【卡饭首发】由金山云技术展望未来计算机安全软件发展——感谢金山对网络安全所做贡献

天道酬勤QQ

十年间——计算机数量如午夜流星一样在中国不断普及；十年间——中国很多普通家庭都踏上了互联网的高速路上；十年间，中国杀毒软件业如春笋破土，蓬勃发展
本文将带领大家由金山的云思路引发对未来计算机安全业的展望：很多人问我，为什么会选择进山来作为本篇文章的导入点，理由很简单，金山的“云安全”不同于以往任何厂商的“云安全”，而是真正意义上的“云安全”的雏形，对未来计算机安全业有着不可小觑的辐射与影响作用。我想，金山的这种思路将带领计算机安全业朝一个从未有的高度前行]

本作者原创，谢绝转载，谢谢！文中不足之处难免所有，还望各位饭友指正！谢谢~
我叫牛逸夫，应该比各位饭友都小，其实我才上高一，我得叫小石”病毒“叔叔了~铁军哥其实和我妈妈年龄都差不多的……所以请大家多多包涵！哈O(∩_∩)O~


目录：
2楼——现有计算机安全技术
3楼——计算机病毒发展史
4楼——现有常用反病毒技术
5楼——由现有计算机安全技术（金山云）对未来计算机安全技术的设想
6楼——计算机安全技术的发展趋势展望

天道酬勤QQ

按照技术与数据的交互时间，即主动着的，或者被动着的，网络安全技术可以分为主动和被动两种安全技术。

被动网络安全技术
被动意味着一旦检测到破换，特定的信息安全技术才会采取保护措施保护数据或者资源。常见的被动网络安全技术主要有以下七种：
1 防火墙：用一个或一组网络设备，在两个或多个网络之间加强访问控制，以保护一个网络不受另一个网络攻击的安全技术。
2 接入控制：目的是确保主体有足够的权利对系统执行特定的操作。主机可以是一个用户、一群用户、服务或者是应用程序。
3 口令：它是必须输入才能获得进入或者接入信息。
4 生物特征识别：指计算机通过利用人类自身的生理特征或行为特征进行身份认证的一种特定技术。（例如：联想脸部识别软件）
5 入侵检测系统：他从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。（入侵检测不可简单地理解为HIPS，入侵检测可以是硬件防火墙的一项功能，也可以是软件，也就是HIPS）
6 登陆日志：试图搜索有关发生信息并记录
7 远程接入：他是允许某个人或者进程访问远程服务的网络安全技术。

主动网络安全技术
主动意味着特定的安全技术采用主动的措施，可分为一下九种
1 密码术：将明文变成密文和把密文变成明文的技术和科学，用于保护计算机数据机密性和完整性。
2 数字签名：主动的网络安全技术，再出现任何怀疑之前创建数字签名。
3 数字证书：他试图解决Internet上的信任问题。数字证书是由第三方（CA）办法的。CA是担保Web上的人或者机构身份的商业组织。
4 虚拟专用网：它能够利用Internet与其他公共互联网的基础设施为用户创建隧道
5 漏洞扫描：漏洞扫描（VS）使他们可以表示漏洞的特征。
6 病毒扫描：目前病毒已经成为黑客对系统攻击的一个有效手段。因此已经开发了防病毒扫描器来抵制计算机病毒。病毒扫描试图在病毒和函数引起严重问题前扫描他们
7 安全协议：属于星系安全技术的安全协议包括有：IPsec和Kerberos.
8 安全硬件：指的是用于执行安全任务的物理和硬件设备
9 安全SDK：安全软件开发工具包（SDK）适用于创建安全程序的编程工具。

天道酬勤QQ

计算机病毒的发展史：
计算机病毒的发展史有规律可循的。一般的，只要出现了一项新的计算机安全技术，便会很快的产生一种基于该新技术算编制的新病毒，并会出现病毒迅速发展，接着反病毒技术也会抑制其的发展。
总的来说：计算机病毒可以分为以下几个阶段
1：DOS引导阶段
1987年，电脑病毒主要是引导型病毒，具有代表性的是“小球、石头”病毒。主要通过软盘传播，主要行为为去的系统控制权，减少系统内存，修改磁盘读写终端等。
2：DOS可执行阶段
1989年，可执行文件的出现，他们利用DOS建在执行文件的机制工作，如“耶路撒冷”、“星期天”等病毒。可执行病毒的病毒代码在系统执行文件时取得系统控制权，修改DOS中断，在系统调用时感染。
3：伴随型阶段
1992年，伴随型病毒出现，他们利用DOS文件加载文件的优先顺序进行工作。具有代表性的是“金蝉”病毒，他在干扰EXE文件时会释放一个和EXE同名的扩展名为COM的文件伴随体。
4：变形阶段
1994年（这家伙和我同一年出生），编绘语言有了长足的发展。要实现同一功能，通过便会语言可以用不同的方式进行完成。典型的代表有“一半病毒”。
5：变种阶段
1995年，在编绘语言中，一些数据的运算放在不同的通用寄存器中，可以运算出同样的结果，随即插入一些空操作的无关命令。例如“病毒制造及VCL”
6：网络、蠕虫阶段
1995还能，网络的普及，病毒开始用网络开始传播。“蠕虫”是典型的代表。
7窗口阶段
1996年WIN的普及，典型代表：DS.3873
8 宏病毒阶段
1996年，MS Office的普及测试Word宏语言也可以编制病毒
9 互联网、感染邮件阶段
1997年，开始使用邮件传播
10 现代——————————木马、核可病毒阶段
2001、2002 2006、2007 2008 2009 这几个是木马爆发的高峰年期
开始产生盈利的产业链，于是，一个时代结束了，另一个时代开始了。

天道酬勤QQ

现有常用反病毒技术：
相信这一部分大部分饭友都很清楚，所以我只是一笔带过
1 特征码技术
2 虚拟机技术（动态启发）
3 病毒疫苗技术
4 云计算技术(云安全雏形）

天道酬勤QQ

未来计算机安全技术的展位：
说到这，不得不说金山的云：先说一下金山云的原理——云引擎是一套将本地未知安全性的文件，上传到云端对比得到检测结果的引擎。
简单的说，云安全是一个放在云端的超级大的病毒库。这个病毒库还会通过用户上报的新型病毒样本来更新自己。 金山可信云安全平台就是拥有白文件鉴定（即可信）技术的、通过云端收集海量样本，并对其进行深层数据挖掘、技术处理分析后，能够提炼出病毒DNA。将此病毒DNA实时同步到云端，并依此DNA特征，在云端以及客户端为用户解决并防御安全问题，使得杀软产品具有客户端产品更轻、对病毒的查杀能力增强、对新病毒的零时响应等特征的一种技术平台。

再来说一下云的趋势（这一小部分感谢陈庄同志）：“云安全（Cloud Security）”计划是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端 对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。
所谓“云”，其实指的是后端（服务器端），平时我们很少能够看到的那一端，正因为平时难得看到，所以有一种虚无缥缈的感觉，也许就是因为这个原因，才被称为“云”吧。我们平时能够看到的是什么呢，当然是自己用的PC和手机这些东西了，也就是所谓的“客户端”。
  自从PC时代来临之后，C/S（客户端/服务器端）结构开始占据了主流地位，全世界的计算能力好像一直在向客户端倾斜，其结果就是产生了新的一代行业领袖微软和英特尔，他们一开始都是从客户端起家的，首先控制住了客户端的计算能力，然后挺进服务器端，最终颠覆了IBM等拥有强大服务器端计算能力的厂商的领导地位。
  正所谓“30年河东，30年河西”，随着互联网这种颠覆性的新平台的出现，我感觉计算能力又慢慢地向服务器端倾斜了。最简单的例子，如果现在你手里有一台笔记本电脑，但是没有互联网，也就能当计算器和打字机用了，几乎什么事情都做不了。而只要一上网，很多的计算能力其实都交给了后台的服务器了。所以对我这样的媒体记者来说，一台不需要太强计算能力，但是一定要能够随时随地连上Internet的东西，不管是叫做笔记本电脑还是上网本，或者MID，也就足矣。
  很多“传统”IT厂商已经看到了这种计算能力转移背后所带来的巨大危险，如果不能在新时代中找到自己的位置，未来自己就很有可能被边缘化了，这也就可以理解为什么微软会那么着急地去收购雅虎，EMC这种非常传统的存储厂商也开始吆喝云存储的原因了。在这个新的时代，拥有强大的服务器端的计算能力也就成为令人羡慕的事情，因此我们看到无论是Google还是IBM，都在全球大规模地兴建数据中心作为其“云计算中心”。
  如今，互联网的“云”也开始动安全软件的“奶酪”了。7月底，国内两大安全软件厂商趋势和瑞星相继发布了“云安全”计划。看来，互联网对传统软件行业的冲击还在继续。
  在此之前，由于安全对于每个用户来说都是很重要的事情，谁也不想让自己的电脑瘫痪吧？因此以前即使在消费类杀毒软件领域，卖License的厂商活得还都不错，像金山在与微软决战办公软件失败之后能够活下来，依靠的就是杀毒软件。互联网来了之后，厂商们不直接卖License了，依靠每个月收服务费的方式，仍然活得还不错。
  但是，以前的杀毒软件都有一个问题，就是只利用了互联网的传输功能，并没有太好地利用互联网的计算功能。用户还是每次上网之后连接到杀毒软件厂商的网站上，下载病毒库，然后依靠自己的电脑进行查杀。
  这对用户来说是一件很麻烦的事情。长此以往，客户机上的病毒库会越来越大，占用越来越多的计算资源，最后使得系统越来越慢，我在使用电脑的时候就有这个体验，往往是把某个杀毒软件卸载之后，速度明显提升了一个档次。
  因此，老的杀毒模式可能已经走到了尽头。现在大家提的所谓“云安全”其实就是把原来放在客户端的分析计算能力转移到了服务器端，从而使得客户端变轻了。
  同时，这也对杀毒软件厂商提出了更高的挑战，他们必须在最快的时间内分析出用户的电脑是否已经被病毒感染了。但是，单纯依靠收集病毒特征，被动地防御还是挺难防住的——要知道，每个小时全世界会产生2万多个新病毒。
  由此，一些新的防御技术产生了，比如趋势最新提出的“Web信誉服务”，它的概念其实就是给用户所登陆的网页评个信誉分数，这个分数是由多种因素构成的，包括网站网页、历史地址变化以及其他可能揭示可疑行为的因素。当发现某个网页的信誉出现问题的时候，就会将其屏蔽。
一个白话说明,就是在病毒进入你的计算机之前将病毒拦截,因为病毒进入你的计算机,需要经过传输,而在传输过程中,云安全会提示你这里有病毒,并且阻止其进入你的电脑.
  另外，传统的病毒查杀技术落后也是云查杀兴起的原因之一。传统的通过病毒库来识别病毒这种技术远非完美，经常会出现“新病毒查不出，不是病毒却被冤枉”的现象，给IT界带来很大的损失和纠纷。比如汉语编程易语言必带的支持库“.fne”文件就常被某些技术落后的杀毒软件误报为病毒，苦不堪言。
  这还只是“云”进入安全领域的一个例子。前一段时间有个朋友跟我说过一句话，对我触动很大，“千万不要高估3年内的变化，也不要低估10年后的变化。”

天道酬勤QQ

计算机安全技术发展趋势展望：
1“ 反黑与反病毒相结合
2  从入口拦截病毒
3  客户端轻量化，大量工作交给云端处理（金山只做到了一个雏形，还需要进一步发展；而其他安全厂商除了趋势和熊猫有雏形以外，其他安全软件基本上连个型都没有）客户端只有几百kb
4 软硬件相结合：不再仅是软件上的反病毒，更有防毒硬件
5 系统安全性能增高：系统具有极高的安全性能，有自我修复能力，有自我检查能力。一位饭友的思路很好：每运行任何一个程序，系统自动在非常短的时间里虚拟运行环境能够自动预测到

运行结果，判断对系统的危害，还有种就是每过一秒钟就硬盘所有数据自动创建一个镜像，下一秒如果运行出

现错误或中毒，自动刷新还原前一秒的镜像，就在无限刷新中前进，还有条道路，就是任何一个运行程序都在

一个个小虚拟机中运行，一个程序一个虚拟机，虚拟机能以窗口的形式出现，但是任何程序都只在属于自己的

小虚拟机mi-guan中运行，运行后的保存结果则存在实际硬盘上，但实际硬盘上不能运行任何东西，只能保存，

运行都在一个个小虚拟机中。
6 ：还有一种是我认为很好的思路：大家知道，如果蚂蚁遭到天敌的攻击会立刻向同伴释放气味，以警戒同伴快逃，此事同伴便会前来救援，蚁多力量大，将敌人打败。（自然界很多动物都是如此）我想这一点给人类很大的启发——那么，我们计算机安全技术也可以这样，当一台客户端受到威胁时，立刻向所有客户端和云端反应，共同处理数据，共同更新云端库，实现新生威胁实现秒级处理.
7 最后一种可能：以后没有杀毒软件，系统全部云端化，系统本身就是完美的”杀毒软件“

天道酬勤QQ

补充一下：
云的整个设想是十分好的，但是目前看来还是太过超前了。
目前虽然大量的应用都向服务端靠拢，但是受限于整个网络状况，以windows为代表的本地操作系统依然是绝对主流。因此对本地的防护依然不可忽视。
云安全的整个系统环节中最脆弱的恰恰是客户端和链接客户端与服务端的网络。网络和客户端成了最大软肋。网络的不稳定情况，经常导致云的间歇性失效，极大的增加了风险。客户端自身的不健壮导致的漏洞。以及云虽然响应速度比传统软件快了很多，但是依然不够快，只要木马变形更新速度比云响应速度快，云也有心无力。

就金山云来讲，感觉其根本和前提还是在于掌握了多少已知的恶意程序和能短时间内去判定一个程序是否存在恶意，其他的本地防御技术都是基于这个前提的。现在搞的云鉴定器项目，感觉是靠用户的手动操作去尽量实现这个前提。云安全的最终目的是减少用户交互，但是在这个目的技术层面彻底达到之前，还是需要听话的用户。
说到云，其实不仅仅是LZ说的这种服务端鉴定的方式。服务端鉴定能够体现云的快速响应特点，因而十分明显。其实云还有另一个方面。那就是利用统计学原理来控制恶意软件的感染规模，这个方面往往大家都忽视了。

判定一个文件的性质，可以从代码和行为入手，这就是常见的动静态启发技术，行为分析技术，分析的是个体文件的特征。比如输入输出表，可疑代码，API调用情况等等。暂且叫做文件的微观分析。
除了微观分析，云给了我们一个分析文件宏观行为和形态的机会。比如文件的组织形式，传播路径，分布情况。举个例子，如果发现一个文件突然在客户端上大量出现，而这个文件不属于任何大用户量的软件，那么不用其他任何手段就可以判定这个文件不是一个正常文件。

由此还可以将宏观和微观结合，比如客户端的行为传感器突然发现了一种异常行为动作的文件在客户端大量出现，虽然不知道这类行为到底什么意义，但是也能借此判定不是正常情况。

由此可见云实际上能控制住大规模爆发。但是这一切都有一个前提，那就是客户端的健壮性。如果客户端很容易被突破，变成了聋子瞎子，那么就都是浮云了



写在最后：
本篇文章为全部本作者原创，谢绝转载。其实大家恐怕都不信，其实我才高一，很多病毒都比我大，我甚至都要叫”小石“病毒”叔叔“了，呵呵
希望这篇文章能够帮助大家，另外也希望各大杀软公司给我留个位子，我希望大学毕业后去安全软件公司工作……呵呵O(∩_∩)O~
这篇文章还要感谢金山的李铁军（军哥）、金山的韩正奇（hzqedison
）、金山的毕裕（铅笔）、谢谢他们的三篇博文给我很大启发、让我写下这篇文章！
另外感谢所有饭友！谢谢你们了~

Ｓuper〆凇鎶ぐ

高一觉悟就这么高  很不错了

7奇天大圣7

前排支持

知微

还没看完，先抢位置