【卡饭首发 Q管评测系列 二】云端响应、智能扫描、提前预警——QQ电脑管家云预警系统

天道酬勤QQ

              
         云端响应、智能扫描、提前预警——QQ电脑管家云预警系统评测
                                                       文/牛逸夫
  笔者按：2011年是云安全技术蓬勃发展的一年，各类厂商的“云安全”如雨后春笋般层出不穷：从最早的MD5云、样本收集云到现在的可信云、云主防、云启发等，杀毒软件对云端的依赖在不断增加，而云带来的“轻巧快速”、“实时响应”等突出优点也让众多厂商看到未来安全软件的发展方向。可以预见，“云”在今后的安全软件发展中，必然扮演着不可替代的重要角色。
  而另一情况是杀毒软件的发展出现分水岭：从不同厂商杀毒软件的发展趋势中，我们不难看出，杀毒软件已经出现不同的发展方向。
  一是向纯云化发展，具有代表性的产品例如金山毒霸2012，直接将全部特征库放到云端，包括k+云主防、云端的鉴定器。而安装包只保留程序以及流行的病毒库，使软件体积大大缩小，资源占用显著降低。但这种做法的缺点也很明显，一旦遭遇断网，云的威力将会损失殆尽。
  二是像卡巴斯基、Bitdefener为代表的第二类杀毒软件。其发展趋势是：综合性防护体系——在本地保留完整特征库、包括主动防御、虚拟机等等，也加入“云”功能，但只是其辅助作用，比如卡巴斯基KSN（Kaspersky Security Network）就是一个样本收集云。这样做的趋势就是软件体积越来越大，资源占用越来越高。
  而此次更新的QQ管家云预警系统让笔者眼前一亮，笔者认为QQ管家的云预警+本地Avira引擎或许是前面所说的两种发展趋势矛盾中的一条新出路。
  根据QQ电脑管家官方的介绍：云智能预警系统(Cloud-Intelligent Warning System)，是QQ电脑管家独有的智能检测木马技术。它能在木马活动早期侦测并阻断木马的破环行为，通过云查杀技术秒杀最新流行木马。云智能预警系统采用智能检测、增量式查杀技术，无需资源占用，不影响电脑运行速度。（如图一）
   
  从介绍中不难看出，此次QQ电脑管家6.5版本更新的智能云预警系统是管家监控的一大进步，它很大程度上提示了管家的监控能力，于金山云引擎进行了整合与优势互补，更突出了监控的前摄性。（注：QQ管家中，Avira引擎、趋势引擎引擎不参与实时监控）。
  最新的云预警系统通过客户端来收集最新样本，大大减轻了客户端的负担：其将特征码全部放置云端，实时监控以及扫描时会查询云端服务器，若判定为未知威胁则主动上报到云端。云端在分析完成、响应后，QQ管家会自动进行一次回扫，确保未知威胁被精准识别，从而使流行木马被即使发现、绞杀。
   QQ管家云智能预警系统的特点主要体现在三个方面，分别是：智能扫描、云端响应、提前预警。下面笔者就从这三个方面来详细评测。
  【智能扫描——调节资源占用，保障轻巧流程】
  根据笔者观察发现，智能扫描分为两部分。
  一是QQ管家会自动识别当前计算机的使用状态，当计算机处于空闲状态时，QQ管家的云引擎会进行后台扫描，主动揪出可能存在威胁的文件并发送到云端进行分析，从而快速确定用户计算机中的文件安全与否。(如图2）
  二是QQ管家在自动上报可疑文件之后，会自动进行云端鉴定。当云端鉴别完成之后，会向客户端发出回扫的指令，及时绞杀已经响应的威胁从而保障用户计算机安全。
   
    【云端响应——二次回扫，精准绞杀流行木马】
        在QQ管家进行第一阶段的“预扫描”之后，会发现一些可疑的文件，管家将此类文件汇报到云端，然后云端进行文件分析。当文件分析完成之后，会向客户端反馈鉴定结果。此时客户端收到云端的指令后，会对刚才检索出的可疑文件进行回扫，如果发现文件特征与云端已知威胁特征相匹配，此时QQ管家便会弹出警告窗并清除此威胁。（如图3）
   【提前预警——前摄性防护，增量式技术】
        用户开启云智能预警系统之后，QQ管家会自动启用增量式查杀技术监控全网最新木马动态，通过实时防护和智能扫描功能侦测电脑里的木马文件（云预扫描技术），将可疑文件上报的云端，从而做到提前预警，在木马没有产生破坏行为前将其绞杀，对用户电脑起到保护作用。
        另外，QQ管家在进行预扫描的时候还会对未知威胁文件进行一个分级。从高危到可疑的威胁程度不同，云端鉴定的优先级也不同。威胁的分级化可以帮助Q管更好的响应最危险的样本。   
        
   笔者总结一下云预警的整体过程：现在计算机空闲时进行云预扫描，主动找出计算机中的可疑文件并上报云端。云端响应后客户端进行回扫从而确定文件安全性。
        
  根据笔者个人观点：云预警的实质就是以增量式技术在全网进行监控部署，在用户计算机空闲时提前进行预扫描，对可疑文件进行一个威胁分级，并将用户计算机中可疑的文件上报到云端进行分析。从而可以使QQ管家的云端更快的发现潜在在的威胁，以实现流行木马响应的最快化。它的最大特点是主动进行云鉴定，体现其前摄性，而不是等到木马发作后才去扫描、拦截、响应。

BHHZDQL

数字，金山，那个云不是主动鉴定的？

maikeyin2010

这个可以有，继续努力！！

yuning7

好东西，支持一下

yonghuanh

只观望，不能说

天道酬勤QQ

BHHZDQL 发表于 2012-1-2 17:24
数字，金山，那个云不是主动鉴定的？

我解释一下，这里的“主动鉴定”是一个广义词语 你可以理解为主动去扫描系统中的文件 而不是打开一个文件时候才进行主动云鉴定

157973696

还是倾向金山毒霸，没连上网络的电脑就别说云了......
金山毒霸还是适合给网民用的.

lzh920808

二次回扫

qian11027870

感觉都一样

天道酬勤QQ

157973696 发表于 2012-1-2 17:33
还是倾向金山毒霸，没连上网络的电脑就别说云了......
金山毒霸还是适合给网民用的.

呵呵 如果电脑没联网我都不想用