“云安全”這以概念從提出之時(shí)起就備受爭議。今天我就來詳細(xì)解剖一下云安全。為此首先我們需要了解一下傳統(tǒng)的殺軟是如何工作的。

傳統(tǒng)的特征碼殺軟流程一般如下：收集階段：少數(shù)的用戶專門上報(bào)，廠商的爬蟲程序、MiGuan程序——>分析階段：病毒分析員、機(jī)器分析——>反饋階段：數(shù)小時(shí)一次的定義更新。

由此我們可以看到整個(gè)過程完全是廠商在負(fù)責(zé)。同時(shí)也能看到這樣的流程有極大的缺陷：

1、周期過長。一般殺毒軟件的定義更新需要數(shù)小時(shí)到數(shù)十小時(shí)，有較長的一段反應(yīng)真空期

2、收集范圍狹隘。僅僅借助廠商的收集程序和少量的用戶上報(bào)不能做到廣泛的收集樣本。

3、白名單收集不夠。和第二點(diǎn)類似也是由于收集范圍過于狹隘所致。

傳統(tǒng)的主動(dòng)防御流程一般如下：準(zhǔn)備階段：收集足夠的樣本，詳細(xì)分析，總結(jié)出行為特征庫——>發(fā)布階段：發(fā)布主防產(chǎn)品——>反饋階段：收集被繞過的樣本，改進(jìn)主防。

整個(gè)過程的流程比特征碼更漫長，往往需要數(shù)周，數(shù)月的周期。

可見，傳統(tǒng)的殺軟都有一個(gè)共有的缺陷，那就是反應(yīng)速度過慢。做過免殺的朋友都知道，一個(gè)木馬在出爐前是要檢驗(yàn)的，用幾乎所有的殺軟都掃一遍，有時(shí)候還要運(yùn)行嘗試，大部分不報(bào)才能出廠。一個(gè)木馬只要有心去做沒有過不掉的殺軟。主防也一樣，有時(shí)候甚至比特征碼更容易過，為什么？因?yàn)橹灰�有人發(fā)現(xiàn)了一個(gè)漏洞，那么就可以制作出一大串的繞過樣本，如果保密得當(dāng)那么在很長一段時(shí)間內(nèi)都有效。為了在一定程度上解決這個(gè)反應(yīng)速度過慢的問題，于是就推出了“云安全”的概念。

我們來看看云安全是如何解決上述傳統(tǒng)殺軟所面臨的問題。我先以國內(nèi)云為例，國內(nèi)的云將客戶端作為一個(gè)收集器，凡是不在云端庫內(nèi)的程序，都會被上傳到服務(wù)器進(jìn)行分析鑒定，并在較短的時(shí)間內(nèi)所有用戶都可以得到反饋。

我們看到國內(nèi)云端有如下優(yōu)勢：

1、周期短，反饋速度快。機(jī)器分析一般只需5到30分鐘就可以完成，而且由于病毒庫在云端因此不 需要升級就可以得到保護(hù)。

2、收集范圍廣泛。除了用戶專門上報(bào)，廠商的爬蟲程序、蜜 罐程序之外，每個(gè)客戶端都變成了一個(gè)收集器，收集能力將成倍提高。

3、不僅收集病毒還能收集白文件�？梢杂脕斫档驼`報(bào)。

但是不少朋友覺得萬一“斷網(wǎng)”怎么辦？？會出現(xiàn)“首批犧牲者”的問題。

首先關(guān)于“斷網(wǎng)”。那么我們先設(shè)想這樣一種情況，比如一個(gè)樣本，經(jīng)過了免殺處理過掉了絕大部分的殺軟，同時(shí)云端也沒收集到。這時(shí)傳統(tǒng)殺軟被免殺了，因此檢測不出來，運(yùn)行后中毒，如果沒被針對性斷網(wǎng)但由于病毒庫更新周期的爾遜子啊在很長一段時(shí)間內(nèi)查不出來，如果被斷網(wǎng)了那么無法升級也查不出來。再看看云殺軟，云殺軟檢測不出來，運(yùn)行后斷網(wǎng)中毒，無法連接云端。 因此“斷網(wǎng)”樣本無論是傳統(tǒng)的還是云端的都是不能解決的，也就沒有所謂傳統(tǒng)殺軟對斷網(wǎng)樣本更厲害之說。

其次關(guān)于“首批犧牲者”。云安全是用來縮短周期，用來減少中毒人數(shù)的�？梢赃@么說傳統(tǒng)殺軟不僅有“首批犧牲者”，還有“二批犧牲者”直至“n批犧牲者”，直到病毒被上報(bào)，病毒庫更新后為止。

也許有人看了后覺得疑問了，云和以前的在線病毒上報(bào)有什么區(qū)別？？區(qū)別就在于參與用戶數(shù)量的不同！在線病毒上報(bào)，還有多引擎網(wǎng)站能有多少用戶去積極使用？？退一步講，就算大家都去用，但是在線上報(bào)網(wǎng)站的服務(wù)器還吃不消呢。在線病毒掃描無論是其面向?qū)ο蟮莫M窄性（只有少數(shù)人才會用這個(gè)），還是反應(yīng)的滯后性（即便上報(bào)后得出了結(jié)論也需要等待下一次病毒庫升級才能生效）都不能和現(xiàn)在的云安全相比。

云的創(chuàng)新并不在于技術(shù)上有多先進(jìn)，而在于一種模式的轉(zhuǎn)變，或者說是思維方式的轉(zhuǎn)變：將以前完全是廠商在負(fù)責(zé)的東西，一部分交給了客戶去完成。

再談?wù)勎覍�國�?nèi)云不同之處的理解。就目前云安全私以為有兩種：

一種是以信譽(yù)認(rèn)證為主要手段的云安全

在這種云安全中主要運(yùn)用以下技術(shù)，1.終端用戶評價(jià)體系。這種用戶評價(jià)打分式的社區(qū)體系，就容易被黑客利用，進(jìn)行刷分，但從大范圍來講還是靠譜的。2.數(shù)字簽名驗(yàn)證體系。對有可信廠商的數(shù)字簽名的文件，給予較高的信譽(yù)度，一般情況下不會出問題。當(dāng)然也有些木馬有偽造的或者利用小廠商的數(shù)字簽名，對偽造的數(shù)字簽名只要嚴(yán)格驗(yàn)證是能發(fā)現(xiàn)的（卡巴斯基2009曾出現(xiàn)對數(shù)字簽名驗(yàn)證不嚴(yán)而被利用的情況）。 3.文件統(tǒng)計(jì)及屬性評價(jià)體系。這種以文件在客戶端的分布規(guī)律，擴(kuò)散速度，新老程度，文件的屬性（比如是否隱藏，文件名是否是隨機(jī)命名、混淆命名、流行病毒常用命名等可疑名稱，是否在系統(tǒng)關(guān)鍵文件夾中）進(jìn)行統(tǒng)計(jì)分析得出文件是否有惡意的結(jié)論，缺點(diǎn)是需要一段時(shí)間來判定。當(dāng)然評估體系使用的手段絕不僅僅限于此，這里只是稍作講解。

另一種則是以機(jī)器自動(dòng)分析為主要手段的云安全（比如金山，360）

在這種云安全中主要運(yùn)用以下技術(shù)。1.高級啟發(fā)式分析，這種啟發(fā)式分析不同于普通客戶端的啟發(fā)式分析，由于服務(wù)器性能強(qiáng)大，啟發(fā)式分析可以做的更復(fù)雜專業(yè)，對代碼靜態(tài)分析更深入,因此偵測率更高，同時(shí)誤報(bào)也高。2.高級虛擬機(jī)行為分析。同樣，靠著服務(wù)器的強(qiáng)大性能，可以在完全仿真（比如使用VMWare，甚至隔離式實(shí)機(jī)）的情況下對文件進(jìn)行判定，其優(yōu)缺點(diǎn)和上述啟發(fā)式一樣。3.多引擎查殺。借助合法來源的多種殺毒軟件作為參考。

不論使用那種手段，云安全最根本的顛覆就是不再和以前一樣僅收集黑名單（病毒特征庫），而是把所有文件分為黑，白，灰（未知）三類，并通過技術(shù)手段把灰文件判定成白或黑文件，借此力圖一網(wǎng)打盡所有文件獲得"終極"安全。

而云安全的理念絕不僅僅于此，還能和HIPS結(jié)合，打造智能主防。比如360就是本地內(nèi)置HIPS模塊當(dāng)發(fā)現(xiàn)程序危險(xiǎn)動(dòng)作時(shí)，連接云服務(wù)器查詢，判斷是否攔截。再比如卡巴斯基，把云信譽(yù)數(shù)據(jù)反饋到HIPS的彈框中，以便于選擇。再比如諾頓把云融入sonar的主防中，提高查殺率。

在不久的將來，云計(jì)算一定會徹底走入我們的生活，有興趣入行未來前沿產(chǎn)業(yè)的朋友，可以收藏云計(jì)算，及時(shí)獲取人工智能、大數(shù)據(jù)、云計(jì)算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識，讓我們一起攜手，引領(lǐng)人工智能的未來！

標(biāo)簽： 安全 大數(shù)據(jù) 代碼 服務(wù)器 服務(wù)器性能 漏洞 云服務(wù) 云服務(wù)器 云計(jì)算

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。