劉剛：“沙盤”只是在炒作 瑞星2001年就有

相關(guān)專題：共建可信任的互聯(lián)網(wǎng) 2008瑞星互聯(lián)網(wǎng)安全技術(shù)大會

主持人：下面一個環(huán)節(jié)是抽獎儀式，有請瑞星研發(fā)部副總經(jīng)理劉剛先生。

提問：想知道瑞星“云安全”是如何實現(xiàn)的？

主持人：有請研發(fā)部的劉總回答。

劉總：從單機(jī)變成了網(wǎng)轉(zhuǎn)的繁育之后，對威脅的監(jiān)控就更主動了就算用戶沒有加入“云安全”，他在更新病毒庫的時候也會得到相應(yīng)的好處，對這些威脅的更新更及時。其次怎么實現(xiàn)的就比較復(fù)雜了，首先在客戶端上必須建立足夠強(qiáng)大的本機(jī)防御功能，比如說剛才提到的木馬行為檢測，還有腳本的行為檢測，以及其他的一些本機(jī)的問題，并且把這些功能利用互聯(lián)網(wǎng)把它聯(lián)網(wǎng)的話，什么意思呢？就是說由這個功能的聯(lián)動把它組建成一個非常大的立體的繁育網(wǎng)去捕獲每一個功能所攔截到的一些威脅信息，并且對這些威脅信息進(jìn)行深層次的挖掘。

主持人：謝謝劉總的回答，還有什么問題？

提問：067是怎么解決的？

葉超：首先我們肯定要報告這個新聞，讓大家做好準(zhǔn)備。另外樣本積極搜集，我們更新病毒庫，其實在我看來067雖然很嚴(yán)重，但是產(chǎn)生的效果遠(yuǎn)遠(yuǎn)沒有沖擊波大，在我看來這個病毒和普通的病毒差不多。067的現(xiàn)象是機(jī)器上莫名的中病毒了，至于說做到具體的木馬做完以后要看是什么木馬來利用這個漏洞進(jìn)行傳播，因為它只是為木馬、蠕蟲等等的傳播提供了一個渠道，所以說中完以后會有什么現(xiàn)象呢？只能說是中病毒了，或者說程序崩了，具體的要看是什么木馬傳播的。如果說是盜號木馬產(chǎn)生的就是我會盜號，就是這樣子。

主持人：謝謝！大家還有什么問題嗎？

提問：瑞星更多的是提供在病毒通過的環(huán)節(jié)上，我想在這個環(huán)節(jié)上因為有很多的效果，比如說這半年來捕獲的數(shù)量是達(dá)到了近千萬，我想問一下后面的環(huán)節(jié)中對病毒的處理和分析有沒有這么大量的分解能力？如果把樣板轉(zhuǎn)化為特征以后，那么在用戶下載以后，沒有這么大的能力了……

劉剛：更精確的判斷，以目前來看，三年內(nèi)不可能，因為帶寬的問題還有整體的計算能力問題都達(dá)不到這個要求，至于病毒庫的不斷增長還有計算量的要求，客戶可能會受不了，這個問題我認(rèn)為對于瑞星是不存在的，瑞星從07版、08版到現(xiàn)在的09版，一直在優(yōu)化病毒庫的算法、結(jié)構(gòu)，在病毒進(jìn)入沒有減少的情況下，我們的病毒庫已經(jīng)在行業(yè)內(nèi)是比較小的了，所以這個問題我們暫時不會遇見。就算在幾年后我們的資源戰(zhàn)略不斷的增加，這也會促使我們發(fā)展分布式查毒這樣一類的跟互聯(lián)網(wǎng)化的清楚檢測清毒的功能。

提問：我想請問一下，在“云安全”查毒的計算是在云端還是在用戶端，如果在云端技術(shù)計算的話，會不會導(dǎo)致自己的漏洞搶先被攻擊？

劉剛：這其實是一個很好的問題，很多人都擔(dān)心加入了“云安全”是不是自己的隱私就沒了？其實這個擔(dān)心是沒有必要的，首先瑞星的“云安全”不是無度的提取客戶端的所有信息，我們只提取跟威脅相關(guān)的分析后的信息，并且這個提取發(fā)送到瑞星的“云安全”服務(wù)端的行為是完全可以被用戶控制的，也就是說你們可以自主的選擇加入“云安全”或者不加入“云安全”。至于剛才說的信息的利用，這個在瑞星也不會存在，比如說我們現(xiàn)在上報了一些攔截的信息，比如說攔截到某個惡意行為做了一些系統(tǒng)修改或者說攔截到一些惡意行為更具體的惡意丸子，或者病毒本身的下載地址，這些跟威脅相關(guān)的信息就算被攔截對攻擊者來說也是無義的，因為這本身就是攻擊者的信息，這些信息不會帶有客戶端本身的一些特征的，比如說這個客戶端具體存在什么漏洞，或者其他的涉及客戶端隱私的問題是不會存在這里面的。

提問：我想問一下，現(xiàn)在我知道有些殺毒軟件沒有文件掃描的功能你怎么看待這個問題？

劉剛：我知道你指的是哪一個殺毒軟件，其實殺毒軟件沒有文件掃描這只是一個系統(tǒng)，其實你們仔細(xì)觀察的話會發(fā)現(xiàn)他們有文件監(jiān)控的。特征串——這是他們攻擊的第一大目標(biāo)，他們其實也在使用特征串，應(yīng)用在文件監(jiān)控上面，一些惡意行為沒有辦法精確的報出葉超說過的漏報的問題，如果定義的太深會誤報，定義的太松會漏報。第二個應(yīng)用是在白名單上面，他們的行為因此主要使用行為分析的技術(shù)來做首要技術(shù)，所以它的誤報問題是非常嚴(yán)重的，相信隨著他的用戶量越來越大，這個問題會越來越暴露。如何抑制這種誤報的問題？他們用的就是特征串，所以這種東西我們認(rèn)為這是非技術(shù)的商業(yè)的一些炒作，這個對于我們研發(fā)的這邊來看，基本上是沒有意見的。

提問：上午聽了你們介紹關(guān)于“云安全”的體系架構(gòu)，從我的理解來講，希望能夠通過“云安全”利用互聯(lián)網(wǎng)上的架構(gòu)，還有很多的合作伙伴一起來協(xié)同，針對這種惡意程序的處理，現(xiàn)在我想問的是不知道下午做沒做介紹，針對云的我解決方案里面，是否有過打算把信息安全，整個網(wǎng)絡(luò)安全的行業(yè)里面的其他一些針對某些技術(shù)領(lǐng)域的解決方案都拿到“云安全”架構(gòu)里面？因為我想到這個問題是因為有些技術(shù)上面的東西，如果要說要這樣做的話，就意味著是一個龐大的體系架構(gòu)，甚至需要定制架構(gòu)的接口和標(biāo)準(zhǔn)，不知道有沒有這樣的內(nèi)容？

劉剛：下午報告只介紹了行為分析這一大類的兩個具體的實現(xiàn)原理，其實不涉及到“云安全”更多的技術(shù)細(xì)節(jié)，比如說早晨介紹過的技術(shù)查殺平臺，這個平臺已經(jīng)有標(biāo)準(zhǔn)了，我們指定的對互聯(lián)網(wǎng)上一些活躍木馬的判定功能，并且將它做成一個簡單的標(biāo)準(zhǔn)，提供給我們的合作伙伴，比如說迅雷、快車還有其他的一些客戶端，至于您剛才說的具體的繁育的功能或者說一些標(biāo)準(zhǔn)，我們會陸續(xù)的討論。其實在瑞星看來，我們是非常開放的，也不排除和我們的同行業(yè)中的一些戰(zhàn)友進(jìn)行合作，就是把更多的安全軟件納入到“云安全”的架構(gòu)里面來。

提問：現(xiàn)在的瑞星有沒有沙盤的技術(shù)？

劉剛：沙盤被過渡炒作了，大家理解一下沙盤是什么作用？在沙盤做一些操作是隨時可以被忽略的，仔細(xì)的想，虛擬機(jī)呢？是不是沙盤？早在01年瑞星就已經(jīng)完成了DOS虛擬機(jī)的構(gòu)建，03年完成了Windows的虛擬機(jī)構(gòu)建，其實這不是一個新的技術(shù)，瑞星在03年的時候做Windows虛擬機(jī)的時候主要的應(yīng)用就是用來進(jìn)行行為分析，CRH類的病毒，主要是感染性的病毒進(jìn)行行為判定。接著非常成功的一個應(yīng)用是04年，Windows虛擬機(jī)的脫殼的應(yīng)用，運用這種虛擬機(jī)的脫殼，大家如果去了解它的話就能非常明確的指出，那其實就是一個非常典型的沙盤。一個被加殼的程序在虛擬機(jī)里面運行，并且在虛擬機(jī)里面展開內(nèi)存，展開加密或者壓縮的部分，接著我們通過把虛擬機(jī)里的展開完的內(nèi)存down出來，然后再來得到結(jié)果。這就是非常典型的沙盤，只不過現(xiàn)在有很多做數(shù)據(jù)存儲的廠商，比如說以前在DOS底下我所知道的磁盤的，硬盤的還原卡，那些廠商他們?yōu)榱嗽赪indows下的環(huán)境，他們?nèi)ラ_發(fā)了很多這種軟件，他們在接下來的互聯(lián)網(wǎng)化的這個浪潮中明顯發(fā)現(xiàn)自己的生存遇到了問題，因為大家越來越不會去使用這種工具，他們就炒作一些概念，這個基于沙盤的，非常典型的我把磁盤做虛擬化，然后對這些磁盤的寫操作都可以被記錄，這個是非常明顯的，他把這個是沙盤，其實這些技術(shù)是非常早，或者說沒有出沙盤這個名詞的時候他們已經(jīng)在用了。還有非常典型的IE，他也號稱是沙盤，他虛擬化了IE的一些文件操作，注冊表操作，但是實際上它依然是不安全的。為什么呢？因為它虛擬化了一部分的資源，對這些資源進(jìn)行了重定向，但是他控制不住有可能繞開他的其他資源，或者說系統(tǒng)調(diào)用。比如說內(nèi)存代碼的注入，攻擊完了IE，完全可以利用IE這個進(jìn)程去攻擊其他的進(jìn)程，還有其他的非常多的應(yīng)用。如果想做一個非常理想化的沙盤，那么首推我們不會建議大家基于監(jiān)控類的去做，肯定是基于虛擬機(jī)的，因為虛擬機(jī)對系統(tǒng)的傷害是完全可控制的。

相關(guān)文章: