瑞星“云安全”發展歷程
2009-08-27 07:52:04摘要:瑞星的“云安全”系統并不是簡單的搜索引擎技術的引入,它提出了一個更符合互聯網精神的安全防御思想,并成功的將運用這一防御思想構建了第一個區域互聯網安全威脅防御平臺。
第一節“云安全”發展回顧
?
??? 1.瑞星“云安全”雛形:瑞星疫情檢測網?? 2005.07—2007.12
?
??? 2005年7月7日,瑞星疫情監測網正式啟動。該網絡可以處理新病毒樣本、攻擊案例統計等,并根據這些信息作出處理。從某種意義上說,這是瑞星“云安全”系統最原始的雛形。
?
??? 2007年12月,瑞星卡卡5.0beta版發布,其中加入“可疑文件在線診斷”功能,用戶遇到系統異常后,用“瑞星卡卡”掃描后,軟件會把可疑文件列出來,用戶點擊“一鍵搞定”之后,會把這些可疑文件上傳到瑞星服務器,由服務器對其進行分析,并給用戶反饋分析結果。
?
??? 這是瑞星“云安全”系統在原始雛形上的進一步發展,其服務器端的很多功能已經具備,只不過客戶端的功能相對較弱,而且整體思想還停留在單機防毒之上,算是“云安全”發展過程中一個重要的階段,
?
??? 2.瑞星“云安全”試運行? 2008.03
?
2008年3月,初步搭建成功的云安全系統,與瑞星卡卡5.0對接,其中具備“在線診斷”功能,用戶電腦上掃描到的可疑文件上傳到“云安全”服務器,服務器返回處理結果,幫助用戶查殺木馬和病毒。
?
??? 3.瑞星“云安全1.0”?? 2008.07
?
2008年7月,隨著瑞星卡卡6.0的發布,瑞星正式推出“云安全”系統,用戶安裝瑞星卡卡之后即可加入“云安全”。云安全1.0實現了對互聯網上新出現的木馬病毒全面、精確、實時的監控和查殺。
?
??? 4.瑞星“云安全2.0”?? 2008.12
?
??? 2008年12月,瑞星2009新品發布,“云安全”系統升級到2.0。在檢測、查殺木馬病毒的基礎上,增加了對掛馬網站的攔截、監測和封殺功能。并于2009年1月推出全球唯一一個“惡意網站監測網”(mwm.rising.com.cn)。
?
??? 從本質上說,瑞星“云安全”建立的初衷,就是應對“木馬病毒互聯網化”的危機,以殺毒軟件的互聯網化來應對木馬病毒的互聯網化。?
第二節 “云安全”的本質
?
??? 在瑞星“云安全”系統建立初期,安全行業內部有兩種技術路線的爭論:是依靠海量服務器、基于搜索引擎技術的“云架構”系統,還是依靠分布在互聯網每個角落的用戶搭建的“云安全”系統。
?? “云架構”的思路是,既然用戶受到的安全威脅來自互聯網,基本局限于網頁、郵件、互聯網文件這三種途徑。那么,把互聯網上的這三種東西都標上安全等級,用網頁爬蟲去搜索網頁,發現惡意代碼就標上不安全,如果用戶企圖訪問這個網頁,我就返回結果阻止。同樣,郵件和文件也這樣做,理論上可以阻止網絡上的所有攻擊。
?
?? “云安全”的思路是,依靠分布在互聯網每個角落的用戶,把所有用戶都連接起來,其中一個受到攻擊,則服務器收到其上傳的信息之后,把分析結果返回給網絡中的所有端點。這樣無論出現多少種網絡威脅,只要最初遭到攻擊的客戶端及時上報信息,則經過服務器的分析處理,返回結果之后,整個網絡可以在最短之間內獲取對該攻擊的免疫能力。
?
?? 這兩種思路,在不考慮硬件處理能力的情況下,都可以達到很好的效果。“云架構”其實是延續單臺計算機防毒的思路,企圖以中心服務器建立整個互聯網范圍內的“病毒特征庫”。
?
?? 由于現在互聯網內容爆炸,每天新出現的數據以TB計算,如此巨量的網頁、視頻、郵件、文件,任何一個商業公司都無法把它們都全部、實時的標明安全等級,并存儲在數據庫里供用戶進行安全查詢。這種思路是行不通的。?
(某國外廠商的云安全系統邏輯圖)
?
??? 盡管有很多技術共通,例如大規模并行運算、網頁爬蟲等技術,在瑞星“云安全”中也有應用,但是,由于安全行業特殊的性質,簡單的套用搜索引擎的技術并不適合,我們都知道互聯網的內容在不斷的爆炸性的增長,再好的搜索技術也做不到實時匯集更新,在頁面信息搜索領域我們可以容許檢索到的信息過時,但在反病毒領域,如果提供過時的病毒特征信息則很可能帶來嚴重的誤報。
?
??? 這種思路本質上沒有改變防御系統的模式、只不過是更多的利用了網絡技術,并不沒有發揮互聯網共享協作的巨大優勢。
?
第三節 安全防御系統的互聯網化-瑞星云安全
???
??? 瑞星的“云安全”系統并不是簡單的搜索引擎技術的引入,它提出了一個更符合互聯網精神的安全防御思想,并成功的將運用這一防御思想構建了第一個區域互聯網安全威脅防御平臺。
??? 客戶端不只是簡單的從服務器“獲取”特征碼、掛馬網址等信息,而且一旦遭遇攻擊,會把信息“貢獻”給服務器。每一臺客戶端都是既“索取”又“貢獻”,這樣整個網絡才能有很強的自我完善、自我升級的能力。
??? 瑞星云安全的三大特點:
?
??? 1、改變了反病毒工程師的工作內容,從手工分析病毒到“人工+機器智能”,處理效率更高。
?
??? 2、絕大多數需要耗費資源放到了服務器端。例如虛擬機里進行的仿真環境分析病毒、通過網頁爬蟲搜索與掛馬網站連接的黑客網站等等。客戶端只要連接服務器,就可以獲取最新的功能。這樣,“云安全”客戶端(瑞星殺毒軟件)的體積就會越來越小,而功能則越來越強,可以最大限度減少對用戶電腦資源的消耗。
?
??? 3、通過實時分析海量客戶端上報的攻擊信息,研究其中的掛馬網站發展趨勢、智能主動防御攔截到的可疑文件行為,瑞星可以事先預測到大規模的掛馬網站攻擊、病毒感染等,從而提前做好相應的防范。
?
第四節 “云安全”改變了反病毒行業
?
??? 研究方向更加明確,全面精確的掌握“安全威脅”動向
?
??? 反病毒工程師不但可以準確的了解用戶感染了哪些木馬病毒,被哪些掛馬網站攻擊,通過云安全系統對這些威脅信息的深入挖掘。還可以對互聯網安全威脅做準確的預估,就像人們通過衛星云圖預告天氣一樣,瑞星云安全系統可以準確預告互聯網上的安全大事件。
?
??? 例如,近期微軟公告的視頻控件漏洞、Office漏洞等,在補丁未發布之前,瑞星殺毒軟件就可以通過“網頁防掛馬模塊”攔截,無需等待微軟的補丁。這就是因為通過分析“云安全”系統上報的掛馬攻擊行為,把這些危險行為做成“行為特征庫”加入到瑞星全功能安全軟件中,使其擁有了“免疫”能力。
??? 防御系統的構建,改變反病毒行業的模式
?
??? 傳統反病毒工程師都是這樣工作的:用戶用電子郵件上報可疑文件,工程師手工分析,給用戶回信,同時把病毒特征碼加入殺毒軟件的特征庫。??
?
??? 有了云安全系統,瑞星反病毒工程師的工作大不一樣:真正需要手工分析的病毒寥寥無幾,大多數工程師都在分析“云安全”系統里的病毒趨勢、掛馬網站行為等等,從“分析單個病毒”到“分析病毒群的趨勢、特征”,這是巨大的轉變。
?
??? 從某種意義說,以前的工程師有點像中醫,某個人來看病,根據個體信息來診斷、開藥。而現在的反病毒工程師則像在生產疫苗,一群病毒來了之后,分析其中共同的特征,開出針對這群病毒的疫苗。這些疫苗不僅可以防范已有的病毒,還能防范將來出現的同類病毒。
?
這就是為什么微軟視頻控件漏洞出現后,瑞星用戶無需升級即可將其攔截。
?
?
第五節 暢想未來的“云安全”
?
??? 云安全的客戶個性化體驗
?
??? 隨著云安全的不斷發展,用戶的客戶端防御系統也將變的更加的智能化、個性化。我們甚至可以針對每個用戶制定不同的病毒庫,制定不同的主動防御策略,提供個性化的安全威脅預警信息。
?
??? 云安全融入互聯網
???
??? 客戶端的安全功能協作化將深入到不同類型的上網設備上。例如:手機、上網本,甚至嵌入智能冰箱、智能電視中。威脅從互聯網上來就應該從互聯網上進行防御。未來的互聯網本身就是一個殺毒軟件。
?
??? 更小的體積,查殺能力更強
?
??? 在云安全系統的支持下,未來將出現所有功能都運行在服務器端的殺毒軟件,用戶電腦上只需要安裝幾百K的客戶端,查殺、升級、監控等所有功能都通過互聯網實時提供,真正達到體積小、查毒能力強的超級殺毒軟件。
?
??? 查殺一切未知病毒,使用戶徹底安全
?
??? 未來的殺毒軟件將可以提前預知用戶遇到的安全威脅,事先將病毒碼、行為特征等加入服務器中,不會再有殺毒軟件殺不掉、認不出的病毒,從而使用戶得到真正的安全,完全擺脫“中毒”的困擾。[責任編輯:鄭國維]