【金山KSC云启发引擎】 扼其咽喉、保其岩阻——刨根问底，谈谈我对KSC引擎的看法

天道酬勤QQ

                                            

                                          扼其咽喉、保其岩阻——刨根问底，谈谈我对KSC引擎的看法                  

                                                                                                                                             文/牛逸夫
  编者按：自从金山推出KSC（Kingsoft System Intelligent Cloud 金山系统级云启发引擎）后（如图1），一时间内业界针对KSC引擎的评价褒贬不一：赞赏者称KSC为杀软颠覆性引擎，彻底颠覆了传统文件引擎查毒方式，改“逐个查毒”为“启动点防毒”，扼住病毒启动的咽喉，从而达到灭活与防毒的效果；质疑者称KSC只是系统修复引擎中关于“异常系统项目”的检测，并无实质性进展；今天，我就带大家以技术讨论为导向，与大家深入探讨自己对KSC引擎的一些看法。



  
  纵观反病毒技术发展的20年间，反病毒技术与病毒对抗、免杀技术在此消彼长中进行着持久的对抗——根据经验表明：每一种新的病毒对抗、免杀技术出现后，势必会有一种新的反病毒技术来遏制这种病毒的传播，从而形成了一种病毒制作者（团队）与安全厂商之间相互制约、对抗与平衡的局面。而为了识别不断变化的病毒，反病毒技术也在不断的提升：从最早的特征码、广谱特征码、静态启发、动态启发、再到后来的主动防御总共经历了四个阶段，对抗时间不可谓不长，对抗成本不可谓不多。
   
  而到了现在，安全厂商越来越发现其存在一种瓶颈无法突破——即对于一种新的病毒，或者新的免杀和对抗技术，安全厂商只有在其出现后才能进行分析、响应和查杀，而且逐渐增加的特征库也使杀毒软件体积臃肿、查杀缓慢、难以在当今的互联网时代与最新病毒相对抗。

而互联网安全厂商的应对这种瓶颈与方法与策略是什么呢？
  
先看360——360在去年早些时候推出了360的后台云鉴定器（实质上是上千个API序列判定规则的一个合集，针对单文件信息进行查询和鉴定）、云QVM（QVM引擎的本质是“基于统计学”的查杀引擎，它分析大量的样本特征及行为，将海量的样本进行分类统计，由图标、引录表、代码节、调用函数值进行分类汇总，并划出相应权限，多个行为汇总以后，打出分数从而判定文件）等技术，以加快其对于新病毒的响应速度，一定程度上使360在响应和处理最新病毒上有了一定进步，但仍然未突破这样的瓶颈。
  
再看金山——云端方面：将水银平台（金山云后台）、爬虫系统、鹰眼、文件信誉云（黑白名单）进行整合，后来又加入了30余款云鉴定器参与鉴定，并辅以云K+和微特征匹配（一种类似于fuzzy hash的算法，但实现方式和技术手段不同，因为金山做了大量服务端交互，只有跟服务端交互成功才会进行匹配，反之则提取MD5并上传文件到云鉴定器进行分析），这些技术的无缝结合与实际运用极大的提高了金山毒霸对于一个最新病毒的响应速度、以及对于已知攻击模式的未知病毒的分析、处理和响应能力——在2009年时，云端响应一个文件需要3小时到5小时，在2010年时把这个响应时间缩短到3—15分钟，而现在只需要99秒。

  
  金山的确把响应速度缩短到了一个极致，但是在今天这样一个“网银支付宝满天飞”、“社交网络危机四伏”、“XX门频繁出现”的复杂互联网环境下，受各种经济利益驱使的病毒作者和团队们会就此善罢甘休吗？不。他们仍会使用各种免杀、对抗、绕过等方法，利用杀毒软件在未响应时大面积传播、感染计算机，窃取用户信息、财产，给网民带来巨大损失。

或许有人会问：“难道就真没有一种反病毒技术，能够防患于未然绞杀最新病毒？难道就真没有一种反病毒技术，能够赶超在病毒前面主动加关设卡，防止病毒入侵？难道就真没有一种反病毒技术，能够具有前瞻性、自我学习并不断与最新病毒相对抗？

  答案是否定的，原因是KSC的出现。

  KSC的工作原理究竟是什么？竟能够拥有如此实力掀起杀毒软件技术改革的大旗，彻底颠覆传统文件引擎的查杀方式？我们不妨先看看官方的介绍和科普：
  
  传统引擎都是基于单个文件内部特征进行黑白判断的，与系统相对独立；而KSC则是系统级别的云体系，它无视文件本身信息，转而聚焦文件所处环境——操作系统的多维度安全特征，全面封锁和侦查启动点，让活体病毒没有任何启动和继续活跃的机会，在病毒最关键的启动点给予精准致命打击，从而形成了全新的系统安全模式。KSC的鉴定对象是系统三维安全特征属性，而非文件本身。可以形象地说，KSC就是系统全维度启动点的守护神 .
  
  由官方的介绍中我们不难看出，KSC与传统的文件引擎的工作原理是存在着显著的差别的。
  我们先看一下传统文件引擎的特征码查杀原理：安全厂商提取出一段病毒才可能会有的一串二进制字符串，而这字符串通常是文件里对应代码或汇编指令的地址，杀毒软件会将这一串二进制字符串用某种方法与目标文件或进程作对比，从而判定该文件或进程是否感染病毒。
  后来安全厂商发现这种简单特征码已经不能实现对于病毒变种的查杀时，就出现了复合特征码、广谱特征码，静态启发、虚拟机启发（也称动态启发）等反病毒技术，而这些技术的出现只是一定程度上提升了传统文件引擎的检出率，是对传统特征码扫描的一种补充，并未从根本上改变传统文件引擎的查杀原理，导致传统文件引擎对于病毒的查杀仍然是“病后求医”，仍然存在滞后性等诟病——这就好像警察抓捕犯罪分子，但却都是在警察得到罪犯的具体样貌特征、行为特征之后才去下达抓捕令，结果导致了犯罪份子已经犯下滔天罪行之后警察才能去抓捕，但悲剧此时已经发生。
  
   知道了传统引擎的原理后我们再来看KSC引擎：
  

        传统文件引擎的扫描范围是单文件信息（文件与系统相对独立），而KSC则将是查杀与防御级别提高到了系统级别层次——这就意味着KSC只专注操作系统的多维度安全特征，这里所说的“系统多维度安全特征”是指文件与系统其他文件之间的关系、对系统文件影响的判定。而正是因此KSC才会在系统关键区域和极易被病毒利用的启动点和关键项布关设卡，全面监控和封杀一切可能被病毒利用的启动点，并对所有云端KSC体系中的关键启动点进全面、重点的监控。   
        而且KSC还能对系统多维度的数据进行统计和分析，并利用统计学理论，不仅能从中自学习、自推断、自启发，更能够不断动加入新的扫描策略，智能总结家族病毒泛特征，从而不断提高毒霸对于活体病毒的查杀效果和响应速度。
         
  再看KSC云启发引擎和传统基于单文件引擎的区别：
  

  传统的单文件启发式引擎（例如360的云QVM）是分析大量的样本特征及行为，将海量的样本进行分类统计，由图标、引录表、代码节、调用函数值进行分类汇总，并划出相应权限，多个行为汇总以后，打出分数，其本质就是总结出API序列规则，原理是当发现未知样本后利用云端中已知的API序列规则进行查询，如果这个未知文件的API序列中有存在于黑名单中的则判定为黑文件，反之则为白文件。
  
  而KSC与其不同，我要强调的是KSC是基于系统级别的多维度安全特征，是文件与系统文件之间的关系而并非文件本身，它是文件对系统影响的一个多步判定，所以KSC解决的是对系统有影响的活体病毒而绝非僵尸病毒。

        
  这意味着每个金山毒霸客户端的KSC引擎都会将根据自己所处系统多维度安全特征进行扫描，并智能进行扫描策略的分析、统计和总结，并将这些扫描策略上报云端KSC，让金山毒霸的每一位用户都能享受到全世界所有装有金山毒霸的计算机的KSC扫描策略，实现在云端的KSC扫描策略的共享，这样KSC引擎就成了一个巨大的互联网系统多维度安全特征的数据采集、鉴定、学习和处理工具，也可以说KSC是一个巨大的安全平台。（如图2）
        
        
        
        
        由此可见，KSC当然不仅仅是一个云启发引擎，它更是一个巨大的安全平台，现在KSC在金山毒霸中的运用还只是刚刚起步，处于在启发引擎阶段，我们暂且可以称它为KSC 1.0阶段，以后KSC还会逐渐运用于K+主防、边界防御、云鉴定器、防黑墙、网购保镖、系统修复引擎等等，发展前景十分广大。比如拿K+主防举例子，可以从KSC云端的系统多维度策略进行判断，然后进行实时拦截，极大的弥补了云鉴定引擎的短处。
        
        
        当然这只是KSC应用的一个举例，KSC这样一个巨大的安全平台究竟能与金山多维度安全防护体系结合出什么样的奇迹我们拭目以待！
（下图三展示了KSC云平台和各金山防御体系之间的关系）

BHHZDQL

一堆纯文字解说，然后只看到两张官方图
比篇幅比不上隔壁云主防科普，要比实际内容比不上测试帖
用了大量的夸张修辞手法
99秒算极速？几年前的说法了吧
为什么不能制造一个木马团攻击看看各自实力么？
不要质疑哥，哥今天心情不太好

tjh0429

原帖编辑掉！

安仔

完善了64位系统防护的全面性和稳定性再考虑来说

apje

文字高手。。

sxyuqiao

喷金山的是够多了

这也是给金山的一个激励吧，希望快点把KSC平台化

到时候出数据出成效，也就不会有这么多人质疑了。

sxyuqiao

安仔 发表于 2012-4-9 22:01
完善了64位系统防护的全面性和稳定性再考虑来说

我64位用着很爽几乎没问题啊，能否给几个例子金山在64位下的不全面和不稳定？

sxyuqiao

tjh0429 发表于 2012-4-9 21:53
"这些技术的无缝结合与实际运用极大的提高了金山毒霸对于一个最新病毒的响应速度、以及对于已知攻击 ...

这个建立在识别上
如果本地加壳过了金山，那就没这个说法了

如果被判断未知上传了，那被鉴定成功几率一般都在80%，90%以上

从我用金山几年来看，金山云鉴定速度确实有着这样的进步。

Humhook

没有数据  只是介绍而已

pop0762

360的QVM跟金山的KSC，我们可以理解为拼音输入法和五笔输入法。前者说我只需要知道字音我就可以把它打出来，不需要知道它由什么结构组成。后者则说，我不需要理会它怎么读，我只要知道字根结构我就可以把它打出来。到底哪个厉害？那就取决于打字的那个人，即编程的工程师们。