劉剛:“沙盤”只是在炒作 瑞星2001年就有
2009-08-27 07:51:15主持人:下面一個環節是抽獎儀式,有請瑞星研發部副總經理劉剛先生。
提問:想知道瑞星“云安全”是如何實現的?
主持人:有請研發部的劉總回答。
劉總:從單機變成
相關專題:共建可信任的互聯網 2008瑞星互聯網安全技術大會
主持人:下面一個環節是抽獎儀式,有請瑞星研發部副總經理劉剛先生。
提問:想知道瑞星“云安全”是如何實現的?
主持人:有請研發部的劉總回答。
劉總:從單機變成了網轉的繁育之后,對威脅的監控就更主動了就算用戶沒有加入“云安全”,他在更新病毒庫的時候也會得到相應的好處,對這些威脅的更新更及時。其次怎么實現的就比較復雜了,首先在客戶端上必須建立足夠強大的本機防御功能,比如說剛才提到的木馬行為檢測,還有腳本的行為檢測,以及其他的一些本機的問題,并且把這些功能利用互聯網把它聯網的話,什么意思呢?就是說由這個功能的聯動把它組建成一個非常大的立體的繁育網去捕獲每一個功能所攔截到的一些威脅信息,并且對這些威脅信息進行深層次的挖掘。
主持人:謝謝劉總的回答,還有什么問題?
提問:067是怎么解決的?
葉超:首先我們肯定要報告這個新聞,讓大家做好準備。另外樣本積極搜集,我們更新病毒庫,其實在我看來067雖然很嚴重,但是產生的效果遠遠沒有沖擊波大,在我看來這個病毒和普通的病毒差不多。067的現象是機器上莫名的中病毒了,至于說做到具體的木馬做完以后要看是什么木馬來利用這個漏洞進行傳播,因為它只是為木馬、蠕蟲等等的傳播提供了一個渠道,所以說中完以后會有什么現象呢?只能說是中病毒了,或者說程序崩了,具體的要看是什么木馬傳播的。如果說是盜號木馬產生的就是我會盜號,就是這樣子。
主持人:謝謝!大家還有什么問題嗎?
提問:瑞星更多的是提供在病毒通過的環節上,我想在這個環節上因為有很多的效果,比如說這半年來捕獲的數量是達到了近千萬,我想問一下后面的環節中對病毒的處理和分析有沒有這么大量的分解能力?如果把樣板轉化為特征以后,那么在用戶下載以后,沒有這么大的能力了……
劉剛:更精確的判斷,以目前來看,三年內不可能,因為帶寬的問題還有整體的計算能力問題都達不到這個要求,至于病毒庫的不斷增長還有計算量的要求,客戶可能會受不了,這個問題我認為對于瑞星是不存在的,瑞星從07版、08版到現在的09版,一直在優化病毒庫的算法、結構,在病毒進入沒有減少的情況下,我們的病毒庫已經在行業內是比較小的了,所以這個問題我們暫時不會遇見。就算在幾年后我們的資源戰略不斷的增加,這也會促使我們發展分布式查毒這樣一類的跟互聯網化的清楚檢測清毒的功能。
提問:我想請問一下,在“云安全”查毒的計算是在云端還是在用戶端,如果在云端技術計算的話,會不會導致自己的漏洞搶先被攻擊?
劉剛:這其實是一個很好的問題,很多人都擔心加入了“云安全”是不是自己的隱私就沒了?其實這個擔心是沒有必要的,首先瑞星的“云安全”不是無度的提取客戶端的所有信息,我們只提取跟威脅相關的分析后的信息,并且這個提取發送到瑞星的“云安全”服務端的行為是完全可以被用戶控制的,也就是說你們可以自主的選擇加入“云安全”或者不加入“云安全”。至于剛才說的信息的利用,這個在瑞星也不會存在,比如說我們現在上報了一些攔截的信息,比如說攔截到某個惡意行為做了一些系統修改或者說攔截到一些惡意行為更具體的惡意丸子,或者病毒本身的下載地址,這些跟威脅相關的信息就算被攔截對攻擊者來說也是無義的,因為這本身就是攻擊者的信息,這些信息不會帶有客戶端本身的一些特征的,比如說這個客戶端具體存在什么漏洞,或者其他的涉及客戶端隱私的問題是不會存在這里面的。
提問:我想問一下,現在我知道有些殺毒軟件沒有文件掃描的功能你怎么看待這個問題?
劉剛:我知道你指的是哪一個殺毒軟件,其實殺毒軟件沒有文件掃描這只是一個系統,其實你們仔細觀察的話會發現他們有文件監控的。特征串——這是他們攻擊的第一大目標,他們其實也在使用特征串,應用在文件監控上面,一些惡意行為沒有辦法精確的報出葉超說過的漏報的問題,如果定義的太深會誤報,定義的太松會漏報。第二個應用是在白名單上面,他們的行為因此主要使用行為分析的技術來做首要技術,所以它的誤報問題是非常嚴重的,相信隨著他的用戶量越來越大,這個問題會越來越暴露。如何抑制這種誤報的問題?他們用的就是特征串,所以這種東西我們認為這是非技術的商業的一些炒作,這個對于我們研發的這邊來看,基本上是沒有意見的。
提問:上午聽了你們介紹關于“云安全”的體系架構,從我的理解來講,希望能夠通過“云安全”利用互聯網上的架構,還有很多的合作伙伴一起來協同,針對這種惡意程序的處理,現在我想問的是不知道下午做沒做介紹,針對云的我解決方案里面,是否有過打算把信息安全,整個網絡安全的行業里面的其他一些針對某些技術領域的解決方案都拿到“云安全”架構里面?因為我想到這個問題是因為有些技術上面的東西,如果要說要這樣做的話,就意味著是一個龐大的體系架構,甚至需要定制架構的接口和標準,不知道有沒有這樣的內容?
劉剛:下午報告只介紹了行為分析這一大類的兩個具體的實現原理,其實不涉及到“云安全”更多的技術細節,比如說早晨介紹過的技術查殺平臺,這個平臺已經有標準了,我們指定的對互聯網上一些活躍木馬的判定功能,并且將它做成一個簡單的標準,提供給我們的合作伙伴,比如說迅雷、快車還有其他的一些客戶端,至于您剛才說的具體的繁育的功能或者說一些標準,我們會陸續的討論。其實在瑞星看來,我們是非常開放的,也不排除和我們的同行業中的一些戰友進行合作,就是把更多的安全軟件納入到“云安全”的架構里面來。
提問:現在的瑞星有沒有沙盤的技術?
劉剛:沙盤被過渡炒作了,大家理解一下沙盤是什么作用?在沙盤做一些操作是隨時可以被忽略的,仔細的想,虛擬機呢?是不是沙盤?早在01年瑞星就已經完成了DOS虛擬機的構建,03年完成了Windows的虛擬機構建,其實這不是一個新的技術,瑞星在03年的時候做Windows虛擬機的時候主要的應用就是用來進行行為分析,CRH類的病毒,主要是感染性的病毒進行行為判定。接著非常成功的一個應用是04年,Windows虛擬機的脫殼的應用,運用這種虛擬機的脫殼,大家如果去了解它的話就能非常明確的指出,那其實就是一個非常典型的沙盤。一個被加殼的程序在虛擬機里面運行,并且在虛擬機里面展開內存,展開加密或者壓縮的部分,接著我們通過把虛擬機里的展開完的內存down出來,然后再來得到結果。這就是非常典型的沙盤,只不過現在有很多做數據存儲的廠商,比如說以前在DOS底下我所知道的磁盤的,硬盤的還原卡,那些廠商他們為了在Windows下的環境,他們去開發了很多這種軟件,他們在接下來的互聯網化的這個浪潮中明顯發現自己的生存遇到了問題,因為大家越來越不會去使用這種工具,他們就炒作一些概念,這個基于沙盤的,非常典型的我把磁盤做虛擬化,然后對這些磁盤的寫操作都可以被記錄,這個是非常明顯的,他把這個是沙盤,其實這些技術是非常早,或者說沒有出沙盤這個名詞的時候他們已經在用了。還有非常典型的IE,他也號稱是沙盤,他虛擬化了IE的一些文件操作,注冊表操作,但是實際上它依然是不安全的。為什么呢?因為它虛擬化了一部分的資源,對這些資源進行了重定向,但是他控制不住有可能繞開他的其他資源,或者說系統調用。比如說內存代碼的注入,攻擊完了IE,完全可以利用IE這個進程去攻擊其他的進程,還有其他的非常多的應用。如果想做一個非常理想化的沙盤,那么首推我們不會建議大家基于監控類的去做,肯定是基于虛擬機的,因為虛擬機對系統的傷害是完全可控制的。