国际权威杀毒评测机构负责人：云安全已成技术主流

skycai

3月11日消息，英国西海岸实验室负责人克里斯·托马斯在北京对外表示，云安全已经成为杀毒软件中的技术主流，已经成为反病毒行业重要组成部分。作为国际权威杀毒软件认证机构负责人，他认为对于一款杀毒软件而言，云安全测试已经不可或缺。

昨日下午，托马斯专程到访金山网络，向金山毒霸颁发该机构全球首个云安全测试认证，并祝贺金山一举获得包括反木马、病毒等测试在内的七项“全能”认证。目前国内所有反病毒软件中，仅有金山毒霸获得此殊荣。

托马斯在当天举行的媒体见面会中表示：“云安全测试已经越来越重要，已经成为我们反病毒行业重要组成部分。”他说，通过云安全测试也确实表明金山在杀毒业界占有领先的地位。

此外在回答记者提问时他还进一步表示，云安全已经成为目前反病毒软件的技术主流，包括一些人所担忧的断网可能造成云安全效率下降的问题，他认为首先基于互联网的病毒木马已经越来越流行，一旦断网病毒木马也失去了相应的效用，并且杀毒软件也会做一些修复断网的工作，因此并不必特别担心这个问题。

西海岸实验室是全球著名杀毒软件评测机构之一。多年来托马斯一直负责该实验室的运作，并亲自参与了众多知名杀毒软件的测试工作，在杀毒领域享有极高威望。

西海岸实验室从1996年开始推出Checkmark认证方案，测试结果公正、客观，被全球认可为最值得信赖的认证之一。

聆听落雨

云成为主流，你也要看是哪种云，别随便拿一个云就说是主流

360Tencent

做下简单介绍   “云安全”这以概念从提出之时起就备受争议。今天我就来详细解剖一下云安全。为此首先我们需要了解一下传统的杀软是如何工作的。
传统的特征码杀软流程一般如下：收集阶段：少数的用户专门上报，厂商的爬虫程序、MiGuan程序——>分析阶段：病毒分析员、机器分析——>反馈阶段：数小时一次的定义更新。


由此我们可以看到整个过程完全是厂商在负责。同时也能看到这样的流程有极大的缺陷：


1、周期过长。一般杀毒软件的定义更新需要数小时到数十小时，有较长的一段反应真空期
2、收集范围狭隘。仅仅借助厂商的收集程序和少量的用户上报不能做到广泛的收集样本。
3、白名单收集不够。和第二点类似也是由于收集范围过于狭隘所致。


传统的主动防御流程一般如下：准备阶段：收集足够的样本，详细分析，总结出行为特征库——>发布阶段：发布主防产品——>反馈阶段：收集被绕过的样本，改进主防。


整个过程的流程比特征码更漫长，往往需要数周，数月的周期。
可见，传统的杀软都有一个共有的缺陷，那就是反应速度过慢。做过免杀的朋友都知道，一个木马在出炉前是要检验的，用几乎所有的杀软都扫一遍，有时候还要运行尝试，大部分不报才能出厂。一个木马只要有心去做没有过不掉的杀软。主防也一样，有时候甚至比特征码更容易过，为什么？因为只要有人发现了一个漏洞，那么就可以制作出一大串的绕过样本，如果保密得当那么在很长一段时间内都有效。为了在一定程度上解决这个反应速度过慢的问题，于是就推出了“云安全”的概念。
我们来看看云安全是如何解决上述传统杀软所面临的问题。我先以国内云为例，国内的云将客户端作为一个收集器，凡是不在云端库内的程序，都会被上传到服务器进行分析鉴定，并在较短的时间内所有用户都可以得到反馈。


我们看到国内云端有如下优势：


1、周期短，反馈速度快。机器分析一般只需5到30分钟就可以完成，而且由于病毒库在云端因此不 需要升级就可以得到保护。


2、收集范围广泛。除了用户专门上报，厂商的爬虫程序、蜜 罐程序之外，每个客户端都变成了一个收集器，收集能力将成倍提高。


3、不仅收集病毒还能收集白文件。可以用来降低误报。


但是不少朋友觉得万一“断网”怎么办？？会出现“首批牺牲者”的问题。
首先关于“断网”。那么我们先设想这样一种情况，比如一个样本，经过了免杀处理过掉了绝大部分的杀软，同时云端也没收集到。这时传统杀软被免杀了，因此检测不出来，运行后中毒，如果没被针对性断网但由于病毒库更新周期的尔逊子啊在很长一段时间内查不出来，如果被断网了那么无法升级也查不出来。再看看云杀软，云杀软检测不出来，运行后断网中毒，无法连接云端。 因此“断网”样本无论是传统的还是云端的都是不能解决的，也就没有所谓传统杀软对断网样本更厉害之说。


其次关于“首批牺牲者”。云安全是用来缩短周期，用来减少中毒人数的。可以这么说传统杀软不仅有“首批牺牲者”，还有“二批牺牲者”直至“n批牺牲者”，直到病毒被上报，病毒库更新后为止。
也许有人看了后觉得疑问了，云和以前的在线病毒上报有什么区别？？区别就在于参与用户数量的不同！在线病毒上报，还有多引擎网站能有多少用户去积极使用？？退一步讲，就算大家都去用，但是在线上报网站的服务器还吃不消呢。在线病毒扫描无论是其面向对象的狭窄性（只有少数人才会用这个），还是反应的滞后性（即便上报后得出了结论也需要等待下一次病毒库升级才能生效）都不能和现在的云安全相比。


云的创新并不在于技术上有多先进，而在于一种模式的转变，或者说是思维方式的转变：将以前完全是厂商在负责的东西，一部分交给了客户去完成。


再谈谈我对国内云不同之处的理解。就目前云安全私以为有两种：


一种是以信誉认证为主要手段的云安全
在这种云安全中主要运用以下技术，1.终端用户评价体系。这种用户评价打分式的社区体系，就容易被黑客利用，进行刷分，但从大范围来讲还是靠谱的。2.数字签名验证体系。对有可信厂商的数字签名的文件，给予较高的信誉度，一般情况下不会出问题。当然也有些木马有伪造的或者利用小厂商的数字签名，对伪造的数字签名只要严格验证是能发现的（卡巴斯基2009曾出现对数字签名验证不严而被利用的情况）。  3.文件统计及属性评价体系。这种以文件在客户端的分布规律，扩散速度，新老程度，文件的属性（比如是否隐藏，文件名是否是随机命名、混淆命名、流行病毒常用命名等可疑名称，是否在系统关键文件夹中）进行统计分析得出文件是否有恶意的结论，缺点是需要一段时间来判定。当然评估体系使用的手段绝不仅仅限于此，这里只是稍作讲解。


另一种则是以机器自动分析为主要手段的云安全（比如金山，360）
在这种云安全中主要运用以下技术。1.高级启发式分析，这种启发式分析不同于普通客户端的启发式分析，由于服务器性能强大，启发式分析可以做的更复杂专业，对代码静态分析更深入,因此侦测率更高，同时误报也高。2.高级虚拟机行为分析。同样，靠着服务器的强大性能，可以在完全仿真（比如使用VMWare，甚至隔离式实机）的情况下对文件进行判定，其优缺点和上述启发式一样。3.多引擎查杀。借助合法来源的多种杀毒软件作为参考







不论使用那种手段，云安全最根本的颠覆就是不再和以前一样仅收集黑名单（病毒特征库），而是把所有文件分为黑，白，灰（未知）三类，并通过技术手段把灰文件判定成白或黑文件，借此力图一网打尽所有文件获得"终极"安全。


而云安全的理念绝不仅仅于此，还能和HIPS结合，打造智能主防。比如360就是本地内置HIPS模块当发现程序危险动作时，连接云服务器查询，判断是否拦截。再比如卡巴斯基，把云信誉数据反馈到HIPS的弹框中，以便于选择。再比如诺顿把云融入sonar的主防中，提高查杀率。

小蚂蚁的梦想

看看

xtz1976

就是，金山应该专注于云安全，而不应把精力用于加强主防上

麻辣豆腐

云以后是趋势、就看各个运营厂家如何发展了

明镜星空

我也一直认为云安全是未来的主流

你想怎样

什么是主流 ?     什么现象才能被认为是主流现象 ?

是产品决定的吗 ?    是生产产品的厂家决定的吗?    是各色各样的评审委员决定的吗?

错 !

是用户说了算!     是市场说了算!

qwe12301

回复 3楼 360Tencent 的帖子

虽然是转的，但内容不错
个人借此楼简短发表一下看法：
云安全，其实就是非常好的一个“黑盒技术”的例子
它可以自动、快速鉴定。黑客不停改它不停鉴定不停杀。
不留在本地就可以让黑客几乎不能逆向分析“黑盒”内部机制，大大加大了免杀的难度
云安全的好处非常明显，缺点想必各位都也非常明白，所以联网保护是重中之重

360Tencent

回复 9楼 qwe12301 的帖子

谢谢