“云安全”這以概念從提出之時起就備受爭議。今天我就來詳細(xì)解剖一下云安全。為此首先我們需要了解一下傳統(tǒng)的殺軟是如何工作的。

傳統(tǒng)的特征碼殺軟流程一般如下：收集階段：少數(shù)的用戶專門上報，廠商的爬蟲程序、MiGuan程序——>分析階段：病毒分析員、機器分析——>反饋階段：數(shù)小時一次的定義更新。

由此我們可以看到整個過程完全是廠商在負(fù)責(zé)。同時也能看到這樣的流程有極大的缺陷：

1、周期過長。一般殺毒軟件的定義更新需要數(shù)小時到數(shù)十小時，有較長的一段反應(yīng)真空期

2、收集范圍狹隘。僅僅借助廠商的收集程序和少量的用戶上報不能做到廣泛的收集樣本。

3、白名單收集不夠。和第二點類似也是由于收集范圍過于狹隘所致。

傳統(tǒng)的主動防御流程一般如下：準(zhǔn)備階段：收集足夠的樣本，詳細(xì)分析，總結(jié)出行為特征庫——>發(fā)布階段：發(fā)布主防產(chǎn)品——>反饋階段：收集被繞過的樣本，改進(jìn)主防。

整個過程的流程比特征碼更漫長，往往需要數(shù)周，數(shù)月的周期。

可見，傳統(tǒng)的殺軟都有一個共有的缺陷，那就是反應(yīng)速度過慢。做過免殺的朋友都知道，一個木馬在出爐前是要檢驗的，用幾乎所有的殺軟都掃一遍，有時候還要運行嘗試，大部分不報才能出廠。一個木馬只要有心去做沒有過不掉的殺軟。主防也一樣，有時候甚至比特征碼更容易過，為什么？因為只要有人發(fā)現(xiàn)了一個漏洞，那么就可以制作出一大串的繞過樣本，如果保密得當(dāng)那么在很長一段時間內(nèi)都有效。為了在一定程度上解決這個反應(yīng)速度過慢的問題，于是就推出了“云安全”的概念。

我們來看看云安全是如何解決上述傳統(tǒng)殺軟所面臨的問題。我先以國內(nèi)云為例，國內(nèi)的云將客戶端作為一個收集器，凡是不在云端庫內(nèi)的程序，都會被上傳到服務(wù)器進(jìn)行分析鑒定，并在較短的時間內(nèi)所有用戶都可以得到反饋。

我們看到國內(nèi)云端有如下優(yōu)勢：

1、周期短，反饋速度快。機器分析一般只需5到30分鐘就可以完成，而且由于病毒庫在云端因此不 需要升級就可以得到保護(hù)。

2、收集范圍廣泛。除了用戶專門上報，廠商的爬蟲程序、蜜 罐程序之外，每個客戶端都變成了一個收集器，收集能力將成倍提高。

3、不僅收集病毒還能收集白文件。可以用來降低誤報。

但是不少朋友覺得萬一“斷網(wǎng)”怎么辦？？會出現(xiàn)“首批犧牲者”的問題。

首先關(guān)于“斷網(wǎng)”。那么我們先設(shè)想這樣一種情況，比如一個樣本，經(jīng)過了免殺處理過掉了絕大部分的殺軟，同時云端也沒收集到。這時傳統(tǒng)殺軟被免殺了，因此檢測不出來，運行后中毒，如果沒被針對性斷網(wǎng)但由于病毒庫更新周期的爾遜子啊在很長一段時間內(nèi)查不出來，如果被斷網(wǎng)了那么無法升級也查不出來。再看看云殺軟，云殺軟檢測不出來，運行后斷網(wǎng)中毒，無法連接云端。 因此“斷網(wǎng)”樣本無論是傳統(tǒng)的還是云端的都是不能解決的，也就沒有所謂傳統(tǒng)殺軟對斷網(wǎng)樣本更厲害之說。

其次關(guān)于“首批犧牲者”。云安全是用來縮短周期，用來減少中毒人數(shù)的?？梢赃@么說傳統(tǒng)殺軟不僅有“首批犧牲者”，還有“二批犧牲者”直至“n批犧牲者”，直到病毒被上報，病毒庫更新后為止。

也許有人看了后覺得疑問了，云和以前的在線病毒上報有什么區(qū)別？？區(qū)別就在于參與用戶數(shù)量的不同！在線病毒上報，還有多引擎網(wǎng)站能有多少用戶去積極使用？？退一步講，就算大家都去用，但是在線上報網(wǎng)站的服務(wù)器還吃不消呢。在線病毒掃描無論是其面向?qū)ο蟮莫M窄性（只有少數(shù)人才會用這個），還是反應(yīng)的滯后性（即便上報后得出了結(jié)論也需要等待下一次病毒庫升級才能生效）都不能和現(xiàn)在的云安全相比。

云的創(chuàng)新并不在于技術(shù)上有多先進(jìn)，而在于一種模式的轉(zhuǎn)變，或者說是思維方式的轉(zhuǎn)變：將以前完全是廠商在負(fù)責(zé)的東西，一部分交給了客戶去完成。 #p#

[[19542]]

再談?wù)勎覍鴥?nèi)云不同之處的理解。就目前云安全私以為有兩種：

一種是以信譽認(rèn)證為主要手段的云安全

在這種云安全中主要運用以下技術(shù)，1.終端用戶評價體系。這種用戶評價打分式的社區(qū)體系，就容易被黑客利用，進(jìn)行刷分，但從大范圍來講還是靠譜的。2.數(shù)字簽名驗證體系。對有可信廠商的數(shù)字簽名的文件，給予較高的信譽度，一般情況下不會出問題。當(dāng)然也有些木馬有偽造的或者利用小廠商的數(shù)字簽名，對偽造的數(shù)字簽名只要嚴(yán)格驗證是能發(fā)現(xiàn)的（卡巴斯基2009曾出現(xiàn)對數(shù)字簽名驗證不嚴(yán)而被利用的情況）。  3.文件統(tǒng)計及屬性評價體系。這種以文件在客戶端的分布規(guī)律，擴散速度，新老程度，文件的屬性（比如是否隱藏，文件名是否是隨機命名、混淆命名、流行病毒常用命名等可疑名稱，是否在系統(tǒng)關(guān)鍵文件夾中）進(jìn)行統(tǒng)計分析得出文件是否有惡意的結(jié)論，缺點是需要一段時間來判定。當(dāng)然評估體系使用的手段絕不僅僅限于此，這里只是稍作講解。

另一種則是以機器自動分析為主要手段的云安全（比如金山，360）

在這種云安全中主要運用以下技術(shù)。1.高級啟發(fā)式分析，這種啟發(fā)式分析不同于普通客戶端的啟發(fā)式分析，由于服務(wù)器性能強大，啟發(fā)式分析可以做的更復(fù)雜專業(yè)，對代碼靜態(tài)分析更深入,因此偵測率更高，同時誤報也高。2.高級虛擬機行為分析。同樣，靠著服務(wù)器的強大性能，可以在完全仿真（比如使用VMWare，甚至隔離式實機）的情況下對文件進(jìn)行判定，其優(yōu)缺點和上述啟發(fā)式一樣。3.多引擎查殺。借助合法來源的多種殺毒軟件作為參考。

不論使用那種手段，云安全最根本的顛覆就是不再和以前一樣僅收集黑名單（病毒特征庫），而是把所有文件分為黑，白，灰（未知）三類，并通過技術(shù)手段把灰文件判定成白或黑文件，借此力圖一網(wǎng)打盡所有文件獲得"***"安全。

而云安全的理念絕不僅僅于此，還能和HIPS結(jié)合，打造智能主防。比如360就是本地內(nèi)置HIPS模塊當(dāng)發(fā)現(xiàn)程序危險動作時，連接云服務(wù)器查詢，判斷是否攔截。再比如卡巴斯基，把云信譽數(shù)據(jù)反饋到HIPS的彈框中，以便于選擇。再比如諾頓把云融入sonar的主防中，提高查殺率。

原文鏈接：http://www.kafan.cn/article-664-1.html

【編輯推薦】

1. Bohu木馬試圖阻礙殺毒產(chǎn)品中的云安全技術(shù)
2. 專訪McAfee“M雙俠” 感受McAfee云安全自信
3. 四問“Web防御與云安全”
4. VB100公布2010年8月到2011年2月殺軟平均成績