楔子

安全總是口水最足的行業(yè)，這至少能說(shuō)明兩點(diǎn)，一是這個(gè)領(lǐng)域的利潤(rùn)還足，二是這個(gè)領(lǐng)域的競(jìng)爭(zhēng)過(guò)于激烈。競(jìng)爭(zhēng)的核心是概念的推陳出新、炒作手法的嫻熟與技術(shù)的真正進(jìn)步。自趨勢(shì)和瑞星首次提出云安全概念以來(lái)，已然成為安全軟件的最大亮點(diǎn)，大有不談云安全你就不是真正的安全之勢(shì)。

在3Q大戰(zhàn)之后，360迅速上市，成為IT領(lǐng)域里一匹黑馬，本以為上市后360會(huì)沉默，結(jié)果前一段時(shí)間又因?yàn)槊爰?jí)云鑒定與金山打得火熱。事情起因是這樣的，金山2012版推出，打出3D防御概念，并推出99秒云鑒定的說(shuō)法，同3Q大戰(zhàn)如出一輒，360立刻推出自已的新版，打出Pro3D全面防御體系，并推出1秒云鑒定，矛頭直指金山。

揭秘云鑒定

以往云安全采用全文HASH的方式來(lái)進(jìn)行云鑒定，這種技術(shù)的致命缺陷就是無(wú)法更好地識(shí)別病毒樣本變種，制造者只需改動(dòng)一個(gè)字節(jié)就能輕松繞過(guò)云安全系統(tǒng)。這次兩家打出的秒級(jí)云鑒定概念，都是基于上述問(wèn)題的改進(jìn)版。兩家共同點(diǎn)是摒棄了以往文件全文HASH方式而采用局部特征。

金山采用微特征加文件掃描的技術(shù)。微特征本質(zhì)是對(duì)每個(gè)程序文件選取幾個(gè)關(guān)鍵位置點(diǎn)，用這些關(guān)鍵位置點(diǎn)來(lái)標(biāo)識(shí)每種類(lèi)型的文件，每種類(lèi)型的文件有不同的局部HASH提取算法，當(dāng)匹配到相應(yīng)的類(lèi)型后，再選取一段數(shù)據(jù)來(lái)算局部HASH，然后傳到云端去做黑白名單的匹配，當(dāng)匹配不成功時(shí)，則會(huì)上傳文件到云端，利用云端的后臺(tái)掃描系統(tǒng)對(duì)文件進(jìn)行二次鑒定。這種先判斷關(guān)鍵點(diǎn)再取HASH的方式可以排除掉大量的文件，起到了加速作用。

360的云鑒定則采用模糊向量技術(shù)。模糊向量的本質(zhì)是基于文件結(jié)構(gòu)特征，即將文件分解成若干結(jié)構(gòu)，按每個(gè)結(jié)構(gòu)取特征，然后將特征分類(lèi)，形成結(jié)構(gòu)特征庫(kù)，下發(fā)到本地，大部分文件通過(guò)這種通配的方式即可被鑒定，這是360聲稱(chēng)可以1秒云鑒定的原因。

99秒 VS 1秒 VS 0秒，謊言還是炒作？

拋開(kāi)廠商的自說(shuō)自話(huà)，我們來(lái)分析一下當(dāng)下最大的安全威脅是什么。經(jīng)過(guò)20多年的發(fā)展，病毒已經(jīng)進(jìn)入泛技術(shù)時(shí)代，它們已不再追求技術(shù)實(shí)現(xiàn)的可能性，而是更加關(guān)注如何獲得非法收入。在這種情況下，木馬就成了最流行的病毒類(lèi)型，而網(wǎng)站掛馬則成了最流行的傳播方式，每天會(huì)有成千上萬(wàn)的惡意鏈接和惡意程序產(chǎn)生，有些惡意鏈接甚至以秒為單位動(dòng)態(tài)變換。

不幸的是，盡管每個(gè)主流安全廠商都有自己的捕獲系統(tǒng)和交換渠道，仍然無(wú)法及時(shí)捕獲所有樣本，這些沒(méi)有被任何廠商識(shí)別的樣本就成了一種新的威脅群體--ODAY病毒。在云安全大行其道的今天，這種ODAY病毒則是最大的威脅，它們每多存活一天，就能給用戶(hù)帶來(lái)更多的經(jīng)濟(jì)損失。

無(wú)論是99秒、1秒仰或是0秒，講得都是文件鑒定的速度，廠商在炒作這個(gè)概念的時(shí)候已經(jīng)誤導(dǎo)了用戶(hù)，給他們形成一種文件鑒定速度高云安全就有效的心理預(yù)期。事實(shí)上云安全對(duì)用戶(hù)真正的價(jià)值在于病毒樣本的獲取速度而不在于鑒定的速度，在最短的時(shí)間內(nèi)將ODAY病毒變成可識(shí)別的病毒，才能真正意義上減免用戶(hù)的損失。

下面我們做個(gè)小測(cè)試來(lái)看一下"秒殺"級(jí)云安全引擎對(duì)樣本的捕獲速度。我們通過(guò)跟蹤掛馬網(wǎng)站獲得了768個(gè)0day樣本，先掃描一次，然后每隔一天再掃描一次，病毒識(shí)別曲線(xiàn)如下圖所示：

1小時(shí)后，金山和QQ的識(shí)別率在20%以下，360可以達(dá)到40%，24小時(shí)后，金山和QQ對(duì)樣本的查出率在30%左右，360達(dá)到60%，而樣本的全部查殺，則都在三天以后。也就是說(shuō)，三天以后，這些病毒對(duì)用戶(hù)的危害才能減少到0。如果大量的ODAY病毒無(wú)法及時(shí)捕獲，后端分析再?gòu)?qiáng)大也形同虛設(shè)，普通用戶(hù)中毒后，是很難找到可疑文件并上傳云端系統(tǒng)去鑒定的，因此如何建立更強(qiáng)大的樣本捕獲系統(tǒng)，比大家拼云鑒定的速度更為重要。

重塑動(dòng)態(tài)虛擬技術(shù)，扼制ODAY病毒

目前主流安全廠商都是用主動(dòng)防御的思想來(lái)找到未知樣本，即設(shè)定寬泛的規(guī)則，將觸發(fā)這些規(guī)則的文件上傳到云端分析。這種思路會(huì)產(chǎn)生幾個(gè)問(wèn)題：用戶(hù)損失大量流量；廠商得到大量無(wú)效樣本；只能通過(guò)龐大的客戶(hù)端來(lái)進(jìn)行動(dòng)態(tài)監(jiān)控并上報(bào)。

而事實(shí)上，應(yīng)對(duì)ODAY病毒最有效的方式就是基于動(dòng)態(tài)虛擬技術(shù)的啟發(fā)式查毒。提到動(dòng)態(tài)虛擬技術(shù)，可以專(zhuān)業(yè)人士會(huì)立刻想到瑞星的虛擬機(jī)技術(shù)，其實(shí)這兩者有相同的地方，也有不同。

瑞星的虛擬機(jī)技術(shù)就是基于這個(gè)原理，它虛擬了CPU常用的X86指令，將文件加載到這個(gè)虛擬機(jī)上去執(zhí)行，然后分析和判斷文件的行為。這種技術(shù)在感染式病毒的時(shí)代，還十分有效，但是到了木馬橫行的今天就毫無(wú)用處了。原因在于目前大部分的病毒是木馬形式，木馬里大量使用了操作系統(tǒng)提供的API，操作系統(tǒng)的API是一個(gè)相對(duì)封閉的指令集，需要做輸入、輸出和堆棧的處理，情況非常復(fù)雜，而瑞星的虛擬機(jī)并沒(méi)有對(duì)此做處理，因此對(duì)木馬的查殺和殼的處理效果很不好。

我們今天提到的動(dòng)態(tài)虛擬技術(shù)，是指除了CPU指令，還要模擬病毒常用的的系統(tǒng)API，以及對(duì)病毒常用的反跟蹤與調(diào)試手段的識(shí)別，我們?cè)谘芯坎《镜倪^(guò)程中，發(fā)現(xiàn)很多病毒采用浮點(diǎn)MMX指令來(lái)做加密與變形手段，因此動(dòng)態(tài)虛擬機(jī)不但要支持X86指令集，還要支持多媒體擴(kuò)展的MMX浮點(diǎn)指令集，而在未來(lái)，還要支持非X86架構(gòu)的指令以及其它操作系統(tǒng)的API，這是一個(gè)苦差事，現(xiàn)在已經(jīng)很少有安全廠商愿意在這上面上功夫。

動(dòng)態(tài)虛擬技術(shù)已經(jīng)脫離了監(jiān)控的概念，任何文件不需要真實(shí)運(yùn)行就能看到它的行為，如果把這一點(diǎn)應(yīng)用到爬蟲(chóng)系統(tǒng)中，就能夠直接判斷鏈接的末端是否是病毒而直接收集過(guò)來(lái)，無(wú)須再進(jìn)入云端分析系統(tǒng)。另一方面，動(dòng)態(tài)虛擬技術(shù)天生對(duì)ODAY病毒有良好的防御作用，就象電影《少數(shù)派報(bào)告》里描繪的那樣，可以在虛擬的空間里先再現(xiàn)犯罪行為，然后在真實(shí)的空間里去防御它，這其實(shí)要比先讓病毒運(yùn)行，然后看動(dòng)作，然后再防御的主動(dòng)防御思想，要先進(jìn)很多。

當(dāng)安全流于市場(chǎng)炒作的技巧時(shí)，往往會(huì)使廠商失去繼續(xù)研究技術(shù)的踏實(shí)心態(tài)，使用戶(hù)失去判斷真?zhèn)蔚哪芰?。安全需要包裝，但是安全更需要拋棄那些浮燥，靜下心來(lái)踏實(shí)做技術(shù)的學(xué)究式心態(tài)。從跟百銳信息安全實(shí)驗(yàn)室主創(chuàng)人員接觸的過(guò)程中，小編可以明顯感覺(jué)到百銳是一個(gè)不懂得商業(yè)炒作，而只專(zhuān)注做技術(shù)的團(tuán)隊(duì)，而在內(nèi)部測(cè)試時(shí)，小編也驚嘆于百銳產(chǎn)品所表現(xiàn)出來(lái)的專(zhuān)業(yè)水準(zhǔn)，我們事實(shí)上希望的是，在安全的道路上，多給用戶(hù)一些辨別是非的能力而自己少些是非，因?yàn)橛脩?hù)需要的是真正的安全。