剖析云安全 炒作還是實用
“云安全”這以概念從提出之時起就備受爭議。今天我就來詳細解剖一下云安全。為此首先我們需要了解一下傳統的殺軟是如何工作的。
傳統的特征碼殺軟流程一般如下:收集階段:少數的用戶專門上報,廠商的爬蟲程序、MiGuan程序——>分析階段:病毒分析員、機器分析——>反饋階段:數小時一次的定義更新。
由此我們可以看到整個過程完全是廠商在負責。同時也能看到這樣的流程有極大的缺陷:
1、周期過長。一般殺毒軟件的定義更新需要數小時到數十小時,有較長的一段反應真空期
2、收集范圍狹隘。僅僅借助廠商的收集程序和少量的用戶上報不能做到廣泛的收集樣本。
3、白名單收集不夠。和第二點類似也是由于收集范圍過于狹隘所致。
傳統的主動防御流程一般如下:準備階段:收集足夠的樣本,詳細分析,總結出行為特征庫——>發布階段:發布主防產品——>反饋階段:收集被繞過的樣本,改進主防。
整個過程的流程比特征碼更漫長,往往需要數周,數月的周期。
可見,傳統的殺軟都有一個共有的缺陷,那就是反應速度過慢。做過免殺的朋友都知道,一個木馬在出爐前是要檢驗的,用幾乎所有的殺軟都掃一遍,有時候還要運行嘗試,大部分不報才能出廠。一個木馬只要有心去做沒有過不掉的殺軟。主防也一樣,有時候甚至比特征碼更容易過,為什么?因為只要有人發現了一個漏洞,那么就可以制作出一大串的繞過樣本,如果保密得當那么在很長一段時間內都有效。為了在一定程度上解決這個反應速度過慢的問題,于是就推出了“云安全”的概念。
我們來看看云安全是如何解決上述傳統殺軟所面臨的問題。我先以國內云為例,國內的云將客戶端作為一個收集器,凡是不在云端庫內的程序,都會被上傳到服務器進行分析鑒定,并在較短的時間內所有用戶都可以得到反饋。
我們看到國內云端有如下優勢:
1、周期短,反饋速度快。機器分析一般只需5到30分鐘就可以完成,而且由于病毒庫在云端因此不 需要升級就可以得到保護。
2、收集范圍廣泛。除了用戶專門上報,廠商的爬蟲程序、蜜 罐程序之外,每個客戶端都變成了一個收集器,收集能力將成倍提高。
3、不僅收集病毒還能收集白文件。可以用來降低誤報。
但是不少朋友覺得萬一“斷網”怎么辦??會出現“首批犧牲者”的問題。
首先關于“斷網”。那么我們先設想這樣一種情況,比如一個樣本,經過了免殺處理過掉了絕大部分的殺軟,同時云端也沒收集到。這時傳統殺軟被免殺了,因此檢測不出來,運行后中毒,如果沒被針對性斷網但由于病毒庫更新周期的爾遜子啊在很長一段時間內查不出來,如果被斷網了那么無法升級也查不出來。再看看云殺軟,云殺軟檢測不出來,運行后斷網中毒,無法連接云端。 因此“斷網”樣本無論是傳統的還是云端的都是不能解決的,也就沒有所謂傳統殺軟對斷網樣本更厲害之說。
其次關于“首批犧牲者”。云安全是用來縮短周期,用來減少中毒人數的。可以這么說傳統殺軟不僅有“首批犧牲者”,還有“二批犧牲者”直至“n批犧牲者”,直到病毒被上報,病毒庫更新后為止。
也許有人看了后覺得疑問了,云和以前的在線病毒上報有什么區別??區別就在于參與用戶數量的不同!在線病毒上報,還有多引擎網站能有多少用戶去積極使用??退一步講,就算大家都去用,但是在線上報網站的服務器還吃不消呢。在線病毒掃描無論是其面向對象的狹窄性(只有少數人才會用這個),還是反應的滯后性(即便上報后得出了結論也需要等待下一次病毒庫升級才能生效)都不能和現在的云安全相比。
云的創新并不在于技術上有多先進,而在于一種模式的轉變,或者說是思維方式的轉變:將以前完全是廠商在負責的東西,一部分交給了客戶去完成。 #p#
再談談我對國內云不同之處的理解。就目前云安全私以為有兩種:
一種是以信譽認證為主要手段的云安全
在這種云安全中主要運用以下技術,1.終端用戶評價體系。這種用戶評價打分式的社區體系,就容易被黑客利用,進行刷分,但從大范圍來講還是靠譜的。2.數字簽名驗證體系。對有可信廠商的數字簽名的文件,給予較高的信譽度,一般情況下不會出問題。當然也有些木馬有偽造的或者利用小廠商的數字簽名,對偽造的數字簽名只要嚴格驗證是能發現的(卡巴斯基2009曾出現對數字簽名驗證不嚴而被利用的情況)。 3.文件統計及屬性評價體系。這種以文件在客戶端的分布規律,擴散速度,新老程度,文件的屬性(比如是否隱藏,文件名是否是隨機命名、混淆命名、流行病毒常用命名等可疑名稱,是否在系統關鍵文件夾中)進行統計分析得出文件是否有惡意的結論,缺點是需要一段時間來判定。當然評估體系使用的手段絕不僅僅限于此,這里只是稍作講解。
另一種則是以機器自動分析為主要手段的云安全(比如金山,360)
在這種云安全中主要運用以下技術。1.高級啟發式分析,這種啟發式分析不同于普通客戶端的啟發式分析,由于服務器性能強大,啟發式分析可以做的更復雜專業,對代碼靜態分析更深入,因此偵測率更高,同時誤報也高。2.高級虛擬機行為分析。同樣,靠著服務器的強大性能,可以在完全仿真(比如使用VMWare,甚至隔離式實機)的情況下對文件進行判定,其優缺點和上述啟發式一樣。3.多引擎查殺。借助合法來源的多種殺毒軟件作為參考。
不論使用那種手段,云安全最根本的顛覆就是不再和以前一樣僅收集黑名單(病毒特征庫),而是把所有文件分為黑,白,灰(未知)三類,并通過技術手段把灰文件判定成白或黑文件,借此力圖一網打盡所有文件獲得"***"安全。
而云安全的理念絕不僅僅于此,還能和HIPS結合,打造智能主防。比如360就是本地內置HIPS模塊當發現程序危險動作時,連接云服務器查詢,判斷是否攔截。再比如卡巴斯基,把云信譽數據反饋到HIPS的彈框中,以便于選擇。再比如諾頓把云融入sonar的主防中,提高查殺率。
原文鏈接:http://www.kafan.cn/article-664-1.html
【編輯推薦】
