langzi2009
中级用户
积分 311
发帖 299
注册 2009-8-2
|
#1 【转】世界在变,观念也要变了---谈金山的云安全技术
从1987年出现第一款杀毒软件至今,已经过去了23年的时光。杀毒软件经历了特征码-启发-主动防御-云安全的阶段和转变。我觉得大家对于杀毒软件的某些防护方式也应该要有所改变。
例如当纯主动防御刚出来的时候,很多传统杀软捍卫者非常无法接受这种“不需要扫描”的防护方式,他们觉得“等病毒发作再防御”简直是匪夷所思。我在很长一段时间内都听到“不扫描,那病毒木马不发作岂不是就占满了我的硬盘”,或者“一发作再防御岂不就晚了”。他们认为,“不扫描”太“有悖纲理伦常”了。但是最终随着微点、毛豆等纯主动防御软件强大防御力的体现,大部分人又转向了对这种防御方式的痴迷。尤其是当手动HIPS被大家接触的时候,不管懂不懂英文、懂不懂注册表、懂不懂系统,大家都要尝试一下“DIY”的滋味,在他们看来,拥有了“操控感”才是安全的体现。
在云安全出现以前,卡饭的病毒扫描区风平浪静,大家站在同一起跑线上,拿着同一份试卷,各自做完,打分走人,“公平”的状态持续了很久,第一代云安全杀软出现,也没有打破这份安宁。因为运用了第一代云安全的杀软大多只是把病毒库搬到了云端而已,其本质仍然是扫描+查杀的方式。而且那会云安全杀软查杀率也并不高,因为光靠病毒库的特点,使纯云安软甚至比不上本地有启发的杀毒软件。
直到某一天,第二代云安全杀软出现了。我说明:这里指的是迈克菲的“Artemis ”技术。当用户收到一个被扫描代理认定为“可疑”的文件(如加密文件或打包文件),而本地DAT 文件数据库也没有特征码,那么扫描代理就使用Artemis 技术发送文件指纹,即时在Mcafee Avert Labs 的综合数据库进行查询。如果确认这个指纹是已知恶意软件,就会在几毫秒内向终端用户计算机发回一个响应,从而阻止或隔离该文件。这是“秒级防御”也就是“云防御”最初步的体现。
但是由于迈克菲仍然拥有本地强大的防护技术,这个技术被认为是锦上添花,以至于被很多人忽略了。真正引起了卡饭论坛测试区“地震”的,是一款国产杀软:金山毒霸2010(云查杀版)→金山毒霸2011
金山毒霸2010云查杀刚出来的时候,大家都以为金山毒霸仅仅是运用了“云端病毒库”的技术,也是类似于很多很多其他的云安全杀软一样,病毒库在云端,本地轻量化,仅此而已。直到某一天,样本区出了一件大事:
那是2010年4月12日的一天,也正是金山毒霸2010云查杀版发布的第6天,测试区出现了一个举世瞩目的成绩:100%的查杀率!整个测试区包括国内区都震惊了!这是卡饭从未出现过的成绩!一时间金山毒霸云查杀名声大噪,大家纷纷关注这款杀软的各个方面。但是官方刚开始并没有放出任何技术风声,大家的猜测也仅仅停留在“金山的云库很齐全”的概念上。
终于有一天,金山官人揭开了“第二代水银系统”的奥秘。金山的云安全与别人不同的是:云端病毒库并不是防护能力大增的秘密武器,超强的服务端未知病毒识别技术才是杀手锏!金山毒霸的云安全真正地走在了其他云安全的前面---包括迈克菲“Artemis ”。
金山云安全的最大优势体现就在于其“速动性”。目前其他任何杀毒软件也不具备(我敢这么说)客户端发现一个新病毒,能够在如此短的时间内进行自动上报分析,然后不需要升级病毒库,直接将防护下发到每一个用户的用户机上的能力,并且令人惊奇的是这个能力并不仅仅是体现在查杀上,还体现在静态防御上(云防御)!
随着测试的进行,一个个令人称奇的成绩出现在了卡饭样本测试区:98%、96%、91%、97%、93%.......一时之间,金山毒霸的查杀率降到90%以下似乎都变成了不可能。虽然中间由于服务器调试,出现了几天的低测试率,但是经过调试完毕,金山毒霸又继续领跑群软。
卡饭测试区不得不重新更改了测试方式,刚开始规定只能看30分钟内的响应,结果金山在10分钟就响应完成了,达到了90%+的查杀率。测试区不得不再次更改规则,只看首次查杀率。结果金山毒霸首次查杀率也仍然达到了测试区的平均水平。
许许多多的网友大声抗议:难道我们扫描电脑,都需要二次扫描才能保证安全么?
我想说的是:请问你们又有多少机会第一个中一个未知病毒呢?你以为你时时刻刻都处于卡饭样本测试区的“首发”环境下么?
我们从杀毒软件和用户两个方面来说:
1、从杀毒软件来看,传统杀毒软件发现一个新病毒,肯定是不能杀的(假如这个病毒过了主防,那也是不能杀的),那么他从截获到能杀,有多少人会中招呢?这个概率,绝绝对对比金山毒霸要高吧?因为假如有一个新病毒,ABCDE五个人,他们如果用传统杀软,那么A中了,B也中了,CD都中了之后,可能E才有幸避免。而他们如果用金山毒霸,A中了之后,BCDE都不会中了,因为毒霸响应比传统杀软快多了。
2、从用户看,出现一个新病毒。有5000个人在环境中,那么不管是用金山还是卡巴,刚开始面对这个新病毒都是不能杀的,也就是说首次中毒率为1/5000。金山毒霸=卡巴。
然后二次中毒率是多少呢?以卡巴的反应速度(我觉得是很快的了),需要手动上报邮件系统(我们假设上报不花时间,当然这是不可能的),收到确认病毒反馈的时间大概是1小时~1天(卡巴是以升级病毒库的方式进行新病毒防御的,一小时一次),假如是一小时,病毒1分钟感染一个新用户,那么你二次感染的几率就是60/4999,甚至是600/4999。但是金山毒霸就不同了,他最快能在1分钟内响应,我们就取10分钟,二次感染的几率那也是10/4999,甚至是1/4999。
而且这还的是第一个用户知道上报的结果,假如用户不知道上报,那卡巴的二次感染率会更高。毒霸显然是有优势的。
有的朋友喜欢拿微点来说事。就这么说吧。假如一个新病毒出现,假如微点能杀,那么同样5000个人,毒霸用户首次中毒率还是1/5000,微点用户首次中毒率是0%,似乎很好很强大了。但是假如这个病毒过微点,结果大不一样了。由于微点不具备快速收集病毒样本的能力(还是靠人工上报),更新病毒库也不勤快(据说很久不更新一次)。很有可能当用毒霸的只有10个人中了的时候,用微点的5000个人都中了个精光(当然可能还会剩下一点)。因为这个病毒只要过一次微点,他就能过N次微点;但一个病毒过了一次毒霸,很可能就再也过不了了。这就是云安全相对于主防的优势了。
所以随着杀软技术的更新,大家的观念也要改变。大家总是提到云安全断网啊断网啊还是断网啊的问题,我倒是想问了:读书的朋友和企业工作的朋友,你看看图书馆、教室的不联网的电脑或者档案室的电脑,那些总是插U盘的机子,哪个不是毒窝?你们见过哪个安全软件不升级还一柱擎天坚持不倒的没?在下是一次也没见过。甚至杀软和病毒共欢乐的情景也见过不少。要知道:大部分的朋友还是用的普通杀软,其实用HIPS、主动防御包括微点的都是很少一部分。断网的电脑本就没有安全可言,云安全保不了它,其他任何杀软包括智能主防也保不了它!当然完全手动HIPS也许可以保,但问题是你见过一个玩HIPS的人电脑长期不联网么?
其他关于云安全的弊端呢,这里也不再赘述,许许多多是“伪命题”。毫无疑问,云安全带来的杀软革命是会一直持续下去的。大家可以不信,可以不接受,但是阻止不了历史的车轮滚滚向前转动。未来的趋势,将会是一个综合型防护技术的时代,其中云安全将起到举足轻重的作用。云安全体现的是“安全”,这一份安全,将不会是任何一次卡饭的样本包扫描测试可以体现出来的!
| |
※ ※ ※ 本文纯属【langzi2009】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
[color=red][size=6]与时俱进[/size][/color] |
|
|
