此“云”非彼“云”——浅析诺顿安全软件中“云”的地位与作用

jiayan72392

根据6月月底jefffire会员的“积极使用诺顿云安全 你的PC将会更安全”（原文链接：http://bbs.kafan.cn/thread-736415-1-1.html）所反映出的问题，本人略加思考分析后，决定写下此文，以帮助广大赛门铁克区饭友们更加清楚的认识在诺顿产品中的“云”的地位和意义。希望对于大家使用诺顿产品有一个很好的帮助。

本文导读：

究竟什么是“全球智能云防护”	2楼
Insight Network和部分国产安全软件“云”的区别	3楼
Norton IN具体是在做什么？	4楼
IN在实际运用中的意义	5楼
IN在诺顿安全产品中的地位	6楼
展望2011版中的智能社区	7楼
IN存在的问题	8楼
结语	9楼

jiayan72392

从诺顿安全软件2010版开始，相信大家已经注意到了在主界面上出现了这么一个选项：



“全球智能云防护”，在简体中文版的诺顿网络安全特警2010（诺顿防病毒软件2010亦包括）中，该功能是被如此翻译的。但是，在英文原版的NIS 2010中，这个功能原名是：Norton Insight Network，其含义是指监测诺顿社区中的状态。同样，点击“详细信息”后，会出现如下的窗口：



该窗口会显示出已经提交社区分析的文件总数（持续刷新），在这些文件中有多少是已知正常的文件，有多少是被确认为危险的文件，剩下的就是正在分析的未知文件。除此之外，下方还会显示出目前计算机上接受该社区检查的次数和受信任的文件总数。这就可能会使一部分用户感到迷惑，为什么这里的云防护基本不涉及查杀？为什么赛门铁克不将病毒库直接放在云端？

首先回答第一个问题，本人认为：诺顿网络安全特警2010中的“全球智能云防护”和一些国产安全软件的“云查杀”在概念上有着很大的区别。并且，在此将Insight Network翻译成“云防护”恐怕在含义上相当容易引起误解。这里所谓的“云”，准确的说，应该就是指诺顿社区（当然，该社区和官方的论坛社区又是两码事），因为从这里提供出来的信息都是从社区中提取而来的。

关于第二个问题，请看下文的解释。

jiayan72392

看了前面的分析，相信大家对于这个所谓的“Insight Network”（以下简称IN）有了一个轮廓上的认识。确实，可以说它和部分以“云查杀”为主打技术的安全软件有着本质上的区别。

大家熟悉的金山毒霸2011就是此类以“云查杀”作为主打技术的安全软件代表。



使用过金山毒霸2011的朋友们应该会发现，最近版本的安装包仅为23.4MB（上一个2009版本安装包通常为48MB左右）如下图：



安装包之所以减少了近一半，除了新版本在程序上得到了优化之外，更多的是将本地病毒库大幅削减，而将更多的内容集成到了云端服务器上，然后通过云端病毒库来对系统进行检查，利用云端病毒库更新及时的特点，从而优化查杀效果。大家可以参考一下扫描测试区的相关结果（http://bbs.kafan.cn/thread-735455-1-1.html）。

但是，诺顿网络安全特警中的IN并不具备病毒库的特征。它更多的是提供一种文件信誉的分级，以此作为一种辅助查杀的手段。

jiayan72392

既然诺顿安全软件中的“云”并不是病毒库的集合，那么它到底在进行哪些后台工作呢？前面已经提到，诺顿社区提供的数据和信息并不是单纯地进行查杀，而是帮助用户对于下载或者从其他途径获取的文件进行一个大致的引导。让用户认识到该文件在众多全球诺顿用户中的信誉程度，至于如何处理该文件，诺顿还是给予用户一定选择的空间（和特征码/SONAR的强硬手段相比，“云”的处理手段要软了很多）。

在2010版诺顿安全软件中，用户可以通过如下方式检查某个文件在诺顿社区中的信誉评级：

右键单击您希望检查的文件，在快捷菜单中选择“诺顿文件智能分析”，会弹出如下信息：



可以从图中看到，该信息框中显示的是该文件在诺顿社区中的大致信息，其中包含：签名，文件在社区中的被信任情况，文件发布时间，文件可信度。您也可以单击“来源”和“活动”来获取更多的信息。

jiayan72392

对于此类的文件信誉评级，虽然并不能直接提高诺顿安全软件的查杀率，但是在某些其他方面还是有着很重要的意义：

一、提高扫描速度，减少系统资源开支：相信在2009版本中，有一个名为“诺顿智能扫描”的项目赢得了用户的一致肯定。当然，这个功能在2010版中也得到了保留。通过相关的设置，可使诺顿软件跳过已被社区信任的文件的监控和扫描，从而提高了扫描的速度，也减少了不必要的系统开支。



在上图中，通过调动滑块的位置，可设置诺顿软件对于这些文件的监控力度。该选项的意思是：

标准信任（默认）：跳过被标记为诺顿信任的文件；
高度信任：跳过被标记为诺顿信任和多数用户信任的文件；
全面扫描：无视社区中的文件评级，扫描并监控所有文件。

二、传递了新的安全理念：赛门铁克自身或许已经意识到，单凭病毒特征码进行查杀绝对不是安全软件的未来趋势，他们也确实在积极研究新的技术来为互联网的安全做出一己之力。这些年，从SONAR，IPS，以及智能社区，无一不是对新技术的尝试，尽管有些可能还并不十全十美。但是，他们对于用户传递的安全理念，确实值得称道的。对于那些不被社区信任的文件，还是希望用户不要直接运行，以免发生不测。

jiayan72392

既然有了这么一个功能，是不是说以后就完全可以依靠智能社区了呢？答案显然是否定的。实际上，赛门铁克自己也很清楚，该功能还有一些不太成熟的地方。目前从整个诺顿产品的功能模块来看，赛门铁克还是以本地防护为主，网络防护为辅。下面为大家分析一下。

大家都知道在诺顿2010产品中有一个非常重要的主防模块SONAR 2，该功能可以近似得看成是特征码+高启发+行为判断的集合体（有些朋友可能认为SONAR就是云查杀，其实是误解，SONAR和云只是沾了一个边，请看下文的分析）。它的主要作用就是在威胁开始运行的时候主动侦测其行为并将其拦截（通常是删除），然后会在隔离区中留下备份并在计算机空闲的时候通过“诺顿社区防卫”任务在后台传送至诺顿社区作进一步分析。请看下面的图例：



被SONAR拦截的文件会被备份在隔离区中。



并且在诺顿社区中等待上传至社区服务器作进一步分析。



可通过启动“诺顿社区防卫”开始上传，或者在计算机空闲的时候等待该后台任务自动运行。


从这么个细小的问题，本人认为：智能社区在诺顿产品中的位置看来还并不是很高，起码在2010版产品中赛门铁克并没有将其作为主打功能。它在该版的产品中完全是一个后台角色。赛门铁克对于SONAR的态度还是比较谨慎的，凡是被SONAR处理过的威胁都会被上传至社区做进一步的分析。可能在2010版中，智能社区的意义大部分都体现在了这里。

jiayan72392

在即将上市的2011版诺顿安全套装中，智能社区的作用被再一次增强，新增的“信誉扫描”功能正是最好的体现之一。每当用户下载完一个压缩包并解压后，可以通过该功能对于下载的文件进行社区的信誉评估。



上图为信誉扫描的结果图。可以见到，它依然是根据文件发布时间，文件在社区的分布范围和用户对于文件的信誉评级给出的参考结果。但是赛门铁克似乎每一步都走得非常谨慎，在2011版中，信誉扫描和威胁扫描是完全独立的两个模块，至于未来是否会整合到一起就不好说了，不过，个人认为这种可能性非常大，毕竟在2010版中，有些被社区标记为“poor”的样本还是会被处理掉的（威胁名称通常是：WS.Reputation.1或者suspicious.Cloud）。

jiayan72392

此类基于文件信誉为主要功能的智能社区也并不是无懈可击的，毕竟，部分对于文件的评级标准是取决于社区中受用户信任的数量，对于一些未知的文件，智能文件分析会提供一个给用户设置的空间，如下图：



此时如果这个功能被一些非法用户恶意使用，那么突破云的防线几乎可以说是件轻而易举的事情。如何克服这个缺陷是赛门铁克需要思考的问题。

另外，智能社区和安全套装中其他模块的整合也似乎有不完美的地方，有时候会出现在智能文件分析被评为“可信”，但是实际运行起来依然会被SONAR拦截的情况。这点还是需要在未来的版本中加以改进。

jiayan72392

扯了那么关于诺顿智能社区的问题，相信大家对于诺顿中的“云”有了一个感性的认识。尽管它和“云查杀”的概念有些不同，但是在这里，本人倒是更加赞同赛门铁克本地防护为主，网络防护为辅的设计思路。在日前Softpedia专访赛门铁克的时候，官方就有过这么一句话（详情请见《Softpedia专访：赛门铁克》http://bbs.kafan.cn/thread-729116-1-1.html）：

关于我们基于行为的技术：这些已经在2006年发布的2007版诺顿安全软件中包含。所以，至今诺顿安全软件是一个复杂的系统。它包含了前摄型的技术以及众所周知的活性技术。同样随着时间流逝，我们认为一个强大的本地防护外配一个智能云端信誉技术是一个正确的目标。因为即使在暂时无法连接Internet的情况下，强大的本地防护依然会发挥作用。

对于一些以云查杀为主打的安全软件来说，如果用户在无法连接到云端或者Internet连接被病毒切断的前提下，如何提供更好的安全措施？这个问题也是需要那些安全厂商仔细研究的。

另外，还要强调一点，诺顿安全软件中的“全球智能云防护”，其设计的本意只是辅助用户判断某个/些文件在诺顿用户群体中受信任的程度，多数情况下并不具备查杀的功能，所以请正确看待该功能。如果妥善用之，它是一款非常好用的工具。

关于诺顿智能社区的讨论暂时告一段落，各位若有其他问题，欢迎在跟帖讨论。

（完）

另附：赛门铁克官方教程：
如何使用“文件智能分析”
http://www.symantec.com/zh/cn/norton/products/tutorials/tutorials.jsp?pvid=nis2010&tutid=norton_insight
（请完整复制以上链接至浏览器中，即可前往观看）
再一次感谢jefffire会员！

ikimi

终于写完了，终于可以发言了

自打瑞星08年暑期一推出云概念，我也很晕