用过TIS2010的进来一下，谢谢。官人看见了最好回答一下。。。

derek2005

我们决战云端，从宏观的角度解决问题，嘿嘿！
Covey 发表于 2010-3-13 09:59

    问一下，趋势的云是体现在防御力嘛？或者主动防御里？

就比如诺顿的SONAR，扫描虽然查不出，但是恶意软件运行后能拦截这种

主动防御

回复 10# Covey


    说句话官人表生气啊，看了趋势官网的介绍，对于新文件和网页分析貌似要15分钟，卡巴斯基的主动防御和应用程序控制（自动模式98%，交互式接近100%，在2009版本卡饭就有人测试过）可以零时差拦截。

   希望趋势加强主动防御和HIPS（希望是自动的HIPS）的研究，趋势的主防不太严密，启发式最好使用虚拟机启发+基因启发，配合云安全可以很大程度上拦截病毒。

说实话趋势的云很厉害，但是分析文件和网页是有时间差的。启发式居然靠报壳，这点不像一个国际厂商的样子

Covey

我举点云安全的例子给大家看看，相信云安全在不久的将来，有更好的表现。
1.传统防病毒技术（最实际最有效的那块）
出现病毒 > 开始传播  〉某一客户发现未知病毒 〉 提交病毒试验室 〉 确认问题 〉通过病毒码发布

弊端：
a.以前病毒作者，已出名为目标，传播速度快。现在的病毒作者，以钱为目标，某种角度上控制病毒的传播速度
b.病毒码的发布周期有限制的，目前最快的厂商，也就几个小时一次

云安全下的防病毒技术：
a.利用云的无限容量/速度，收集巨量的文件，做成正常文件数据库
b.安装有云技术的客户端，发现一个新的文件不存在正常文件数据库中，其带有某种程度的恶意行为，云客户端自动上传至云安全数据库，进行智能检测，或邀请人工的参与
c.确认新文件没有问题，则立刻加入正常文件数据库，有问题则立刻加入病毒库
云安全防毒的整个响应过程，在几分钟内完成，而传统防毒技术，最快也要几个小时

Covey

还有个背景，就是病毒约来越多，传统防病毒技术，无以为继

Covey

云安全2.0-黑色产业链的克星

一. 黑色产业链的"蓬勃发展" 　　21世纪,是属于信息技术的时代。信息技术是推动当今人类发展的最重要动力之一．也是改变大众生活的主要手段。每个人都享受着信息技术带来的多姿多彩的便利生活。不过信息技术也是一把双刃剑，黑色产业链的极速发展，出乎所有人的意料之外。据中央电视台“经济半小时”报道，仅中国一年的黑色产业链的收入，已达到上百亿元的规模。 　　目前，在我国已基本形成了制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱这一分工明确的网上黑色产业链。恶意软件产业化的一个明显标志是病毒制造者从单纯的炫耀技术，转变成以获利为目的；前者希望病毒尽量被更多的人知道，但后者希望最大程度地隐蔽病毒，以更多地获利。黑色产业链上的每一环都有不同的牟利方式，这也让网民对“互联网地下经济”防不胜防。 　　以“灰鸽子”为例，木马的制造者作为第一层次，本身并不参与“赚钱”或只收取少量的费用，但是他会在木马中留有后门；程序编完后，由病毒批发商购得，提高价格卖给大量的病毒零售商，后者开始招募“徒弟”，教授木马病毒控制技术和盗号技术，收取“培训费”，之后往往将“徒弟”发展为下线，专职盗号或窃取他人信息，被木马侵入的最底层机器被称为“肉鸡”，这些用户的个人信息、账号、游戏装备、私人照片、私人视频等被专职盗号的黑客盗取后在网上的正规交易网站正常交易。黑客也可以将“肉鸡”倒卖给广告商，被控制电脑被随意投放广告，或者干脆控制电脑点击某网站广告，一举一动都能被监视。 二．无以为继的传统防病毒技术 　　黑色产业链的形成,巨大的金钱诱惑,导致恶意程序(病毒、木马等)的数量爆发式增长， 从下图可得知，在2008年度，每小时可诞生1800多个恶意程序，平均每2秒出现一个。TrendLabs研究人员也预测，如果恶意程序数量继续以现在的速度增长，那么2015年将会出现2.33亿种独特病毒。 　　从工作量来看，我们以每天产生25000个新恶意程序为例,假设不计算新样本的捕捉时间,每制作一个新恶意程序的防治代码,加上测试和发布,约需一个工程师的2小时。全天25000个样本共需50000小时的工作时间,以8小时工作制来计算，每天需6250位工程师来处理样本。 　　从病毒码文件的容量来看，以100万个样本的恶意程序代码为20MB计算，每天25000个样本会占用的0.5MB。1年病毒代码库增长182.5MB，2年病毒代码库增长365MB，…… 　　从病毒码文件的部署时间来看，对于购买趋势科技的订制病毒专家服务的PSP客户，从发现恶意程序，制作防病毒码到部署病毒码文件，最快也需要4个小时。 　　所以说，无论从工作量、病毒码文件的容量，还是部署时间，恶意程序数量的爆发是增长，都让传统的防病毒技术筋疲力尽，无以为继。 三.趋势科技 云安全 2.0 --黑色产业链的克星 　　为黑色产业链的巨大威胁，趋势科技推出跨时代的云安全2.0，云安全2.0是通过云计算技术保护客户免受恶意网页、邮件、文件攻击的新一代安全防护体系。 云安全2.0的三种信誉服务 　　为了躲过传统的病毒侦测，各种恶意文件以及协助散播这些文件的垃圾邮件、网站层出不穷。面对这些数量庞大的网络威胁，单凭用户自行更新病毒代码等传统方式早已难以为继。为此，趋势科技利用特别研发出的信誉评估技术，通过实时更新的安全等级信息，在各种威胁入侵前彻底防御这些危险攻击。信誉评估技术是由收录邮件服务器评估数据的“邮件信誉技术”、收录Web评估数据的“Web信誉技术”，以及收录文件评估数据的“文件信誉服务”三者结合而成。 云安全2.0的多协议关联分析 　　三种信誉服务之间可相互交流信息。例如发现钓鱼信件时，该信件中链接网址的信息将被传送到Web信誉数据库，经判定为恶意网页的话，则会被记录在Web信誉数据库中。若在此网页中发现恶意文件时，此信息将会传送到文件信誉数据库。如此一来，只要一旦发现恶意内容，就能立刻将相关来源或文件记录在数据库中。通过这种方式可达到前所未有的高速运作，迅速地将各种网络威胁的信息记录在数据库中。当用户实际遭受网络威胁时，系统早已有了安全防护策略的可能性则大幅提升。 云安全2.0的智能型反馈系统 　　云端威胁数据库与云安全2.0对应产品之间随时保持信息交流。云安全2.0所支持的产品将发现的各种威胁动向，回报至云端威胁数据库，而各种威胁的最新防护策略再传送回云安全2.0所支持的产品中。这种信息的双向交流，称之为Smart Protection Network。即使是以特定用户为目标进行的攻击信息，也会立刻反映到网络上的信誉评估数据库，再根据关联分析进行调查，让全世界的用户皆可运用此信息进行安全防护。 四.支持趋势科技云安全 2.0的产品 　　趋势科技的下列产品,已经包含云安全2.0技术,建议您尽快使用, 以确保你公司的企业网络不受黑色产业链的侵害. 趋势科技威胁发现设备 Threat Discovery Appliance http://cn.trendmicro.com/cn/products/enterprise/Threat-Discovery-Appliance/index.html 趋势科技防毒墙网络版OfficeScan 10.0 http://cn.trendmicro.com/cn/products/enterprise/OSCE10/index.html 趋势科技Web安全网关IWSA 1500/2500/5000/6000/10000 http://cn.trendmicro.com/cn/products/enterprise/interscan-web-security-appliance/index.html 趋势科技邮件安全网关IMSA5000 http://cn.trendmicro.com/cn/products/enterprise/interscan-messaging-security-appliance/ 趋势科技中小企业无忧安全解决方案Worry-Free Business Security http://cn.trendmicro.com/cn/products/sb/client-server-messaging-for-smb/

Covey

卡巴的技术的确好，但由此导致误报率也高啊。。。

volunteer

回复 15# Covey


    云安全2.0主要还是用在企业上~~

volunteer

回复 13# Covey


    是的，非常同意官人的说法~~

主动防御

回复 16# Covey


    趋势的云确实不错，但是没有主防和自动HIPS，不可能提供零时差防护，因为从新文件出现到云安全收集，然后分析，这是有时间差的，而主动防御和自动HIPS则是零时差防御。

趋势作为一个全球著名安全厂商，启发式居然靠报壳完成，这是不能理解的。

关于卡巴的误报。

首先说特征码误报，卡巴自从进入中国市场后一直在改进，起码我所使用的中国软件QQ，迅雷之类的他没有误报。卡巴斯基的特征码在中国的误报已经很少了。

再说应用程序控制和主动防御PDM的误报，卡巴斯基依靠程序数字签名和KSN网络数据库白名单，对正常文件给予信任组的权限。如果没有数字签名或不在KSN白名单之类，那么卡巴斯基会自动分析程序行为，自动分组，这里将使用基因启发和虚拟机启发模拟运行进行分析。

volunteer

回复 19# 主动防御


    防止未经授权的更改应该算是趋势的主防~