六個廠商雲安全示例

金山毒霸「雲安全」定義


　　金山毒霸「雲安全」是為了解決木馬商業化之後的互聯網嚴峻的安全形勢應運而生的一種全網防禦的安全體系結構。 它包括智慧化用戶端、集群式服務端和開放的平臺三個層次。 「雲安全」是現有反病毒技術基礎上的強化與補充，最終目的是為了讓互聯網時代的使用者都能得到更快、更全面的安全保護。


　　首先穩定高效的智慧用戶端，它可以是獨立的安全產品，也可以作為與其他產品集成的安全性群組件，比如金山毒霸2009和百度安全中心等，它為整個雲安全體系提供了樣本收集與威脅處理的基礎功能;


　　其次服務端的支援，它是包括分散式的海量資料存儲中心、專業的安全分析服務以及安全趨勢的智慧分析挖掘技術，同時它和用戶端協作，為使用者提供雲安全服務;


　　最後，雲安全以一個開放性的安全服務平臺作為基礎，它為協力廠商安全合作夥伴提供了與病毒對抗的平臺支援。 金山毒霸雲安全既為協力廠商安全合作夥伴使用者提供安全服務，又靠和協力廠商安全合作夥伴合作來建立全網防禦體系。 使得每個使用者都參與到全網防禦體系中來，遇到病毒也將不再是孤軍奮戰。


　　金山毒霸「雲安全」的體系結構


　　1.可支撐海量樣本存儲及計算的水銀平臺


　　2.互聯網可信認證服務


　　3.爬蟲系統


　　趨勢科技——在Web威脅到達之前予以阻止


　　趨勢科技SecureCloud雲安全6大殺手鐧：


　　1.Web信譽服務


　　借助全球最大的域信譽資料庫之一，趨勢科技的Web信譽服務按照惡意軟體行為分析所發現的網站頁面、歷史位置變化和可疑活動跡象等因素來指定信譽分數，從而追蹤網頁的可信度。 然後將通過該技術繼續掃描網站並防止使用者訪問被感染的網站。 為了提高準確性、降低誤報率，趨勢科技Web信譽服務為網站的特定網頁或連結指定了信譽分值，而不是對整個網站進行分類或攔截，因為通常合法網站只有一部分受到攻擊，而信譽可以隨時間而不斷變化。


通過信譽分值的比對，就可以知道某個網站潛在的風險級別。 當使用者訪問具有潛在風險的網站時，就可以及時獲得系統提醒或阻止，從而説明使用者快速地確認目標網站的安全性。 通過Web信譽服務，可以防範惡意程式源頭。 由於對零日攻擊的防範是基於網站的可信程度而不是真正的內容，因此能有效預防惡意軟體的初始下載，使用者進入網路前就能夠獲得防護能力。


　　2.電子郵件信譽服務


　　趨勢科技的電子郵件信譽服務按照已知垃圾郵件來源的信譽資料庫檢查IP位址，同時利用可以即時評估電子郵件發送者信譽的動態服務對IP位址進行驗證。 信譽評分通過對IP位址的「行為」、「活動範圍」以及以前的歷史進行不斷的分析而加以細化。 按照發送者的IP位址，惡意電子郵件在雲中即被攔截，從而防止僵屍或僵屍網路等web威脅到達網路或使用者的電腦。


　　3.檔信譽服務


　　現在的趨勢科技雲安全將包括檔信譽服務技術，它可以檢查位於端點、伺服器或閘道處的每個檔的信譽。 檢查的依據包括已知的良性檔清單和已知的惡性檔清單，即現在所謂的防病毒碼碼。 高性能的內容分發網路和本地緩衝伺服器將確保在檢查過程中使延遲時間降到最低。 由於惡意資訊被保存在雲中，因此可以立即到達網路中的所有使用者。 而且，和佔用端點空間的傳統防病毒碼碼檔下載相比，這種方法降低了端點記憶體和系統消耗。


　　4.行為關聯分析技術


　　趨勢科技雲安全利用行為分析的「相關性技術」把威脅活動綜合聯繫起來，確定其是否屬於惡意行為。 Web威脅的單一活動似乎沒有什麼害處，但是如果同時進行多項活動，那麼就可能會導致惡意結果。 因此需要按照啟發式觀點來判斷是否實際存在威脅，可以檢查潛在威脅不同元件之間的相互關係。 通過把威脅的不同部分關聯起來並不斷更新其威脅資料庫，使得趨勢科技獲得了突出的優勢，即能夠即時做出回應，針對電子郵件和Web威脅提供及時、自動的保護。


　　5.自動回饋機制


趨勢科技雲安全的另一個重要元件就是自動回饋機制，以雙向更新流方式在趨勢科技的產品及公司的全天候威脅研究中心和技術之間實現不間斷通信。 通過檢查單個客戶的路由信譽來確定各種新型威脅，趨勢科技廣泛的全球自動回饋機制的功能很像現在很多社區採用的「鄰里監督」方式，實現即時探測和及時的「共同智慧」保護，將有助於確立全面的最新威脅指數。 單個客戶常規信譽檢查發現的每種新威脅都會自動更新趨勢科技位於全球各地的所有威脅資料庫，防止以後的客戶遇到已經發現的威脅。


　　6.威脅資訊匯總


　　 　來自美國、菲律賓、日本、法國、德國和中國等地研究人員的研究將補充趨勢科技的回饋和提交內容。 在趨勢科技防病毒研發暨技術支援中心TrendLabs，各種語言的員工將提供即時回應，24/7的全天候威脅監控和攻擊防禦，以探測、預防並清除攻擊。


　　趨勢科技綜合應用各種技術和資料收集方式——包括「蜜罐」、網路爬行器、客戶和合作夥伴內容提交、反饋回路以及TrendLabs威脅研究——趨勢科技能夠獲得關於最新威脅的各種情報。 通過趨勢科技雲安全中的惡意軟體資料庫以及TrendLabs研究、服務和支援中心對威脅資料進行分析。


　　卡巴斯基--全功能安全防護：無縫透明安全體系的搭建


　　　卡巴斯基的全功能安全防護旨在為互聯網資訊搭建一個無縫透明的安全體系：


　　1.針對互聯網環境中類型多樣的資訊安全威脅，卡巴斯基實驗室以反惡意程式引擎為核心，以技術集成為基礎，實現了資訊安全軟體的功能平臺化。 系統安全、線上安全、內容過濾和反惡意程式等核心功能可以在全功能安全軟體的平臺上實現統一、有序和立體的安全防禦，而不是不同類型和功能的產品的雜湊;


2.在強大的後臺技術分析能力和線上透明交互模式的支援下，卡巴斯基全功能安全軟體2009可以在使用者「知情並同意(Awareness&Approval)」的情況下線上收集、分析( OnlineRealtimeCollecting&Analysing)使用者電腦中可疑的病毒和木馬等惡意程式樣本，並且通過平均每小時更新1次的全球反病毒資料庫進行使用者分發( InstantSolutionDistribution)。 從而實現病毒及木馬等惡意程式的線上收集、即時分析及解決方案線上分發的「卡巴斯基安全網路」，即「雲安全」技術。 卡巴斯基全功能安全軟體2009通過「卡巴斯基安全網路」，將「雲安全」技術透明地應用於廣大電腦使用者，使得全球的卡巴斯基使用者組成了一個具有超高智慧的安全防禦網，能夠在第一時間對新的威脅產生免疫力，杜絕安全威脅的侵害。 "卡巴斯基安全網路"經過了卡巴斯基實驗室長期的研發和測試，具有極高的穩定性和成熟度。 因此，才能夠率先在全功能安全軟體2009正式版的產品中直接為使用者提供服務。


　　3.通過扁平化的服務體系實現使用者與技術後臺的零距離對接。 卡巴斯基擁有全球領先的惡意程式樣本中心及惡意程式分析平臺，每小時更新的反病毒資料庫能夠保障使用者電腦的安全防禦能力與技術後臺的零距離對接。 在卡巴斯基的全功能安全的防禦體系中，所有使用者都是互聯網安全的主動參與者和安全技術革新的即時受惠者。


　　McAfee推雲安全


　　著名安全廠商McAfee宣佈，將推出基於雲計算的安全系統Artemis。 該系統能夠保護電腦免受病毒、木馬或其他安全威脅的侵害。


　　McAfee旗下AvertLabs的研究人員表示，該系統能夠縮短收集、檢測惡意軟體的時間，及配置整個解決方案的時間。


　　隨著安全系統的發展，這一時間已經從以往的幾天減少到數小時，目前又下降到"數毫秒"。


　　AvertLabs安全研究及通信主管DaveMarcus表示："Artemis系統管理一個視窗，企業使用者的所有活動都在該視窗中進行，而該視窗將會持續分析有無惡意軟體。 Artemis的目的是為了使所用時間最小化。 "


　　傳統安全系統使用威脅簽名資料庫來管理惡意軟體資訊，而作為一款雲計算服務，Artemis可以在簽名檔尚未發佈之前就對威脅作出反應。


　　Marcus表示，AvertLabs研究人員每週會發現上萬個新的簽名檔。 如果使用者電腦裝有Artemis系統，那麼一旦電腦被檢測到存在可疑檔，那麼會立刻與McAfee伺服器聯繫，以確定可疑檔是否是惡意的。 通過這一方式，McAfee還能利用所收集的資料為企業提供定制的安全解決方案。


　　專家表示，Artemis能夠提供即時的安全保護。 而在傳統的基於簽名的安全系統中，發現安全威脅和採取保護措施之間往往存在時間延遲。


　　IDC安全產品研究主管CharlesKolodgy表示："傳統的基於簽名的惡意軟體檢測方式存在不足。 隨著使用者行為的改變，安全威脅也在改變，惡意軟體檢測技術總體上來看沒有保持同步發展。 "


　　瑞星「雲安全」計畫白皮書


　　「雲安全」(CloudSecurity)計畫：將使用者和瑞星技術平臺通過互聯網緊密相連，組成一個龐大的木馬/惡意軟體監測、查殺網路，每個「瑞星卡卡6.0」使用者都為「雲安全」(CloudSecurity) 計畫貢獻一份力量，同時分享其他所有使用者的安全成果。


　　「瑞星卡卡6.0」的「自動線上診斷」模組，是「雲安全」(CloudSecurity)計畫的核心之一，每當使用者啟動電腦，該模組都會自動檢測並提取電腦中的可疑木馬樣本，並上傳到瑞星「木馬/惡意軟體自動分析系統」( RsAutomatedMalwareAnalyzer，簡稱RsAMA)，整個過程只需要幾秒鐘。 隨後RsAMA將把分析結果回饋給使用者，查殺木馬病毒，並通過「瑞星安全資料庫」(RisingSecurityDatabase，簡稱RsSD)，分享給其他所有「瑞星卡卡6.0」使用者。


　　由於此過程全部通過互聯網並經程式自動控制，可以在最大程度上提高使用者對木馬和病毒的防範能力。 理想狀態下，從一個盜號木馬從攻擊某台電腦，到整個「雲安全」(CloudSecurity)網路對其擁有免疫、查殺能力，僅需幾秒的時間。


　　「雲安全」(CloudSecurity)計畫：瑞星如何每天處理10萬個新木馬病毒


　　瑞星如何分析、處理每天收到的8-10萬個新木馬病毒樣本的呢?光憑人力肯定是無法解決這個問題，「雲安全」(CloudSecurity)計畫的核心是瑞星「木馬/惡意軟體自動分析系統」( RsAutomatedMalwareAnalyzer，簡稱RsAMA)，該系統能夠對大量病毒樣本進行動分類與共性特徵分析。 借助該系統，能讓病毒分析工程師的處理效率成倍提高。


　　雖然每天收集到的木馬病毒樣本有8~10萬個，但是瑞星的自動分析系統能夠根據木馬病毒的變種群自動進行分類，並利用「變種病毒家族特徵提取技術」分別將每個變種群的特徵進行提取。 這樣，對數萬個新木馬病毒進行自動分析處理後，真正需要真正人工分析的新木馬病毒樣本只有數百個。


　　江民打造「雲安全」+「沙箱」


　　　以雲方式構建的大規模特徵庫並不足以應對安全威脅的迅速增長，國內外殺毒廠商還需要在核心殺毒技術上下足功夫，例如虛擬機器、啟發式、沙箱、智慧主動防禦等未知病毒防範技術都需要加強和發展， 多數殺毒軟體本身的自我保護能力也需要加強。 病毒增長的再快，只是量的變化，而現實當中，造成巨大損失的，卻往往是極少數應用了新病毒技術的惡性病毒，。


　　「雲安全」必然要建立在「內核級自我保護」「沙箱」「虛擬機器」等核心技術的基礎上才能顯出威力，沒有這些核心技術，殺毒軟體在病毒面前就可能會出現「有心無力」的尷尬，現實中許多殺毒軟體掃描發現了病毒，卻無力清除， 甚至反被病毒關閉的現象比比皆是。 這也是為什麼江民在推出KV2009時，首先強調的是「沙箱」「內核級自我保護」「智慧主動防禦」「虛擬機器」等核心技術，而把「雲安全」防毒系統排在後面的原因。 殺毒和其它行業一樣，首先是基礎要足夠強大，基礎不扎實，樓建的再高也不牢靠。


「沙箱」是一種更深層的系統內核級技術，與「虛擬機器」無論在技術原理還是在表現形式上都不盡相同，「沙箱」會接管病毒調用介面或函數的行為，並會在確認為病毒行為後實行回滾機制，讓系統復原，而「虛擬機器」並不具備回滾復原機制， 在激發病毒後，虛擬機器會根據病毒的行為特徵判斷為是某一類病毒，並調用引擎對該病毒進行清除，兩者之間有著本質的區別。 事實上，在對付新破壞入侵時，應用了「沙箱」的KV2009已經開始發揮了強大的效力。 有使用者在關閉江民KV2009殺毒軟體各種即時監控，僅開啟了「帶沙箱技術的主動防禦」模式，結果運行「掃蕩波」新病毒後，病毒的所有行為被攔截並抹除，沒有機會在系統中留下任何痕跡。


　　目前反病毒面臨的最主要問題是驅動型病毒對殺毒軟體的技術挑戰。 因此，目前反病毒的首要任務是進一步提升反病毒核心技術，在確保反病毒技術的前提下，充分借助「雲安全」防毒系統的快迅回應機制，打造「雲安全」加「沙箱」的雙重安全保障體系。