由金山毒霸猎豹2012公测说起：浅谈边界防御与传统防御的区别

显示全部楼层 · 发表于 2011-7-12 21:49:02

孙子兵法说：“知己知彼，百战不殆”！说起杀毒软件的防御，就同时说说病毒的生存周期。一个病毒从制作出来，到所有杀毒软件都能查杀，我们可以看做是这个病毒的生命周期。

早期的病毒存活期在一年以上，因为当时的杀毒软件能够查杀的病毒是按照个数来算的。江民的KV6 KV100 KV600分别表示这款杀毒软件可以查杀6个病毒，100个病毒，600个病毒。所以很长一段时间，评价杀毒软件好坏的标准就是这个杀毒软件的病毒库有多大，就能防御多少病毒。
到了今天，金山毒霸的云鉴定将病毒的生存周期已经压缩到了99秒，当一个病毒出现后，毒霸会快速检测到这是一个新出现的病毒，然后将这个病毒的特征更新到云病毒库中，在通过云端同步到客户端。而评价杀毒软件好坏的标准也已经从有多大的病毒库转向有多快的将病毒入库并防御新病毒入侵的能力。
  从一年的查杀时间到99秒的云鉴定，杀毒软件的防御发生了翻天覆地的变化

  传统杀毒软件的防御：
  1.早期的安全软件，是对文件的全面监控，监控所有文件的操作，无论你是打开WORD，还是安装一个软件，杀毒软件都会先进行扫描，而当时的病毒库中存放的杀毒软件特征又不是很多，这个年代的杀毒软件效率非常低，又严重影响系统速度，并且对付新出现的病毒基本是束手无策。

  2.基于病毒库的安全软件，监控文件采取了一些优化策略，比如当用户打开文件夹时，才在后台扫描该文件夹文件，只监控新建文件操作等，效率有所改善，还是比较占资源。更新方式最快也是2个小时升级一次病毒库，对付新出现的病毒大概需要1天左右的时间。基于病毒库升级的安全软件，体积大，对病毒反应能力慢，卡巴斯基号称最快，理论值也只能达到2小时一升级。

3. 基于云的安全软件，云端解决了杀毒软件病毒库过大，体积大，对病毒反映速度慢等杀毒软件缺陷，但是一些国内的云安全软件只是通过md5查杀，只需修改一点点，木马的md5就会变化，绕过他们的云。所以这些厂商采取OEM多个引擎来弥补云端开发的不足。

4.主动防御技术的安全软件，这个卡饭讨论多次，固有缺陷，基于规则的，一般用户没有能力修改规则，频繁的询问也很打扰用户。基于云的，对于进程执行、dll加载，查云时为了保证性能，要么采取异步策略（先执行再扫描），要么采取限时策略（比如查云2秒内没有结果就放过，允许执行），你要是刚好网络不好，而且碰到了病毒，那么你就中奖了。因此不能完全依赖主动防御

金山毒霸2012的云安全+边界防御特点：

1.监控外来文件的入口，病毒文件都是有外部传入的。刚进入系统的木马都是一个个独立的文件，非常易于检出和查杀，很难做杀软对抗。等运行时再防御就比较难对抗了。
2.监控的文件入口全，包含局域网文件复制和U盘文件复制。U盘插入扫描中未发现的病毒会被检出。u盘未知的文件执行被严格限制。
3.金山独有的云查杀，采用的是特征云技术，一个特征可以对应查杀一批变种木马，大大优于md5云。并且每天分析大量样本，保证新病毒能在几分钟之内就被识别，大概1小时内在所有金山用户中能够被防御。大大缩短了病毒生命周期

4.外部文件进入系统的概率很低，因此几乎不影响系统性能，根据官方统计每天大约只有1/5的用户有下载行为，平均每个用户下载文件数在10个以内。也就是说，这些有下载行为的用户，每天平均只会触发10次扫描。普通杀软可能会触发成千上万次的文件扫描。再结合主动防御，防御效果更佳。

显示全部楼层 · 发表于 2011-7-12 21:54:49

感觉还是主动防御的一部分

显示全部楼层 · 发表于 2011-7-12 22:02:48

等正式版本再说

显示全部楼层 · 发表于 2011-7-12 22:10:48

大大优于md5(>﹏<)
金山的微特征比传统的特征码的广谱性差多了，微特征和md5的共同优点是容易进行自动分析入库

金山的微特征只要随便改下源代码就搞定了，需要云端重新入库，相对md5的优点是，单纯的给pe尾部添加垃圾代码过不了微特征，可以过md5

显示全部楼层 · 发表于 2011-7-12 22:17:20

问题是金山几乎所有的边界防御项目都是通过云来决定是否执行拦截的，也就是说只要一个病毒被鉴定为“安全”，就可以无视所有的边界防御，甚至无视实时监控，进入到系统
金山应该有另外一套鉴定方法，而不是完全依靠云

显示全部楼层 · 发表于 2011-7-12 22:38:09

金山总喜欢小题大做

显示全部楼层 · 发表于 2011-7-13 08:21:20

感觉现在瑞星走的就是HIPS路线了对于有经验的用户还是很好的
金山的云更大了

显示全部楼层 · 发表于 2011-7-13 08:52:38

边界防御？人家小A和360早就有此功能了，所以小A就有了强于监控弱于查杀的名头

显示全部楼层 · 发表于 2011-7-13 09:48:07

本帖最后由 leisong 于 2011-7-13 09:49 编辑

============要么采取限时策略（比如查云2秒内没有结果就放过，允许执行），你要是刚好网络不好，而且碰到了病毒，那么你就中奖了。===============

这个更像是针对金山的云鉴定，所有的防御全部赌在云端，且全部依靠鉴定器的准确率。一旦判断出错，整个防御线崩盘。

显示全部楼层 · 发表于 2011-7-13 09:58:27

边界防御就是拿掉本地文件监控直接监控病毒进入电脑的入口处比如网页防挂马下载保护这些就是边界防御！

[讨论] 由金山毒霸猎豹2012公测说起：浅谈边界防御与传统防御的区别