“云”还是“晕”？集中非专业解读云安全技术

wd19880427

继云安全涉及到隐私问题之后，云安全的实现机制也广泛地受到怀疑。我不是金山的官方人士，所以对于云安全的技术只能通过官方发布的信息来了解。而根据我的了解，云安全首先可以保障用户的隐私，其次也可以给予用户不亚于本地启发和主动防御的防护能力，甚至在面对未知病毒的时候具有本地杀软所不具备的快速反应能力。

我先总结一下大家提出的关于云安全的问题：

一、云安全的主要过程是用户端使用“云安全”软件将病毒样本提交到响应中心分析处理，再到广大其它用户都能得到这个病毒的防御信息，用户端如果没有发现提供未知病毒新病毒给响应中心，云安全就成了空谈。

答：如果云安全的范围足够大（例如涵盖了上千万甚至上亿的用户，目前360云安全拥有上亿用户，金山毒霸在中港地区拥有2000万以上的用户，瑞星甚至要建立亚洲最大的云库），假如在如此巨大的用户群中真的出现了“用户端没有发现和提供未知新病毒”，那可以认为这个“新病毒”尚未出现（狼来了？），或者仅仅存在于实验室或个人机中（蛋疼的小作品）。这个道理不难理解吧？

二、在用户端如果能够发现未知病毒新病毒何必要提交到响应中心处理？在用户端如果不能够发现未知病毒新病毒响应中心就是形同虚设，或者用户端每天胡乱提交7位数以上的垃圾信息给响应中心，响应中心是否能够处理？总之云安全是前后矛盾是能力不够的表现，是用来骗钱的幌子而已.

答：这就是目前云安全要解决的问题。我们来看一下金山的水银系统架构对于本地可疑文件的判断机制（图选自“金山水银系统架构介绍”）：



现在来回答这个问题：“用户如果能发现未知文件何必要提交到服务器处理呢？”

因为用户端仅仅起一个“发现”的作用，这个“发现”的原理基于特征码和白名单，如果有一个程序既不存在于特征库，又不存在于白名单，那么它就是“未知”程序，而本地端不能判断它是否安全的话，这时就需要提交到服务器端进行处理了。在此基础上，响应中心显然不是形同虚设吧？而且基于特征和白名单时，用户当然不可能提交过多的垃圾信息给处理中心，云安全服务器也顾及得过来。当然，太过弱小的公司是不可能承担云服务器的费用的，这正是大公司技术的体现。

三、云安全的主要矛盾在于如果有自动化处理可疑文件的能力何必集中分析处理？如果是机器自动化判断何不直接放在客户端，何必舍近求远；如果是人工分析，那跟过去就没有本质上的区别，只是将庞大的病毒库从客户端挪到了服务器上而已。

答：云安全最大的优势就在于服务器端强大的数据处理能力，云安全确实有自动处理可疑文件的能力，但这个能力是个人机永远也达不到的（除非你把银河买回来当个人机玩）。注意这里有一个“硬件限制”。金山水银系统的服务器，以分布式存储及计算平台为基础，结合领先的行为分析技术，每天对上百万未知文件样本进行自动分析、处理并自动提取出相应的杀病毒脚本。（同时，仅仅只需要简单的扩充机器数量，就可以提高处理能力，理论上处理能力没有上限）并实时将处理结果更新至可信认证服务，为客户端提供及时、准确的服务，金山水银平台已经储存了数百TB的文件，这是任何个人机都绝不可能达到的。而且云安全服务器端理论上可以储存所有病毒样本和海量的白名单，这些东西原来都是需要下载到用户机中的，现在都放在了服务器上，自然很轻便。

有的人至今还在用单核、512甚至256M内存的电脑，而且这部分人大多是公司用户，也是最有可能不折腾杀软的用户，性能是在第一位的。而安全性却是最低的（公家东西不那么在乎），相反对安全的要求却是较高的（大多存放工作资料）。在这样一个矛盾的环境中，云安全能让他们得到最轻便却最快捷的安全服务。

再加上个人机决不可能专门作为病毒样本测试机，上面还储存有无数的其他程序，甚至一个杀软的兼容性成为了最先需要考虑的问题（这就是为何过杀毒软件简单，做出合适好用的自保护却难的原因）。狙剑、冰刃这些强力破坏性工具的作者都加入了360，但是360仍然没有想象中的那么牢不可破，难道是360做不出强大的自保护么？不是的，而是因为一个“好用的”安全软件必须为了兼容性和易用性而不得不做出牺牲。但云安全服务器端却没有这个问题。它们甚至可以不使用个人的系统，不考虑任何自保护，不考虑任何兼容性，不考虑CPU占用率等等个人机必须考虑的问题，全心全意做样本分析工作。这又怎么是个人机能做到的呢？

四、所谓的“云主动防御”、“云沙盘技术”、“云启发技术”到底是个什么玩意？它们能起作用么？

答：顾名思义，“云主动防御”、“云沙盘技术”、“云启发技术”都是服务器端的技术，它们起作用的机理是什么，这要从“主动防御”、“沙盘技术”、“启发技术”是什么说起。

通用的“主动防御”是在实机中通过分析程序的行为，来判断该程序是否有害的技术（包括HIPS那种提交给用户识别和微点那种自动识别等主防技术）。“沙盘技术”是将程序放在一个虚拟的计算机环境中运行，分析其行为和结果来判断该程序是否有害的技术。“启发技术”是特征码识别技术的补充，在特征码识别技术的基础上，结合样本分析专家总结的恶意程序通用经验，根据反编译后程序代码调用的win32 API函数情况来判断程序是否恶意。

这些技术总得来说本身都是好技术，但是存在一个共同的缺陷就是：误报和缺乏易用性。

无论是主动防御、沙盘、启发式技术，凡是放在个人计算机上时，必不可少会由于系统环境、硬件条件、软件缺陷等等原因，存在较大的误报（纯启发引擎百锐就是例子），而“不误报”对应的结果就是“多提问”，例如HIPS，就是把判断过程丢给了用户，误拦截也好误删也好，全是用户自己的责任。对于高水平用户，HIPS是安全的，对于菜鸟，HIPS就是灾难。微点作为国内唯一兼备了误报少、拦截准的安全软件，其易用性仍然是建立在服务端不断更新特征信息和白名单的基础上，如果放任微点从不升级，一段时间过后，虽然仍然可以拦截未知病毒，但必不可免地会发生对新生软件的误报。

云主防、云沙盘、云启发则是将这个过程全部放在了服务器上，依靠其强大的硬件，对未知病毒执行诸如行为分析、沙盘检测和启发式扫描的作业，但是相对于用户机，其优势是占用的资源都由服务器端解决，对用户机根本没有影响（譬如绝不会出现误报QQ等囧情况，因为服务器端没有装这些程序，不会受到干扰），就算第一遍服务器端启发出现了误报，也会有筛选机制复查结果，最后达到用户端的结果是接近100%准确的结果。

五、云安全必须要联网，如果病毒把电脑整断了网怎么办？那不得等死了？

答：这涉及到病毒木马存在的意义问题。病毒木马因何而存在呢？俗话说得好：“无利不起早”，病毒木马的存在，大多是恶意推广（植入广告，锁定主页）、盗号等目的，他们最大的特征就是其传播性。纯粹的破坏性病毒非常之少，因为破坏性病毒不能使作者获得利益。而且纯破坏性病毒的制作非常简单，一个最最普通的恶意批处理就能够彻底破坏掉个人系统---但是这毫无意义。尤其是对于断网型病毒，其基本可以说是脑残。首先它不能依靠联网发送户主信息（帐号密码），其次它不能进一步传播，断了网其实是断了病毒自己的路。现在的病毒木马恰恰是最需要联网的，例如下载新的免杀和新的下载器或者更新驱动等等。在这种情况下，只要杀软本身自保护够强，不被病毒进程终结，那么当云安全分析结束的同时，也是机上病毒的末日。

当然断网型病毒也存在，例如有的病毒间歇性断网，自己需要传播和更新时就联网，杀软要更新时就断网。确实存在。但是这样的病毒显然不会把网络连接整个破坏，肯定是基于软处理的断网方式。这样的网络故障，可以使用诸如金山急救箱、QQKAV一类的小工具就进行修复。


总而言之，云安全是拥有主动防御、沙盒技术、启发分析的完善的安全机制，本机的所有此类技术都是同一个目的，那就是消灭病毒。但将这些技术放在本机的代价就是客户端臃肿不堪（传统特征码），或者没法子全部兼顾（微点专心主防，Nod32专心启发），又或者全部兼顾了性能却不理想（最好的例子卡巴死机）。而云安全就是能够完美拥有这些技术，客户端却仍然很轻便的解决方案。

假设一个病毒过了微点，也过了金山毒霸，那么显然微点用户将重装后都仍然不能处理这个病毒（除非手工上报），而金山云安全则可以在数分钟之内反馈结果，用户在进行了还原或者修复之后就能立刻杀掉它。白羊座不是有一个案例么？大家都在嘲笑文件名查毒的时候，0字节的program程序不是文件名查毒就是查不出来。也从侧面反映出了所谓的高级杀毒技术的无奈。

当然，云安全最大的弱点我也不能回避，那就是“后发制人”。必须要先获得了新病毒样本，再反馈用户端，才能起到防护作用，而在此之前，可能不少“先行倒霉者”是不得不付出的牺牲。所以我仍然认为，用户机端应该要有基本的自保护和初步的主动防御，用来前期限制未知程序的运行。例如一些开发者自己研发的小软件，加了壳经常被报毒。云安全杀软就应该在检测到未知时，给予用户风险提示，在用户制止之后，终止程序的运行，直到云端分析完成。

jefffire

搞什么？不能编辑原贴么？

yidadaren

我承认，
太长了，我 没看完…

gxczlzz

LZ发了2帖了，貌似

russellbaker

这只是原理性的介绍，原理谁都能说，金山能否做好是关键，做不好，等死，做好也不一定有优势。金山目前为止做了什么？到目前为止除了云，拿的出手的只有自主研发的引擎，其他根本不值一提。而引擎2要靠云才能发挥效果，如果达不到效果金山必死，要么免费，当然已经免费了，那么所谓的金山大公司，也就是要靠其他业务来支撑这一块，或者干脆说是靠游戏。
  我一直很奇怪，金山到目前未知除了引擎的更新和病毒库的更新，在做些什么？等着云的发力？等着云时代的来临？一个网络的可信认证使得毒霸其他各方面无所作为，一个云时代，使得毒霸抛开其他技术一意孤行，云真能代替主防？代替传统的一些技术？金山这么想，其他人未必。事实也未必

江湖的fans

我感觉嘛.....

如果客户端发现了未知病毒 直接杀掉就可以了 为啥要上传分析？

而且目前 除了贝壳外 没有进行白名单和黑名单对照的吧？ 引擎不是判断它为未知病毒（已知病毒）就是安全文件吧~~

russellbaker

回复 6# 江湖的fans


    楼上说的对发现未知，完全可以由用户做最初的响应来进一步遏制

seaon2377992

不太相信云安全

insight

回复 6# 江湖的fans


   不是，蓝芯2现在具有的一些特性是现在传统杀软引擎不具备的

insight

事实上，金山这套系统每天都在更新，每天都在自我完善，人工完善

匹配器鉴定器也在不断增加，现在已经达到了20多款自有鉴定器

贝壳就是贝壳，毒霸的云安全是自己的，是需要蓝芯2引擎匹配的

无论是分析系统分析准确度速度，都是贝壳无法比拟的