谈卡巴斯基云应用与程序控制

显示全部楼层 · 发表于 2011-6-30 11:52:54

本帖最后由 XiǎoJié 于 2011-6-30 12:00 编辑

Kaspersky Security Network 卡巴斯基安全网络 (简称KSN)

  KSN会收集客户端计算机的硬件和软件信息，可疑的文件，短期内流行的，首次出现在安全网络中的。收集这些信息将更加方便的识别威胁并减少针对低于风险的时间，提高卡巴斯基产品的防护效果。

  卡巴斯基2010-2011将KSN网络应用在程序控制中，本地运行程序后匹配程序信息发送到KSN服务器结合本地的保护组件分析对程序进行分组。也简单的应用到云查杀，也就是UDS，这个名称并不常见。云查杀功能由卡巴斯基实验室收集恶意威胁的MD5，查杀中与服务器收集到的MD5进行对比，在威胁列表中则报，不在则继续。不仅仅是在程序控制和病毒查杀中，在网页防护上也应用到了云信誉。例如在2012的网址检查中，会根据卡巴斯基实验室的信誉对网址进行安全检查来保护用户浏览网页的安全。卡巴斯基是最先将云技术应用到商业产品中的厂商之一，结合自身扎实的反病毒技术带给我们安全的保护体验。

  在2012中，首次将云保护搬到了界面上，也在右键加入了“在KSN中查看该文件的信誉”，我们简单的看下KSN中的信誉扫描。

图中，我们检测360的相关程序。会显示应用程序，提供商，在KSN中这个程序的组别，用户使用量，首次出现时间，分布情况，以及文件的基本信息。国外不少杀软也应用到信誉云，例如大家熟悉的诺顿，社区云的信誉。卡巴中的信誉云会对程序的相关信息收集进行检查，对文件安全性进行判定，反馈到客户端上。

下面我们谈谈应用程序控制，程序控制会将电脑中出现的程序分为四个组别。

  程序控制就是一个智能hips，通过KSN和本地保护组件的分析制定程序的行为规则。

  1.信任组:携带有效（受信任的厂商）数字签名的应用程序或者位于卡巴斯基受信任程序库中的应用程序会被分入该组。位于该分组中的应用程序对系统的任何活动都不会受到限制。这些应用程序的活动受到主动防御（Proactive Defense ）与文件反病毒（File Anti-Virus）的监控。

  2.低限制组:没有携带有效（受信任的厂商）数字签名或者不在卡巴斯基受信任程序库中的应用程序会被分入该组。但是，这些应用程序都给予都给予低危险评级。它们被允许执行某些操作，诸如进程访问、系统控制、隐匿网络通信。必须通过用户的许可才能够进行大多数操作。

  3.高限制组:没有携带有效（受信任的厂商）数字签名或者不在卡巴斯基受信任程序库中的应用程序会被分入该组。这些应用程序都给予高危险评级。位于该分组中的应用程序的大多数影响系统的活动需要用户的许可，其中某些高危险活动将被自动阻止。

  4.不信任组:没有携带有效（受信任的厂商）数字签名或者不在卡巴斯基受信任程序库中的应用程序会被分入该组。这些应用程序都给予较高危险评级。应用程序控制将会完全阻止位于该分组中的应用程序的任何活动。

  卡巴斯基有两种保护，分为自动和交互模式，不同的模式有不同分组流程。

  自动模式：当一个已知的程序运行，卡巴斯基会发送程序的MD5值到KSN，返回程序分组信息。客户端收到KSN发送的信息后，对程序进行分组，还会结合特征库，启发分析，主动防御，综合分析对程序最终分组。用户也可对分组进行调整，对行为进行限制。当一个新的程序出现在卡巴斯基安全网络时用户参与安全网络的前提下，这个程序会被上传卡巴斯基网络安全服务器。由于KSN上没有这个程序的规则，会开始由本地的三个保护组件对程序进行分析。一般情况下，系统监控和程序控制没什么什么可疑动作都会允许。当由位于非信任组的程序执行位于信任组的动作，会进行相关的提示。

  交互模式：这个模式下分组都由用户的选择来进行，卡巴斯基会弹框进行提示。当带有数字签名的程序运行时，若选择信任此程序，这个程序会被归信任组；若选择限制运行，这个程序会被归到高限制组；若选择阻止，这个程序会被归到不信任组。当没有带有数字签名的程序运行时，若选择信任此程序，这个程序会被归到低限制组；若选择限制运行，这个程序会被归到高限制组，若选择阻止，这个程序会被归到不信任组。

  卡巴斯基保护工作都可以依靠本地保护组件完成，云只是辅助。云是杀软发展的趋势，即使是趋势，发展全云的时机尚未到来。安全厂商应踏踏实实的发展，而不是过度的吹嘘云的的威力，自身的技术和设备都未达到，只能增添些笑料，成为随风飘散的一朵云！

显示全部楼层 · 发表于 2011-6-30 12:20:03

本帖最后由 ˇじ☆ve塗于 2011-6-30 12:31 编辑

支持教程、、、

显示全部楼层 · 发表于 2011-6-30 12:20:32

嗯，支持教程
很有实际意义

显示全部楼层 · 发表于 2011-6-30 12:23:08

学习了，

显示全部楼层 · 发表于 2011-6-30 12:29:49

本帖最后由 superax 于 2011-6-30 14:45 编辑

还加人气吗？我也要一个

显示全部楼层 · 发表于 2011-6-30 13:15:33

学习一下，感谢分享

显示全部楼层 · 发表于 2011-6-30 13:41:13

支持一下。。
不知道卡巴的云和金山等国产软件的云相比优势在哪里。。

显示全部楼层 · 发表于 2011-6-30 13:54:07

算了吧我应用程序中有一个进程始终都无法手动把它拖入信任组而且这个还是系统进程。。无语。。

而且卡巴斯基确实有的时候莫名其妙的cpu进程高达100% 退出都不行啊

显示全部楼层 · 发表于 2011-6-30 13:59:21

魔子戒发表于 2011-6-30 13:41
支持一下。。
不知道卡巴的云和金山等国产软件的云相比优势在哪里。。

卡巴斯基2012具备“云”和“本地”的复合式防御体系，比单独使用传统的病毒特征库查杀恶意软件数量要高出100多倍，可全方位、多层级保护用户的信息财产安全。

显示全部楼层 · 发表于 2011-6-30 14:02:14

黑羽发表于 2011-6-30 13:59
卡巴斯基2012具备“云”和“本地”的复合式防御体系，比单独使用传统的病毒特征库查杀恶意软件数量要高出 ...

广告词这个我看过。。
3Q斑竹。。

谈卡巴斯基云应用与程序控制

评分

评分

评分

评分