导读:以Google为代表提出的“云计算”是我们听到最多的关于“云”的应用。而近期,国内的安全公司瑞星提出了一个新的关于云的应用——“云安全”。
网络病毒已出现爆炸式增长,通过应用“网络云”,将互联网变成一个杀毒软件,也许可以保障网络安全。
云的概念我们已经不再陌生了,其中包含这样的一种思想:把所有的力量联合起来,给其中的每一个成员提供服务。以Google为代表提出的“云计算”是我们听到最多的关于“云”的应用。而近期,国内的安全公司瑞星提出了一个新的关于云的应用——“云安全”。
云安全的概念是把所有用户面临的木马病毒的威胁汇集起来。通过自动化的处理方式,使得在云里面的任意用户,他的安全获得保障。瑞星希望通过“云安全”的计划,将整个互联网变成一个杀毒软件,让联上网络的电脑都成为木马病毒的监测站,让大家帮助大家。
病毒席卷网络
电子邮件带毒、即时通信工具带毒、网上下载的电影和MP3带毒、网页上被植入木马……可以说,只要电脑接入互联网,就会立刻面临木马病毒的包围。
根据瑞星最新公布的数据,目前木马病毒呈现出爆炸性增长的趋势。据统计,自从1988年莫里斯蠕虫病毒出现直到2004年,全球病毒总数不过10万,而目前瑞星每天就能截获8-10万种新病毒。
而一个普通的病毒分析工程师,每天最多能分析20个左右新病毒。并且大部分木马病毒和后门程序在运行时,普通用户是难以感知的,直到QQ密码被盗、网络游戏和网上银行的账号丢失,用户才能知晓。如果让一个普通用户去查看注册表的可疑信息,并提取病毒样本上报给安全公司,几乎是一件完全不可能完成的任务。
而如果按照每天20个病毒的分析能力来衡量,处理每天出现的10万个病毒,则需要每个安全公司拥有5000名病毒分析员。即使是国内最大的安全企业瑞星公司,也只有200名安全工程师。
那么,面对成几何级数爆炸增长的新木马病毒,反病毒公司何以承担如此严峻的任务?用户又如何能够在上万个病毒围攻下安全脱身?
海量的新增病毒和产业链化的攻击行为,导致安全公司的传统反病毒模式失效,国外反病毒公司Trend Micro的CEO最近也表示,目前反病毒业界的状况糟糕极了。原有的以用户上报为核心的样本收集体系已经难以为继,因此全球安全行业都在寻找新的技术和安全模式。
安全厂商目前面临的最大难题是,如何快速地截获大部分木马病毒,并分析处理海量的木马病毒。利用“云”来保障互联网的安全,成为全世界众多安全厂商共同的战略。
互联网就是杀毒软件
瑞星“云安全”(Cloud Security)计划的内容是,将用户和瑞星技术平台通过互联网紧密相连,组成一个庞大的木马/恶意软件监测、查杀网络,每个“瑞星卡卡6.0”用户都为“云安全”(Cloud Security)计划贡献一份力量,同时分享其他所有用户的安全成果。
其计划的核心包括“瑞星卡卡6.0”的“自动在线诊断”模块、瑞星的“木马/恶意软件自动分析系统”等。每当用户启动电脑,“自动在线诊断”模块都会自动检测并提取电脑中的可疑木马样本,并上传到瑞星“木马/恶意软件自动分析系统”(Rs Automated Malware Analyzer,简称RsAMA),整个过程只需要几秒钟。随后RsAMA将把分析结果反馈给用户,查杀木马病毒,并通过“瑞星安全资料库”(Rising Security Database,简称RsSD),分享给其他所有“瑞星卡卡6.0”用户。
理想状态下,一个盗号木马从攻击某台电脑,到整个“云安全”(Cloud Security)网络对其拥有免疫、查杀能力,需要的只是几秒钟时间。
瑞星的“木马/恶意软件自动分析系统”(Rs Automated Malware Analyzer,简称RsAMA),从2007底开始搭建,并于2008年3月投入试运行,目前官方发布的信息是,每天可以处理10万个可疑木马样本。
它是通过对大量病毒样本进行自动分类与共性特征分析,而使得病毒分析工程师的处理效率成倍提高。也就是说,虽然每天瑞星收集到的木马病毒样本有8~10万个,但是瑞星的自动分析系统能够根据木马病毒的变种群自动进行分类,并利用“变种病毒家族特征提取技术”分别将每个变种群的特征进行提取。这样,对数万个新木马病毒进行自动分析处理后,真正需要真正人工分析的新木马病毒样本只有数百个。
瑞星副总裁毛一丁认为,“这次我们走在了全球安全行业的前端。” 国外反病毒公司Trend Micro的CEO近日也曾认为,只有“云-客户端”的架构才能有效地打击黑客,它的核心思想也是利用云计算架构,来保护网络以阻挡来自网络世界的威胁,并且它还将计划建成一个基于云计算的全球网络威胁智能网络。
而欧洲安全厂商Panda则于2008年5月份巴塞罗那公布了一个类似的战略。它将其云计算服务称为“Collective Intelligence”(集体人工智能),通过云端的主机群收集并存储终端用户和互联网中的应用程序的行为模式、档案记录和新的恶意程序样本。这样,不再需要客户端保留病毒库特征,所有的信息都将存放于互联网中。当全球任何角落的终端用户连接到互联网后,与云端的服务器保持实时联络,当发现异常行为或病毒等风险后,自动提交到云端的服务器群组中,由云计算技术进行集中分析和处理。
“云安全”最终所要达到的目标就是将整个互联网变成一个杀毒软件。接入网络的用户越多,新木马病毒暴露在监测节点面前的几率就会增大,“木马/恶意软件自动分析系统”(RsAMA)收取并分析处理的样本就会同步提升,而每一个“用户从“瑞星安全资料库”(Rising Security Database,简称RsSD)所获得的新木马病毒查杀能力就会提高。也就是说,参与“云安全”计划的用户越多,整个互联网就越安全。
难点依然存在
单看提倡“云计算”的Google、IBM等专业厂商,每个都是财大气粗、技术雄厚。“云安全”计划对于厂商的硬件、技术、财力的要求同样也有很高的要求。
瑞星拥有近20年的反病毒经验,是国内最早将行为模式判断、虚拟机脱壳和智能主动防御等新技术应用在产品中的厂商,也最早提出族群式查杀的概念。技术上,并不是最大的难点。
而瑞星的“木马/恶意软件自动分析系统”(RsAMA)光是服务器就有上百台,为了保障和海量用户随时的通信,预计为了保障“云安全”计划实施,每年付出的服务器托管和带宽费用将高达上千万。瑞星能否长期保持投资,为用户带来持续的安全是需要用时间来检验的。
一个瑞星卡卡6.0用户提交的可疑木马样本分析结果,可以分享给所有用户;每个瑞星卡卡6.0用户,都可以分享其他所有用户的安全成果。
自动分析系统的处理流程
数据来源:瑞星全球反病毒监测网
评论列表
|
||||||
OA
