Invincea公司研究團隊的領導者是創(chuàng)始人阿努普·戈什博士，一名備受尊敬的互聯(lián)網安全分析師。他們的目標是阻止惡意軟件利用網絡瀏覽器入侵到計算機中，這正是我們真正需要的。

瀏覽器保護工具就是他們的工作成果。它通過對網絡瀏覽器進行隔離來實現(xiàn)對主機的保護。如果我沒有理解錯的話，網絡瀏覽器采用的是不同的操作系統(tǒng)。根據(jù)來自Invincea公司開發(fā)團隊的說法，瀏覽器保護工具包含了下面列出的創(chuàng)新功能：

◆有效保護模式：當瀏覽器保護工具檢測到來自惡意軟件的威脅后，用戶將獲得提醒，虛擬環(huán)境將被關閉。一個新虛擬環(huán)境將在幾秒鐘內啟動，以消除威脅和最大程度上減少中斷給用戶帶來的影響。

◆免簽名檢測模式：對惡意軟件進行確認標定不是必須的。也不需要用戶的輸入。瀏覽器保護工具會自動利用虛擬環(huán)境中的異常行為來對惡意軟件進行鑒定和確認。

◆不會對用戶正常使用造成影響：虛擬網絡瀏覽器在外觀上和普通瀏覽器沒有任何區(qū)別。

◆法醫(yī)數(shù)據(jù)庫：在惡意軟件攻擊時搜集到的數(shù)據(jù)會被發(fā)送到Invincea的數(shù)據(jù)服務器上，在那里，數(shù)據(jù)會被分析，相關結果會被用來增強瀏覽器保護工具客戶端的群體智慧。
　　
我往往傾向于采用創(chuàng)新思維的方式來分析問題，并且，從表面上來看，瀏覽器保護工具的功能確實很有效。這也是為什么我會有很多問題的原因。在這里，瀏覽器是位于智能沙箱環(huán)境中的?它們是怎樣發(fā)現(xiàn)沒有標注的惡意軟件的？

幸運的是，來自Invincea公司的專家回答了我?guī)缀跛械膯栴}。這里是他們答復的內容：

看起來，Invincea和美國國防部高級研究計劃局（DARPA）及喬治·梅森大學信息系統(tǒng)安全中心這兩家著名機構存在著聯(lián)系。你能向大家簡單介紹一下Invincea的創(chuàng)建歷史么？

Invincea：Invincea公司（前身為著名的安全司令部公司）是2006年建立的，當時阿努普·戈什博士剛剛結束了在DARPA為期4年的項目經理工作。與此同時，戈什博士還獲得了喬治·梅森大學信息系統(tǒng)安全中心的教師資格。他的研究課題之一，就是利用虛擬化技術，防止非受信用戶連接到用戶的桌面系統(tǒng)上。

出于對戈什博士的信任，DARPA資助了這一概念的早期原始模型。在獲得了潛在客戶的興趣和支持后，Invincea獲得了在原型上開發(fā)商業(yè)產品的創(chuàng)業(yè)資金。在2010年4月，Invincea推出了企業(yè)級產品，瀏覽器保護工具。

在觀看Invincea提供的在線演示時，我發(fā)現(xiàn)這樣一句話，“對于現(xiàn)今的網絡犯罪分子來說，瀏覽器是最容易的獲利途徑?！蹦隳芙忉屢幌拢瑸槭裁催@么說么？

Invincea：從市場營銷的角度來說，這句話說明了兩件事情：第一，對于現(xiàn)今的大部分惡意軟件來說，網絡瀏覽器都是最主要的傳播途徑。第二，大部分惡意軟件開發(fā)者和分發(fā)人傳播廣告軟件、垃圾郵件僵尸機器人、追蹤類惡意軟件和銀行類犯罪軟件僅僅是處于出于純粹的經濟目的。

使用者利用瀏覽器上網的時間，就會被這些代理感染。其中的一種模式就是，網站利用網絡瀏覽器的安全漏洞進行偷渡式下載。但更常見的模式是，在訪問網站的時間，軟件會自動下載，使用者會遭到欺騙，而選擇安裝和運行。

取決于設計的類型，安裝好的惡意軟件可以做很多事情：發(fā)送垃圾郵件、展示廣告、追蹤使用者的在線活動情況、截取網絡證書，甚至財務交易的日程安排也不例外。因此，如果你從事盜竊資金方面工作的話，與一個停車場里相比，在互聯(lián)網上尋找欺騙對象更方便，而且被抓到的可能性極低。換句話說，對于犯罪集團來說，這是最理想的情況。

虛擬瀏覽器是一個非常有趣的概念。你能詳細介紹一下么？

Invincea：網絡瀏覽器是一種非常復雜的軟件(源代碼超過100萬行)，并且隨著通過開放式接口添加的應用擴展(插件之類的第三方軟件組件)處于不斷擴大的趨勢中。此外，網絡瀏覽器運行在動態(tài)交互模式下，新內容會不斷出現(xiàn)。

從安全的角度來看，在不限制使用者連接和使用的情況下，很難鎖定網絡瀏覽器防止惡意網上內容的攻擊。虛擬化瀏覽器這一概念的實質就是在一個鎖定的虛擬環(huán)境中運行瀏覽器和所有插件。

這樣的話，當網絡瀏覽器遇到偷渡式下載攻擊時，或者使用者受到欺騙選擇安裝惡意軟件的情況出現(xiàn)，唯一被破壞的就是一個一次性使用的虛擬設備。

Invincea的虛擬網絡瀏覽器與沙箱環(huán)境中的實際網絡瀏覽器，舉例來說，和火狐瀏覽器相比，有什么區(qū)別？

Invincea：Invincea的專有技術和普通沙箱技術相比，有兩處不同。首先，Invincea利用真正的硬件虛擬化技術來實現(xiàn)在虛擬環(huán)境下運行非原生的網絡瀏覽器。

在沙箱解決方案中，網絡瀏覽器是按照原生模式運行在操作系統(tǒng)中的。如果網絡瀏覽器發(fā)出有效的文件系統(tǒng)調用命令(舉例來說針對一個系統(tǒng)文件或注冊表項)，監(jiān)控工具就需要確定。這樣的話，沙箱要么容許文件系統(tǒng)寫入命令執(zhí)行，重新更改文件系統(tǒng)調用命令到一個“虛擬”注冊表中，要么要求使用者選擇采取的措施。在實際案例中，選擇的結果往往是后者。因此，盡管有沙箱比沒有沙箱好。但它不能防范多種類型的攻擊，并且需要使用者作出安全決定。

Invincea技術的第二處關鍵不同是，它可以在沒有惡意軟件已知信息的情況下，自動監(jiān)測出惡意軟件的動作和行為。隨著惡意軟件的數(shù)量呈現(xiàn)出幾何級數(shù)增長的趨勢，問題的關鍵就是找出存在的惡意軟件，并采取有效措施，將計算機恢復到原始狀態(tài)，在此期間，還要保護使用者應用程序、文件和數(shù)據(jù)的安全。

在閱讀Invincea瀏覽器保護工具的應用程序白皮書時，我看到了“可以在無需簽名的情況下檢測出惡意軟件”這樣的說法。為了做到這一點，軟件中是否采用了啟發(fā)式或行為模式識別等技術呢?如果能解釋一下檢測模式的工作原理就更好了。

Invincea：確實，Invincea在檢測針對網絡瀏覽器的惡意軟件時利用了專門設計的傳感器。我們模式的獨特之處在于，開始運行的時間，虛擬瀏覽器備始終處于原始狀態(tài)。這樣，在此之后，我們就可以了解到原始狀態(tài)是否發(fā)生變化了。

在環(huán)境被破壞時，操作系統(tǒng)中實時運行的事件和行為分析工具可以告訴我們相關的分析結論。這樣，我們就可以對攻擊進行監(jiān)測，甚至沒有簽名的零日類惡意軟件也不例外。一旦虛擬環(huán)境的破壞被確認，我們就還原到原始狀態(tài)，為最終用戶訪問互聯(lián)網提供最高等級的保護。

將惡意軟件分析結果上傳到公司服務器中的做法，看起來非常類似熊貓公司的云防病毒。上傳的信息是否會返回給用戶?看起來，似乎用戶越多。數(shù)據(jù)庫的信息就會更準確更新就會更及時。這樣的說法是否正確？

Invincea：為了保護用戶，基于云模式的防病毒解決方案需要利用互聯(lián)網級別的“已知破壞類”文件、站點的共享列表，或者采用啟發(fā)模式。對新惡意軟件的鑒定工作來自供應商的研究或最終用戶的操作。所有這些工作都是隨機的，不確定的，并且需要團隊合作。

我們的模式是截然不同的。我們搜集了系統(tǒng)中所有非常規(guī)變化的法醫(yī)數(shù)據(jù)，并發(fā)送到為企業(yè)客戶準備的威脅分析數(shù)據(jù)庫中，這樣的話，他們就可以利用這些信息更好地了解對手，對網絡中的安全設備(舉例來說防火墻、網絡網關)進行強化。舉例來說，我們搜集的信息有：

◆惡意軟件的原始位置

◆它是如何對一名特定用戶進行攻擊的

◆惡意軟件進行了哪些活動

◆網絡命令和控制服務器的位置　　

在設計時，我們的檢測模式就沒有包含簽名功能，因此我們沒有必要將信息返回給用戶來保護他們。換句話說，Invincea是讓信息部門利用我們的惡意軟件數(shù)據(jù)，來有效保護企業(yè)的其他部門。

我了解到貴公司的產品目前只支持Internet　Explorer。對于其它主要瀏覽器來說，是否有發(fā)布支持版本的時間表？

Invincea：我們現(xiàn)在已經提供了對Internet　Explorer　V6、V7和V8版的支持。不久以后，將提供對火狐瀏覽器的支持，并且計劃根據(jù)客戶的需求情況進一步擴大支持名單的容量。

我也了解到瀏覽器保護工具目前并沒有向大眾公開。你覺得什么時間才會公開？

Invincea：對于Invincea來說，進入消費市場意味著獲得飛速發(fā)展的潛在巨大機會?，F(xiàn)在，我們正在對市場進入策略進行評估，在沒有確定之前，還無法給出時間表。

最后的思考

我認為瀏覽器保護工具有兩項非常出色的功能。使用者不會受到很大的影響，不必利用事后簽名文件來檢測惡意軟件。再加上，可以自動重建受到攻擊的網絡瀏覽器環(huán)境，讓它看起來就象是我們的最佳選擇。

在這里，我要感謝Invincea公司首席執(zhí)行官和總裁吉姆·吉里以及創(chuàng)始人和首席科學家阿努普·戈什博士在回答提出的問題中給予的幫助。

【編輯推薦】

1. 應對新一代Web2.0安全威脅瀏覽器虛擬化成關鍵
2. 簡介存儲虛擬化與災難恢復