瑞星“云安全”发展历程
2009-08-27 07:52:04摘要:瑞星的“云安全”系统并不是简单的搜索引擎技术的引入,它提出了一个更符合互联网精神的安全防御思想,并成功的将运用这一防御思想构建了第一个区域互联网安全威胁防御平台。
第一节“云安全”发展回顾
1.瑞星“云安全”雏形:瑞星疫情检测网 2005.07—2007.12
2005年7月7日,瑞星疫情监测网正式启动。该网络可以处理新病毒样本、攻击案例统计等,并根据这些信息作出处理。从某种意义上说,这是瑞星“云安全”系统最原始的雏形。
2007年12月,瑞星卡卡5.0beta版发布,其中加入“可疑文件在线诊断”功能,用户遇到系统异常后,用“瑞星卡卡”扫描后,软件会把可疑文件列出来,用户点击“一键搞定”之后,会把这些可疑文件上传到瑞星服务器,由服务器对其进行分析,并给用户反馈分析结果。
这是瑞星“云安全”系统在原始雏形上的进一步发展,其服务器端的很多功能已经具备,只不过客户端的功能相对较弱,而且整体思想还停留在单机防毒之上,算是“云安全”发展过程中一个重要的阶段,
2.瑞星“云安全”试运行 2008.03
2008年3月,初步搭建成功的云安全系统,与瑞星卡卡5.0对接,其中具备“在线诊断”功能,用户电脑上扫描到的可疑文件上传到“云安全”服务器,服务器返回处理结果,帮助用户查杀木马和病毒。
3.瑞星“云安全1.0” 2008.07
2008年7月,随着瑞星卡卡6.0的发布,瑞星正式推出“云安全”系统,用户安装瑞星卡卡之后即可加入“云安全”。云安全1.0实现了对互联网上新出现的木马病毒全面、精确、实时的监控和查杀。
4.瑞星“云安全2.0” 2008.12
2008年12月,瑞星2009新品发布,“云安全”系统升级到2.0。在检测、查杀木马病毒的基础上,增加了对挂马网站的拦截、监测和封杀功能。并于2009年1月推出全球唯一一个“恶意网站监测网”(mwm.rising.com.cn)。
第二节 “云安全”的本质
在瑞星“云安全”系统建立初期,安全行业内部有两种技术路线的争论:是依靠海量服务器、基于搜索引擎技术的“云架构”系统,还是依靠分布在互联网每个角落的用户搭建的“云安全”系统。
“云架构”的思路是,既然用户受到的安全威胁来自互联网,基本局限于网页、邮件、互联网文件这三种途径。那么,把互联网上的这三种东西都标上安全等级,用网页爬虫去搜索网页,发现恶意代码就标上不安全,如果用户企图访问这个网页,我就返回结果阻止。同样,邮件和文件也这样做,理论上可以阻止网络上的所有攻击。
“云安全”的思路是,依靠分布在互联网每个角落的用户,把所有用户都连接起来,其中一个受到攻击,则服务器收到其上传的信息之后,把分析结果返回给网络中的所有端点。这样无论出现多少种网络威胁,只要最初遭到攻击的客户端及时上报信息,则经过服务器的分析处理,返回结果之后,整个网络可以在最短之间内获取对该攻击的免疫能力。
这两种思路,在不考虑硬件处理能力的情况下,都可以达到很好的效果。“云架构”其实是延续单台计算机防毒的思路,企图以中心服务器建立整个互联网范围内的“病毒特征库”。
(某国外厂商的云安全系统逻辑图)
尽管有很多技术共通,例如大规模并行运算、网页爬虫等技术,在瑞星“云安全”中也有应用,但是,由于安全行业特殊的性质,简单的套用搜索引擎的技术并不适合,我们都知道互联网的内容在不断的爆炸性的增长,再好的搜索技术也做不到实时汇集更新,在页面信息搜索领域我们可以容许检索到的信息过时,但在反病毒领域,如果提供过时的病毒特征信息则很可能带来严重的误报。
这种思路本质上没有改变防御系统的模式、只不过是更多的利用了网络技术,并不没有发挥互联网共享协作的巨大优势。
第三节 安全防御系统的互联网化-瑞星云安全
客户端不只是简单的从服务器“获取”特征码、挂马网址等信息,而且一旦遭遇攻击,会把信息“贡献”给服务器。每一台客户端都是既“索取”又“贡献”,这样整个网络才能有很强的自我完善、自我升级的能力。
瑞星云安全的三大特点:
1、改变了反病毒工程师的工作内容,从手工分析病毒到“人工+机器智能”,处理效率更高。
2、绝大多数需要耗费资源放到了服务器端。例如虚拟机里进行的仿真环境分析病毒、通过网页爬虫搜索与挂马网站连接的黑客网站等等。客户端只要连接服务器,就可以获取最新的功能。这样,“云安全”客户端(瑞星杀毒软件)的体积就会越来越小,而功能则越来越强,可以最大限度减少对用户电脑资源的消耗。
3、通过实时分析海量客户端上报的攻击信息,研究其中的挂马网站发展趋势、智能主动防御拦截到的可疑文件行为,瑞星可以事先预测到大规模的挂马网站攻击、病毒感染等,从而提前做好相应的防范。
第四节 “云安全”改变了反病毒行业
研究方向更加明确,全面精确的掌握“安全威胁”动向
反病毒工程师不但可以准确的了解用户感染了哪些木马病毒,被哪些挂马网站攻击,通过云安全系统对这些威胁信息的深入挖掘。还可以对互联网安全威胁做准确的预估,就像人们通过卫星云图预告天气一样,瑞星云安全系统可以准确预告互联网上的安全大事件。
例如,近期微软公告的视频控件漏洞、Office漏洞等,在补丁未发布之前,瑞星杀毒软件就可以通过“网页防挂马模块”拦截,无需等待微软的补丁。这就是因为通过分析“云安全”系统上报的挂马攻击行为,把这些危险行为做成“行为特征库”加入到瑞星全功能安全软件中,使其拥有了“免疫”能力。
防御系统的构建,改变反病毒行业的模式
传统反病毒工程师都是这样工作的:用户用电子邮件上报可疑文件,工程师手工分析,给用户回信,同时把病毒特征码加入杀毒软件的特征库。
有了云安全系统,瑞星反病毒工程师的工作大不一样:真正需要手工分析的病毒寥寥无几,大多数工程师都在分析“云安全”系统里的病毒趋势、挂马网站行为等等,从“分析单个病毒”到“分析病毒群的趋势、特征”,这是巨大的转变。
从某种意义说,以前的工程师有点像中医,某个人来看病,根据个体信息来诊断、开药。而现在的反病毒工程师则像在生产疫苗,一群病毒来了之后,分析其中共同的特征,开出针对这群病毒的疫苗。这些疫苗不仅可以防范已有的病毒,还能防范将来出现的同类病毒。
这就是为什么微软视频控件漏洞出现后,瑞星用户无需升级即可将其拦截。
第五节 畅想未来的“云安全”
云安全的客户个性化体验
随着云安全的不断发展,用户的客户端防御系统也将变的更加的智能化、个性化。我们甚至可以针对每个用户制定不同的病毒库,制定不同的主动防御策略,提供个性化的安全威胁预警信息。
云安全融入互联网
客户端的安全功能协作化将深入到不同类型的上网设备上。例如:手机、上网本,甚至嵌入智能冰箱、智能电视中。威胁从互联网上来就应该从互联网上进行防御。未来的互联网本身就是一个杀毒软件。
更小的体积,查杀能力更强
在云安全系统的支持下,未来将出现所有功能都运行在服务器端的杀毒软件,用户电脑上只需要安装几百K的客户端,查杀、升级、监控等所有功能都通过互联网实时提供,真正达到体积小、查毒能力强的超级杀毒软件。
查杀一切未知病毒,使用户彻底安全
[责任编辑:郑国维]