云安全,至今尚无定论。将云计算的理念应用到反病毒领域,至少是目前各杀毒厂商均在努力的一个方向。有的只是把云安全解读为分布式样本收集、快速部署病毒特征这样的平台,但这仅是金山两年前的认识。
目前,金山全系列安全产品均和云安全有密切的关系。其中最能展现云安全理念的当属金山云查杀(http://scan.duba.net),这里仅把自己对云查杀的理解拿出来供网友讨论。
云查杀的背景
每天互联网上新增的恶意软件高达数十万个,这些新增的恶意软件和累计数千万的恶意软件中,95%是木马程序。众多黑色产业链的从业者,使用各种手段对恶意软件进行免杀处理,使得各种杀毒软件对新出现的恶意软件检出率下降。早期,各种杀毒软件对恶意软件的检出率高达99%,而现在的检出率已经下降到80%左右。
一方面是恶意软件在高速增长,另一方面是杀毒软件的检测率下降。两相结合,造成互联网安全形势的恶化。无论响应速度有多快,逻辑上讲,总是先有样本,后有病毒特征,时间差是客观存在的。
云查杀的基本原理
抓样本,取特征,分发特征,这是杀毒软件的传统作法。事实证明,仅靠这一点无法有效提供安全保障。
金山在两年前就开始探索另一种恶意软件鉴定方法,最初被叫做可信认证。简言之,就是找出计算机中所有正常的文件。那么剩下的,不那么正常的文件,将其判断为可疑或者恶意软件。
这就是白名单鉴定。
假如某台计算机上有10万个文件,其中A杀毒软件检查到100个恶意软件,B检查到110个,C检查到90个,D检查到120个,但实际上,这台计算机上有150个恶意软件,没有一个杀毒软件将这些恶意软件全部检测出来。
如果采用白名单鉴定,把计算上所有正常的文件鉴别出来,那么剩下的,就是有问题的文件了。一个简单的算术运算,就完成了所有恶意软件的鉴定。
上面的例子是一台计算机,在互联网上,这样的计算机不计其数,其中中国有数千万台,网民数近2.5亿。这些计算机中,绝大部分文件,特别是程序文件,是有限的,是相同的。如果将这些白文件全部鉴定出,那么剩下的不那么可信的文件,就是值得高度怀疑的灰文件。
金山云查杀(http://scan.duba.net)
通过2年的努力,金山收集的样本总量已经突破1.5亿个,并且每天以30万个新样本的速度增长。这样海量的文件特征,显然不能分发到客户端,而只能存在于服务端。
基于这个原理,我们设计了这样的杀毒软件:
客户端不到800KB;强大修复能力(可修复自身和系统),保证客户端接入互联网;快速鉴定客户端的恶意软件;完成恶意软件的清除。
未来还可以做到:
感染型病毒的鉴定和清除;基于云安全的病毒防御。
网友评论