級病毒碼碼資料庫， 使用者將以最低限度的存儲和計算資源，獲得最完善的安全防護。