瑞星“云安全”發(fā)展歷程
2009-08-27 07:52:04摘要:瑞星的“云安全”系統(tǒng)并不是簡(jiǎn)單的搜索引擎技術(shù)的引入,它提出了一個(gè)更符合互聯(lián)網(wǎng)精神的安全防御思想,并成功的將運(yùn)用這一防御思想構(gòu)建了第一個(gè)區(qū)域互聯(lián)網(wǎng)安全威脅防御平臺(tái)。
第一節(jié)“云安全”發(fā)展回顧
?
??? 1.瑞星“云安全”雛形:瑞星疫情檢測(cè)網(wǎng)?? 2005.07—2007.12
?
??? 2005年7月7日,瑞星疫情監(jiān)測(cè)網(wǎng)正式啟動(dòng)。該網(wǎng)絡(luò)可以處理新病毒樣本、攻擊案例統(tǒng)計(jì)等,并根據(jù)這些信息作出處理。從某種意義上說,這是瑞星“云安全”系統(tǒng)最原始的雛形。
?
??? 2007年12月,瑞星卡卡5.0beta版發(fā)布,其中加入“可疑文件在線診斷”功能,用戶遇到系統(tǒng)異常后,用“瑞星卡卡”掃描后,軟件會(huì)把可疑文件列出來,用戶點(diǎn)擊“一鍵搞定”之后,會(huì)把這些可疑文件上傳到瑞星服務(wù)器,由服務(wù)器對(duì)其進(jìn)行分析,并給用戶反饋分析結(jié)果。
?
??? 這是瑞星“云安全”系統(tǒng)在原始雛形上的進(jìn)一步發(fā)展,其服務(wù)器端的很多功能已經(jīng)具備,只不過客戶端的功能相對(duì)較弱,而且整體思想還停留在單機(jī)防毒之上,算是“云安全”發(fā)展過程中一個(gè)重要的階段,
?
??? 2.瑞星“云安全”試運(yùn)行? 2008.03
?
2008年3月,初步搭建成功的云安全系統(tǒng),與瑞星卡卡5.0對(duì)接,其中具備“在線診斷”功能,用戶電腦上掃描到的可疑文件上傳到“云安全”服務(wù)器,服務(wù)器返回處理結(jié)果,幫助用戶查殺木馬和病毒。
?
??? 3.瑞星“云安全1.0”?? 2008.07
?
2008年7月,隨著瑞星卡卡6.0的發(fā)布,瑞星正式推出“云安全”系統(tǒng),用戶安裝瑞星卡卡之后即可加入“云安全”。云安全1.0實(shí)現(xiàn)了對(duì)互聯(lián)網(wǎng)上新出現(xiàn)的木馬病毒全面、精確、實(shí)時(shí)的監(jiān)控和查殺。
?
??? 4.瑞星“云安全2.0”?? 2008.12
?
??? 2008年12月,瑞星2009新品發(fā)布,“云安全”系統(tǒng)升級(jí)到2.0。在檢測(cè)、查殺木馬病毒的基礎(chǔ)上,增加了對(duì)掛馬網(wǎng)站的攔截、監(jiān)測(cè)和封殺功能。并于2009年1月推出全球唯一一個(gè)“惡意網(wǎng)站監(jiān)測(cè)網(wǎng)”(mwm.rising.com.cn)。
?
??? 從本質(zhì)上說,瑞星“云安全”建立的初衷,就是應(yīng)對(duì)“木馬病毒互聯(lián)網(wǎng)化”的危機(jī),以殺毒軟件的互聯(lián)網(wǎng)化來應(yīng)對(duì)木馬病毒的互聯(lián)網(wǎng)化。?
第二節(jié) “云安全”的本質(zhì)
?
??? 在瑞星“云安全”系統(tǒng)建立初期,安全行業(yè)內(nèi)部有兩種技術(shù)路線的爭(zhēng)論:是依靠海量服務(wù)器、基于搜索引擎技術(shù)的“云架構(gòu)”系統(tǒng),還是依靠分布在互聯(lián)網(wǎng)每個(gè)角落的用戶搭建的“云安全”系統(tǒng)。
?? “云架構(gòu)”的思路是,既然用戶受到的安全威脅來自互聯(lián)網(wǎng),基本局限于網(wǎng)頁、郵件、互聯(lián)網(wǎng)文件這三種途徑。那么,把互聯(lián)網(wǎng)上的這三種東西都標(biāo)上安全等級(jí),用網(wǎng)頁爬蟲去搜索網(wǎng)頁,發(fā)現(xiàn)惡意代碼就標(biāo)上不安全,如果用戶企圖訪問這個(gè)網(wǎng)頁,我就返回結(jié)果阻止。同樣,郵件和文件也這樣做,理論上可以阻止網(wǎng)絡(luò)上的所有攻擊。
?
?? “云安全”的思路是,依靠分布在互聯(lián)網(wǎng)每個(gè)角落的用戶,把所有用戶都連接起來,其中一個(gè)受到攻擊,則服務(wù)器收到其上傳的信息之后,把分析結(jié)果返回給網(wǎng)絡(luò)中的所有端點(diǎn)。這樣無論出現(xiàn)多少種網(wǎng)絡(luò)威脅,只要最初遭到攻擊的客戶端及時(shí)上報(bào)信息,則經(jīng)過服務(wù)器的分析處理,返回結(jié)果之后,整個(gè)網(wǎng)絡(luò)可以在最短之間內(nèi)獲取對(duì)該攻擊的免疫能力。
?
?? 這兩種思路,在不考慮硬件處理能力的情況下,都可以達(dá)到很好的效果。“云架構(gòu)”其實(shí)是延續(xù)單臺(tái)計(jì)算機(jī)防毒的思路,企圖以中心服務(wù)器建立整個(gè)互聯(lián)網(wǎng)范圍內(nèi)的“病毒特征庫(kù)”。
?
?? 由于現(xiàn)在互聯(lián)網(wǎng)內(nèi)容爆炸,每天新出現(xiàn)的數(shù)據(jù)以TB計(jì)算,如此巨量的網(wǎng)頁、視頻、郵件、文件,任何一個(gè)商業(yè)公司都無法把它們都全部、實(shí)時(shí)的標(biāo)明安全等級(jí),并存儲(chǔ)在數(shù)據(jù)庫(kù)里供用戶進(jìn)行安全查詢。這種思路是行不通的。?
(某國(guó)外廠商的云安全系統(tǒng)邏輯圖)
?
??? 盡管有很多技術(shù)共通,例如大規(guī)模并行運(yùn)算、網(wǎng)頁爬蟲等技術(shù),在瑞星“云安全”中也有應(yīng)用,但是,由于安全行業(yè)特殊的性質(zhì),簡(jiǎn)單的套用搜索引擎的技術(shù)并不適合,我們都知道互聯(lián)網(wǎng)的內(nèi)容在不斷的爆炸性的增長(zhǎng),再好的搜索技術(shù)也做不到實(shí)時(shí)匯集更新,在頁面信息搜索領(lǐng)域我們可以容許檢索到的信息過時(shí),但在反病毒領(lǐng)域,如果提供過時(shí)的病毒特征信息則很可能帶來嚴(yán)重的誤報(bào)。
?
??? 這種思路本質(zhì)上沒有改變防御系統(tǒng)的模式、只不過是更多的利用了網(wǎng)絡(luò)技術(shù),并不沒有發(fā)揮互聯(lián)網(wǎng)共享協(xié)作的巨大優(yōu)勢(shì)。
?
第三節(jié) 安全防御系統(tǒng)的互聯(lián)網(wǎng)化-瑞星云安全
???
??? 瑞星的“云安全”系統(tǒng)并不是簡(jiǎn)單的搜索引擎技術(shù)的引入,它提出了一個(gè)更符合互聯(lián)網(wǎng)精神的安全防御思想,并成功的將運(yùn)用這一防御思想構(gòu)建了第一個(gè)區(qū)域互聯(lián)網(wǎng)安全威脅防御平臺(tái)。
??? 客戶端不只是簡(jiǎn)單的從服務(wù)器“獲取”特征碼、掛馬網(wǎng)址等信息,而且一旦遭遇攻擊,會(huì)把信息“貢獻(xiàn)”給服務(wù)器。每一臺(tái)客戶端都是既“索取”又“貢獻(xiàn)”,這樣整個(gè)網(wǎng)絡(luò)才能有很強(qiáng)的自我完善、自我升級(jí)的能力。
??? 瑞星云安全的三大特點(diǎn):
?
??? 1、改變了反病毒工程師的工作內(nèi)容,從手工分析病毒到“人工+機(jī)器智能”,處理效率更高。
?
??? 2、絕大多數(shù)需要耗費(fèi)資源放到了服務(wù)器端。例如虛擬機(jī)里進(jìn)行的仿真環(huán)境分析病毒、通過網(wǎng)頁爬蟲搜索與掛馬網(wǎng)站連接的黑客網(wǎng)站等等。客戶端只要連接服務(wù)器,就可以獲取最新的功能。這樣,“云安全”客戶端(瑞星殺毒軟件)的體積就會(huì)越來越小,而功能則越來越強(qiáng),可以最大限度減少對(duì)用戶電腦資源的消耗。
?
??? 3、通過實(shí)時(shí)分析海量客戶端上報(bào)的攻擊信息,研究其中的掛馬網(wǎng)站發(fā)展趨勢(shì)、智能主動(dòng)防御攔截到的可疑文件行為,瑞星可以事先預(yù)測(cè)到大規(guī)模的掛馬網(wǎng)站攻擊、病毒感染等,從而提前做好相應(yīng)的防范。
?
第四節(jié) “云安全”改變了反病毒行業(yè)
?
??? 研究方向更加明確,全面精確的掌握“安全威脅”動(dòng)向
?
??? 反病毒工程師不但可以準(zhǔn)確的了解用戶感染了哪些木馬病毒,被哪些掛馬網(wǎng)站攻擊,通過云安全系統(tǒng)對(duì)這些威脅信息的深入挖掘。還可以對(duì)互聯(lián)網(wǎng)安全威脅做準(zhǔn)確的預(yù)估,就像人們通過衛(wèi)星云圖預(yù)告天氣一樣,瑞星云安全系統(tǒng)可以準(zhǔn)確預(yù)告互聯(lián)網(wǎng)上的安全大事件。
?
??? 例如,近期微軟公告的視頻控件漏洞、Office漏洞等,在補(bǔ)丁未發(fā)布之前,瑞星殺毒軟件就可以通過“網(wǎng)頁防掛馬模塊”攔截,無需等待微軟的補(bǔ)丁。這就是因?yàn)橥ㄟ^分析“云安全”系統(tǒng)上報(bào)的掛馬攻擊行為,把這些危險(xiǎn)行為做成“行為特征庫(kù)”加入到瑞星全功能安全軟件中,使其擁有了“免疫”能力。
??? 防御系統(tǒng)的構(gòu)建,改變反病毒行業(yè)的模式
?
??? 傳統(tǒng)反病毒工程師都是這樣工作的:用戶用電子郵件上報(bào)可疑文件,工程師手工分析,給用戶回信,同時(shí)把病毒特征碼加入殺毒軟件的特征庫(kù)。??
?
??? 有了云安全系統(tǒng),瑞星反病毒工程師的工作大不一樣:真正需要手工分析的病毒寥寥無幾,大多數(shù)工程師都在分析“云安全”系統(tǒng)里的病毒趨勢(shì)、掛馬網(wǎng)站行為等等,從“分析單個(gè)病毒”到“分析病毒群的趨勢(shì)、特征”,這是巨大的轉(zhuǎn)變。
?
??? 從某種意義說,以前的工程師有點(diǎn)像中醫(yī),某個(gè)人來看病,根據(jù)個(gè)體信息來診斷、開藥。而現(xiàn)在的反病毒工程師則像在生產(chǎn)疫苗,一群病毒來了之后,分析其中共同的特征,開出針對(duì)這群病毒的疫苗。這些疫苗不僅可以防范已有的病毒,還能防范將來出現(xiàn)的同類病毒。
?
這就是為什么微軟視頻控件漏洞出現(xiàn)后,瑞星用戶無需升級(jí)即可將其攔截。
?
?
第五節(jié) 暢想未來的“云安全”
?
??? 云安全的客戶個(gè)性化體驗(yàn)
?
??? 隨著云安全的不斷發(fā)展,用戶的客戶端防御系統(tǒng)也將變的更加的智能化、個(gè)性化。我們甚至可以針對(duì)每個(gè)用戶制定不同的病毒庫(kù),制定不同的主動(dòng)防御策略,提供個(gè)性化的安全威脅預(yù)警信息。
?
??? 云安全融入互聯(lián)網(wǎng)
???
??? 客戶端的安全功能協(xié)作化將深入到不同類型的上網(wǎng)設(shè)備上。例如:手機(jī)、上網(wǎng)本,甚至嵌入智能冰箱、智能電視中。威脅從互聯(lián)網(wǎng)上來就應(yīng)該從互聯(lián)網(wǎng)上進(jìn)行防御。未來的互聯(lián)網(wǎng)本身就是一個(gè)殺毒軟件。
?
??? 更小的體積,查殺能力更強(qiáng)
?
??? 在云安全系統(tǒng)的支持下,未來將出現(xiàn)所有功能都運(yùn)行在服務(wù)器端的殺毒軟件,用戶電腦上只需要安裝幾百K的客戶端,查殺、升級(jí)、監(jiān)控等所有功能都通過互聯(lián)網(wǎng)實(shí)時(shí)提供,真正達(dá)到體積小、查毒能力強(qiáng)的超級(jí)殺毒軟件。
?
??? 查殺一切未知病毒,使用戶徹底安全
?
??? 未來的殺毒軟件將可以提前預(yù)知用戶遇到的安全威脅,事先將病毒碼、行為特征等加入服務(wù)器中,不會(huì)再有殺毒軟件殺不掉、認(rèn)不出的病毒,從而使用戶得到真正的安全,完全擺脫“中毒”的困擾。[責(zé)任編輯:鄭國(guó)維]