实际上云安全防御并不存在“第一批牺牲者”之说 （PS：comodo）

ww635077649

经常看到有人质疑云安全在遇到新病毒时，肯定是处于最外围的一批用户作出牺牲换取整个云的安全，这只是理论上的分析。实际在现实中（至少金山云是这样，别的厂家我不了解，无权评论），处在最外围的是分布在亚洲各地的云安全服务器，这些服务器在主动收集病毒（比如在虚拟机中不断访问互联网主动去中毒），并用多种手段分析入库（如图），牺牲的实际上是外围服务器上的虚拟系统。
还有经常有人威胁说“某个病毒你能防御，但是给你双击运行一下看看”，这也是理论上的质疑。而在实际中，病毒在下载过程中或者压缩包解压过程中，就会被杀软干掉（主防做不到这一点），而不用等病毒木马运行后再“行为防御”，从这点上看主防也是“被动防御”了。现在的特征码已经不是停留在过去的传统特征码，已经有了很多新的发展，当然辅助以主防会更加强大。
再者，经常有人问“金山卫士查杀率这么高了，还要毒霸干吗”，查杀率只是个静态防御，在实际情况中，更重要的是实时监控的动态防御，“防毒胜于杀毒”，在病毒木马进入机器后开始运行前就干掉，而不是等到用户去扫描，我认为等到病毒木马运行后再去拦截都有些晚了，不过特征码辅以主防当然比单独一种更加强大！微点主防软件以主防为主以特征码为辅也非常强大，传统HIPS软件是不能与之相比，单纯只有行为防御的主防软件难以保证系统安全（在单奔的情况下），至少现在世界上没有哪款让用户单独使用的主防软件能脱离特征码的（做的最好的微点主防也是如此如图），所有HIPS软件都只是号称杀软的必备辅助软件，和杀软绝无冲突。

PS：有人拿comodo举反证，那么要知道comodo的产品叫“comodo firewall”，不是叫“comodo 主防软件”，也就是说官方没有推荐用户单独使用comodo的HIPS。当然你可以只安装它的defense+，不过有多少人能做到靠自己的规则来做到比较安全的单奔呢？












PS ：附上金山官方针对金山可信云安全疑点解惑 http://bbs.duba.net/thread-22170333-1-1.html

ww635077649

今天恰好有空，过来卡饭转转~

wd19880427

顶楼主

白羊座

mi-guan、虚拟机这种东西，呵呵，不是什么毒都能捕捉得到的，不然还会有用户中毒么？还有金山查不出的样本么？

回复 2# ww635077649


    你搞笑呢，现在中毒网马直接运行了，自解压的也是直接运行，u盘病毒也是直接运行，你以为是做病毒样本测试啊

sun2009

TO：等到病毒木马运行后再去拦截都有些晚了

正因为如此，所以还是需要HIPS，因为这是各种其他防御方法漏掉的病毒，所以肯定会有木马运行这种情况发生，如果要加强安全性，这一关也要尽量把住把好。

铁军曾说希望各种未知程序在运行前都要先阻止被服务器分析检查，这个思路是好的，关键是技术上要解决，至少要尽可能缩短中间的间隔时间，这个要是搞成熟了，意义就大了。

ww635077649

回复  ww635077649


    你搞笑呢，现在中毒网马直接运行了，自解压的也是直接运行，u盘病毒也是直接运 ...
sololp 发表于 2010-4-13 10:32

网马防御是网盾等网页防护的部分，红伞F版没有网页防护不也能防毒么？而且再快也存在先载入内存的时间。

ww635077649

mi-guan、虚拟机这种东西，呵呵，不是什么毒都能捕捉得到的，不然还会有用户中毒么？还有金山查不出的样本么 ...
白羊座 发表于 2010-4-13 10:31

现在360卫士的HIPS貌似做成云HIPS了，联网和断网效果相差很大。

铁军说了是提取2进制特征，这个完全可以在客户端完成，在云端验证误报，而金山这个过程浪费了好几十妙。还有某人说的上传文件完整分析，你们谁相信仅靠二进制特征就可以进行完整的样本分析？

白羊座

回复 8# ww635077649


    怎么能扯到360上去的，思维跳跃很强大