【为5周年献礼】浅谈杀软几大技术以及安软搭配原则

strawman0719

前言：卡饭度过了她5周岁的生日，而我在卡饭也即将2年了，时间过的很快，前不久有个饭友加我QQ，聊了一些安全相关的话题，我才发现其实我该做些什么，为了刚加入卡饭的新卡饭人，为了卡饭的5周岁生日。。。

我并非计算机专业，对计算机纯属个人爱好，所以以下文字纯属个人见解，如有客观错误欢迎赐教，如果是主观上的一些不认同欢迎切磋讨论，水平有限，大家见笑了。老鸟请无视哈


2L---大热的“云安全”（本帖重点）
3L---HIPS、启发、主动防御、QVM的概念
4L---安软搭配原则

strawman0719

首先，让我们来了解一下什么是【云计算】
推荐导读：云计算--百度百科
我们要知道，一台计算能力再强大的计算机，它自己的力量也有限，通过互联网将全世界许许多多的计算机连接起来，其运算的能力是不可限量的。
曾经国外就有某外星人研究组织，在自己的网站提供一款可以向外太空发射信号和接收信号的软件供所有外星人爱好者下载，组成了庞大的计算机系统，时时刻刻处理有关外星人的信息，这种能力是非常巨大的。相关资料：SETI，SETI在家计划


看完了云计算，我们来了解一下什么是【云安全】
推荐导读：云安全--百度百科
“云安全通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。整个互联网，变成了一个超级大的杀毒软件，这就是云安全计划的宏伟目标。”


看完两个基本概念，我来说说我对云计算、以及云安全的看法：
个人认为，云计算是未来互联网发展的大趋势，这点是毋庸置疑的，一台单机电脑能做的越来越少，而一台联网的电脑即使没安装什么软件，能做的事情却越来越多，作为浏览器区的版主，我就从chrome浏览器来说吧，chrome作为一款特立独行的浏览器，不仅能浏览网页，更是可以在离线的情况下阅读pdf，直接听mp3，在联网情况下能做的就更多，web QQ就是一个例子，好，说到这，我并没有说到云计算，其实我是想引出chrome OS以及windows 8。
推荐导读：Chrome OS--百度百科，web应用程序--百度百科，微软Windows 8或将利用云计算技术，赛门铁克CEO预测IT三大趋势：云计算居榜首
“Chrome OS系统和Chrome浏览器一样有三大重点要素，那就是速度、简洁、安全，启动和运行速度都会很快，界面元素将会最少化，并且直接集成Chrome浏览器、配合上网本提供流畅的网络体验，并支持Web程序。 Google的网络取代桌面的战略思想将再一次得到贯彻执行。快速、简易和安全将是Chrome OS最强调的三大特性，这款操作系统将设计成为最快和最瘦身的操作系统，只需几秒钟的时间便可启动PC并接入互联网。”
大家可以联想下腾讯的Web QQ3.0，其根本就像是一款web操作系统；而腾讯、奇虎等众多互联网公司都把web应用当作发展的重中之重，从这些我们就可以看出一些端倪，web应用、云计算必然是未来发展的趋势，必然是各大互联网公司的必争之地。


我给【云安全】在计算机安全中应用的分类：
1、收集类云
这类云通过大量客户端对客户计算机中异常表现的监测、收集客户端不能识别的程序或文件、或者是由客户端使用者的主动上报，获取木马、恶意程序的最新信息，推送到服务端进行自动分析和处理，再把病毒和木马的信息以及解决方案通过客户端更新分发到每一个客户端。这种收集类云几乎每个杀毒软件都有，属于云应用的初级阶段。
2、信誉类云
这类云通过查询云端服务器中该文件的信誉值，给用户一个提醒。用户每次下载一个文件，客户端会向自动从云端数据库查询关于这个文件是否好或坏的信息。随着时间的推移，客户端会获得越来越多的关于此文件的信息，文件的信誉值也会发生相应的改变。这个技术可以利用信誉值以帮助识别对传统防病毒软件隐藏的潜在威胁。最突出和有代表性的就是诺顿以及趋势科技对信誉云的应用。
推荐导读：趋势科技云安全3.0--趋势官网，取之于云，用之于云，此“云”非彼“云”——浅析诺顿安全软件中“云”的地位与作用，积极使用诺顿云安全 你的PC将会更安全
3、查杀类云（鉴定云）
这类云直接可以体现在查杀率的提升上，客户端发送未知文件的“DNA”或者某种特征甚至是完整文件到服务端匹配。服务端部署大量鉴定方法，实现秒级响应，是将传统的杀毒引擎和互联网应用相结合的产物。这类云的精髓在上传、鉴定上，通过多种自动交互式鉴定方法+人工鉴定的方法，综合判断文件的安全性并迅速反馈给客户端。例如熊猫、金山和360的云推荐导读：金山毒霸专家详解云安全三代发展历程
4、另类云应用--云主防
这里完全引用悟心之道的一篇文章：微点主动防御与360云主防的差别与联系，探讨改进可能
“2.1 原理简述（20110513）
云主防是以监控为手段，用被监控文件特征码（可理解为类似MD5）和云端海量文件特征码进行比对，依据对比结果在白名单中放行，在黑名单中拦截或清杀，不在已知名单中则启动行为防御，在本机执行半步，挂起，上传行为特征到云端，云端进行判断，没触犯规则放行，执下半步及下步的上半步，循环...直到被监控对象被判非法而终止或者被判合法得以完整执行，文件特征入库，未知变已知（引入半步有点不同）。
2.2 解释“半步”（20110514）
相信不少朋友已经明白我要说的“半步”的基本含义。第一层意思，一是一个小体系，这个体系就是两个半步构成的。第二层意思是“一步分虚实，半步定乾坤”，360云主防，不回滚，一步中只有完成后半步才能做实，不是“半步定乾坤”，又无回滚机制如何做到？！
PS 半步不是360云主防独有的，Windows防火墙有，HIPS有，云上传鉴定也有...”



目前我对【云安全】的看法：
我觉得从中国乃至世界的互联网发展情况来看：云是趋势，但还不是主流；云值得信赖，但还不能依赖
推荐导读：云计算安全真的那么有效么

strawman0719

什么是【HIPS】
推荐导读：HIPS--百度百科
“我们个人用的HIPS可以分为4D，AD(Application Defend)应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系、ND(Net Defend)网络访问防御体系。它通过可定制的规则对本地的运行程序、注册表的读写操作、文件读写以及网络访问操作进行判断并允许或禁止。”


什么是【启发】
推荐导读：启发式--百度百科，ESET对启发式引擎的阐述
“启发式技术，在原有的特征值识别技术基础上，根据反病毒样本分析专家总结的分析可疑程序样本经验（移植入反病毒程序），在没有符合特征值比对时，根据反编译后程序代码所调用的win32 API函数情况（特征组合、出现频率等）判断程序的具体目的是否为病毒、恶意软件，符合判断条件即报警提示用户发现可疑程序，达到防御未知病毒、恶意软件的目的。”


什么是【主动防御】
推荐导读：主动防御--百度百科Plus：详见本帖124楼

个人认为关于“主动防御”的概念应该还有推敲一下的余地。因为主动防御（一般被解作Pre-active protection，某些厂商解作Proactive protection）是一个太宽泛的概念，根据大多数厂商给出的说法，“在新病毒被分析识别之前即对其进行拦截”的技术均可称为主动防御技术。个人认为主动防御应该是除了经典的的“特征库防御”之外，在本地且不依赖网络对未知病毒进行拦截和处理的一大类技术，在这一大结构下有很多不同的分支，例如卡巴斯基的半自动HIPS，微点的行为分析，诺顿的SONAR，ESET的启发式等等……它们虽然有很多不同之处，但是都有个相同的共性——不依赖网络的情况下对未知病毒作出反应。楼主在文中说的主防与启发式的区别，个人认为只能体现引擎阈值的差异（主防不能以程序运行不运行作为标准，比如诺顿的SONAR不一定非要运行了可疑程序才会被触发）。

个人也比较赞同这种看法，主防应该分为广义主防和狭义主防，启发就属于广义主防，而一般说的主动防御特指狭义主防，即行为类主防


“微点主动防御软件技术及其原理

既然反病毒工程师可以通过分析程序行为而准确判定一个程序是否是病毒，那么能否将这种分析判断过程自动化、程序化呢？

我国著名反病毒专家刘旭认为，这种想法是可行的。微点主动防御技术正是根据这种思路设计而来：通过对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼成病毒识别规则知识库，模拟专家发现新病毒的机理，通过分布在操作系统的众多探针，动态监视所运行程序调用各种应用程序编程接口（API）的动作，将程序的一系列动作通过逻辑关系分析组成有意义的行为，再综合应用病毒识别规则知识，实现自动判定病毒。

反病毒专家刘旭在总结自己二十年来反病毒技术实践的基础上，在国际上率先创立了“监控并举、动态防护”的主动防御技术体系，开创性确立了主动防御产品的核心标准，即必须以具备动态仿真反病毒专家系统为先决条件，以自动准确判定未知病毒为基本诉求，以程序行为监控并举为机制保障。

面对当前形形色色的主动防御概念，刘旭指出，与所有的反病毒技术一样，主动防御技术也必须要实现对程序的性质做出明确判定，是病毒，就应明确报警并提示用户发现病毒。如果只是对程序的单一动作报警，由用户自己判断这个动作是否具有威胁，就不是主动防御。这里所说的程序动作，是指反病毒软件监控到程序调用了Windows提供的某个API。API是Windows为程序开发提供的功能，正常程序可以使用，病毒也可以使用，也就是说API本身并没有善恶之分。如果仅仅依据程序的一个动作就报警，那么普通的用户实在难以判断这个动作究竟是否有害，更会感到无所适从，这显然不是广大计算机用户所需要的反病毒技术。”





什么是【QVM人工智能引擎】
推荐导读：360qvm人工智能引擎--百度百科





简单说明启发、HIPS、主动防御、云的区别（借鉴+微创新）
假设你的电脑是座围城，一个进入“围城”的病毒好比一个壮汉。
❤那么在进入“围城”大门时，云鉴定相当于在一台联网的电脑上查询他的身份信息，如果电脑上显示他是逃犯，那就不用说了是吧。
❤那么HIPS呢？相当于一个监视者，比如这个壮汉从衣服里拿出一把刀，HIPS马上告诉你，“他拿刀了，怎么办？”，HIPS听你的，你说“拿刀而已，搞不好是要切菜呢？”HIPS就不管了（即放行），你说“拿刀啊，好可怕，夺刀先”，HIPS就帮你阻止了他拿刀。如果他拿着刀冲向了一个人，HIPS又马上告诉你“冲向一个人了，怎么办”；如果他对着那个人举起刀了，HIPS又马上问你“他还把刀举起来了，怎么办”。。。
❤那主防呢？相当于聪明点的监视者，他观察着壮汉的一举一动，但是壮汉拿刀，主防不会觉得奇怪，因为拿刀可以是切菜，壮汉拿刀走向了一个人，主防不会觉得奇怪，因为他可能只是要卖刀，如果壮汉拿刀了  冲向一个人并朝着一个人举刀了，主防立即枪毙这个壮汉，因为这个壮汉肯定不是好人
❤那启发呢？相当于一个扫描仪，壮汉进来之时，立即扫描分析壮汉的装备、有无武器、肌肉构成、肾上腺素水平、心情状况解析壮汉的好坏

strawman0719

说下打造安全组合的搭配原则：①尽量精简、流畅  ②功能不重复、功能能互补 ③适合自己；所以打造一个安全组合，必须对你准备放入组合中的软件有所了解，尤其是它的优势、优点所在。


一个好的组合需要包含哪些功能？
其实这个问题没有答案，因为每个人的需求不同，需要的功能也就同，标准组合AV+FW+hips\主防+云。有的人裸奔、有的人就一个KIS、有的人组合强大到让你汗颜，我这里要说的只是一个普通家庭用户为了提高安全性能要组合的话如何选择罢了（老鸟请尽情鄙视、无视）


装卫士有没有必要？
个人认为对一个普通家庭用户来说，一个卫士是很有必要的，首先它为盗版系统用户提供了打补丁的好工具；其次，它内置的优化、清理、软件管理、开机启动项管理等功能非常实用；最后，卫士的云查杀对查杀国内病毒木马还是有一定优势了！


360卫士和金山卫士哪个好？
这个问题也没有答案，这两个都好！360卫士的优势在于云主防以及软件管家，金山卫士的优势在于简洁、云查杀以及网盾的下载保护，大家按需选择。



下面就开始说下几个产品的特点了，里面都是本人比较推荐的，含有本人主观意向请包涵或指正，本人洗耳恭听。

纯智能行为主防：TF（免费）、马马屠、AVG IDP、360安全卫士的主防
主防加墙：Comodo（反ARP但效果有限、带沙盘）、Outpost（反ARP但效果有限、还带有web防护和应用程序控制）、ZA、OA、江民防火墙、微点主防（墙可关）
纯墙：PCT（反ARP但效果有限）、瑞星防火墙（防挂马、反钓鱼）、360防火墙（支持反ARP）、金山网盾防火墙、系统墙
网页保护类：金山网盾（装了金山卫士就不用装了吧。。。）、360网盾（内置于360卫士）、畅游精灵、AVG linkscanner
沙盘类：Defensewall、Sandboxie
手动HIPS：EQ、MD          ------------------个人认为主防和HIPS选择其一就行
浏览器：IE9（其实IE的安全性没有想的那么差）、Chrome、Firefox、Opera



所以根据以上产品特点，个人推荐几个经典组合，让大家参考：（只是提供一种思路，教大家如何不重复的搭配）
ESS 4.2+360卫士                                                                               ---------AV、防火墙、启发+主防、云
EAV+Outpost或者 瑞星全功能（不安装监控模块）+金山卫士                     ---------AV、启发+防火墙、主防+云
EAV+Comodo+金山卫士                                                                      ---------AV、启发+防火墙、HIPS、沙盘+云

NIS+红伞（不安装监控，仅右键扫描）+金山卫士                                    ---------AV、防火墙、云、主防+AV、启发+云
NIS+百锐金盾+金山卫士                                                                     ---------AV、防火墙、云、主防+启发+云


MSE+360卫士+系统墙                                                                        ---------AV、启发+云、主防+墙
MSE+Outpost或者 瑞星全功能（不安装监控模块）+金山卫士                    ---------AV、启发+防火墙、主防+云
MSE+Comodo+金山卫士                                                                     ---------AV、启发+防火墙、HIPS、沙盘+云  


红伞s版+金山卫士                                                                             ---------AV、防火墙、启发、主防+云
红伞F版+Outpost或者 瑞星全功能（不安装监控模块）+金山卫士               ---------AV、启发+防火墙、主防+云
红伞F版+Comodo+金山卫士                                                                ---------AV、启发+防火墙、HIPS、沙盘+云   
红伞F版+微点主防+金山卫士                                                               ---------AV、启发+防火墙、主防+云

avast！网络版+金山卫士                                                                    ---------AV、防火墙、启发、主防、沙盘+云
avast！免费版+纯墙+金山卫士                                                            ---------AV、启发、主防、沙盘+防火墙+云

金山毒霸（关闭主防）+瑞星防火墙+360卫士                                         ---------AV、云+防火墙+云、云主防
金山毒霸（关闭主防）+comodo                                                           ---------AV、云+防火墙、HIPS、沙盘
。
。
。
。
。
总之就是要功能互补，关闭组合中其中一个的相同功能，不要重复

jack1986001

沙勒个花，半夜补习一下

吾与谁归

想骗我人气，没门

mpgk

写的很好，来学习了，谢谢分享

ikimi

诺顿为主很安逸

strawman0719

ikimi 发表于 2011-6-7 23:21
诺顿为主很安逸

里面提了好多次诺顿
给N区打广告了

永远的ALTMAN

前排占座
还是习惯只用一个杀软，本来都会用第三方的防火墙，现在懒了直接上系统墙，据说win7的墙还是挺不错的
其实组合来组合去，天天问别人不如自己试一次，适合自己的才是好的