漫谈反病毒技术新宠-云安全

自从1987年第一款杀毒软件诞生至今，已经过去了27年的时光。第一款杀毒软件的技术和现在的杀毒软件的技术已经迥然不同了。随着电脑病毒、木马的不断更新换代，反病毒技术和手段也在不停地顺应时代的变化而一直在进步。

以前公认的反病毒技术有以下几种：

1、特征码查杀技术;

2、启发式查杀技术;

3、行为检测技术。

其中特征码查杀是几乎所有杀毒的根本与基础(详见http://www.killdu.cn/zhishi/4415.html)。启发式查杀技术则是在特征库和规则库的基础上的一种有限的未知病毒识别技术。行为检测技术是前一段时间的主流，包括HIPS(基于主机的入侵防御系统)、智能主动防御、沙盒/虚拟机行为动态分析等。

其中，以行为检测技术-尤其是智能主动防御和HIPS最受人关注。因为任何病毒不管自身如何变种，其破坏和感染行为是相似的，只要杀软的行为检测技术足够强大，理论上不可能有任何病毒可以对计算机进行破坏(除非病毒放弃感染不发作)。

但是理论终究是理论，理想的技术体现是不存在的。以上的反病毒技术都有一个共同的、致命的弱点，那就是：全部是基于主机的。一款杀毒软件，是任何病毒木马最早最优先的标靶，任何病毒木马在运行前，必然要先破坏/绕过/穿透目标计算机的反病毒系统。其常用的办法有加壳免杀、变形、改变自身头指针、修改自身特征段来逃避特征码查杀;还有部分病毒能够绕过主动防御系统的规则设定和驱动拦截、优先于杀毒软件启动、终止杀毒软件进程等等。杀毒软件在明，病毒木马在暗。无论杀毒软件多么强大，技术多么完善，由于其是“以一身敌万军”，终有筋疲力尽之时。再加上一款杀毒软件必须要考虑到用户机的硬件和软件承载能力，所以再怎么先进的技术，放到了用户机上，都必然要大大缩水，甚至部分全功能的杀毒软件比病毒木马的存在还要卡机，这就违背了杀软作为个人计算机安全防御的初衷。

“云安全”技术的产生，彻底终结了病毒对基于个人计算机的安全软件的破坏行为。病毒与个人计算机杀软的对抗立即升级为病毒对服务器端综合型反病毒技术的对抗，而由于服务器端的硬件分析能力远远超越个人计算，病毒终于撞上了一堵铜墙铁壁。

其实，早期的云安全并没有达到上述的理想水平。由于云安全第一需要海量的客户端(云安全探针);第二，需要专业的反病毒技术和经验;第三，需要大量的资金和技术投入;第四，必须是开放的系统，而且需要大量合作伙伴的加入。第一条和第三条极大地限制了当初国内反病毒公司发展云安全的道路。

国外的大型反病毒厂商对于云安全有各自的理解和诠释：

ESET NOD32公司于2006年在其高级启发引擎中加入了名为ThreatSense.Net预警系统的专利技术，当杀毒引擎发现某个软件非常可疑，但又不足以认定它是病毒时，ThreatSense.Net就会收集软件的相关信息，并与中心服务器交换资料，中心服务器通过所有收集到的资料便能够迅速准确的作出反馈。这是云安全从客户端收集未知病毒样本的雏形。

趋势科技在2008年发布了SecureCloud云安全技术，该技术比客户端收集未知样本更进一步，它借助趋势科技的威胁快速检测技术，在威胁从web到达个人计算机之前即可拦截，这其实是云端病毒库运用的雏形。

卡巴斯基在其全功能2009版本中加入了“卡巴斯基安全网络”， 在用户“知情并同意(Awareness&Approval)”的情况下在线收集、分析(OnlineRealtimeCollecting&Analysing)用户计算机中可疑的病毒和木马等恶意程序样本，并且通过平均每小时更新1次的全球反病毒数据库进行用户分发(InstantSolutionDistribution)。这是云安全快速反应并以病毒库更新模式进行的技术体现。同样以病毒库快速升级为体现的国外云安全技术采用者还有诺顿智能云防护/脉动更新技术，但是诺顿还加入了白名单可信认证技术，比纯黑名单的云安全更进一步。

熊猫安全公司推出了一款完全基于云端病毒库的防病毒软件“Panda Cloud Antivirus”，象征着纯云客户端软件正式登上了主要反病毒软件的舞台。之前有部分安全辅助软件运用到了纯云技术，但由于其防护能力的欠缺而没有登上主角的舞台。随着熊猫云杀毒的诞生，主要杀毒软件厂商纷纷将云安全作为主要杀毒技术推出。

迈克菲公司推出的“McAfee Artemis”技术是云安全技术的重大创新，并且这种云安全技术正在成为众多云安全技术的主流，那就是防护时间的极大缩短，直到可以无限接近本地病毒防护技术的响应时间。当检测到可疑文件时，Artemis技术将实时连接到迈克菲服务器，确定此文件是否包含恶意程序。检查将在几秒钟内完成，对用户的体验不会带来任何实质影响。Artemis技术把防护时间差从几小时或几天缩短到几秒，让云安全一跃成为本地防护技术的主角。

国内杀毒软件厂商的云安全之路：

国产杀软厂商几乎全部推出了自己的云安全技术，瑞星云安全采用的是与卡巴斯基类似的木马/恶意软件监测、查杀网络系统，由用户端收集样本，再转由服务器下放至其他客户端：

江民公司的云安全则是云+沙盒的方式。江民公司更加注重本地反病毒技术的研发。所采用的云安全技术和NOD32类似，也是由客户端收集样本，集中分析之后下发到用户端。但是江民公司更注重对病毒的本地防护，所以更多的防御是由本地沙盒完成的，云安全是辅助功能。

金山毒霸2011是国产厂商中唯一同时具备了诺顿的可信文件认证技术、迈克菲的Artemis技术的“秒级防御”的反病毒产品。金山也是国内最早研发“互联网可信安全”的厂商。当众多云安全公司把目光放在对黑文件的识别能力上的时候，金山已经率先走出了对白文件进行可信认证的一步。

我们来看看传统云安全的架构：

主要流程是：从互联网收集样本→数据自动处理→将识别结果下发到用户。我们可以看到，在这个过程中，并没有涉及到对白文件的识别，系统收集到的是“恶意软件样本”。

如此一来，最重要的问题出现了：假如客户端不能识别恶意软件样本怎么办?岂不是会导致新的样本根本无法在短时间内被收集呢?

这里引申到了一款杀软是识别“黑文件”还是“白文件”的问题：假如是识别黑文件，那么云安全的收集系统将和普通的本地反病毒技术没有什么不同，病毒仍然可以通过加壳免杀等手段避免被传统云安全收集到。而识别白文件技术就不同了，病毒不管怎么变种，只要与白名单不符，统统收集。这就杜绝了病毒依靠变种来避免被云安全收集到的隐患。

金山的可信云安全架构：

新的云安全技术，必然要引入“云防御”的概念，就像迈克菲的Artemis技术一样，达到“秒级防御”，才能从根本上保证病毒无法入侵个人计算机，并且其他人同时得到云安全的防护。

庞大的服务器的承载能力+准确的服务器的分析能力+白名单认证+极速云库防御同步=主动防御+沙盒+启发+虚拟机的本机防护能力-所有这些防御能力带来的电脑性能缺失。

最终完善的云安全+适当的本地防护能力，将会获得以前依靠巨大的客户端、极大的资源消耗也达不到的本机防护能力，并且本地客户端将缩减到最轻最小。“只要有云，就有安全”。