云安全进入“秒杀”时代 是用户的福音吗

　　在3Q大战之后，360迅速上市，成为IT领域里一匹黑马，本以为上市后360会沉默，结果前一段时间又因为秒级云鉴定与金山打得火热。事情起因是这样的，金山2012版推出，打出3D防御概念，并推出99秒云鉴定的说法，同3Q大战如出一辄，360立刻推出自已的新版，打出Pro3D全面防御体系，并推出1秒云鉴定，矛头直指金山。

　　揭秘云鉴定

　　以往云安全采用全文HASH的方式来进行云鉴定，这种技术的致命缺陷就是无法更好地识别病毒样本变种，制造者只需改动一个字节就能轻松绕过云安全系统。这次两家打出的秒级云鉴定概念，都是基于上述问题的改进版。两家共同点是摒弃了以往文件全文HASH方式而采用局部特征。

　　金山采用微特征加文件扫描的技术。微特征本质是对每个程序文件选取几个关键位置点，用这些关键位置点来标识每种类型的文件，每种类型的文件有不同的局部HASH提取算法，当匹配到相应的类型后，再选取一段数据来算局部HASH，然后传到云端去做黑白名单的匹配，当匹配不成功时，则会上传文件到云端，利用云端的后台扫描系统对文件进行二次鉴定。这种先判断关键点再取HASH的方式可以排除掉大量的文件，起到了加速作用。

　　360的云鉴定则采用模糊向量技术。模糊向量的本质是基于文件结构特征，即将文件分解成若干结构，按每个结构取特征，然后将特征分类，形成结构特征库，下发到本地，大部分文件通过这种通配的方式即可被鉴定，这是360声称可以1秒云鉴定的原因。

　　99秒 VS 1秒 VS 0秒，谎言还是炒作？

　　抛开厂商的自说自话，我们来分析一下当下最大的安全威胁是什么。经过20多年的发展，病毒已经进入泛技术时代，它们已不再追求技术实现的可能性，而是更加关注如何获得非法收入。在这种情况下，木马就成了最流行的病毒类型，而网站挂马则成了最流行的传播方式，每天会有成千上万的恶意链接和恶意程序产生，有些恶意链接甚至以秒为单位动态变换。

　　不幸的是，尽管每个主流安全厂商都有自己的捕获系统和交换渠道，仍然无法及时捕获所有样本，这些没有被任何厂商识别的样本就成了一种新的威胁群体--ODAY病毒。在云安全大行其道的今天，这种ODAY病毒则是最大的威胁，它们每多存活一天，就能给用户带来更多的经济损失。

　　无论是99秒、1秒抑或是0秒，讲的都是文件鉴定的速度，厂商在炒作这个概念的时候已经误导了用户，给他们形成一种文件鉴定速度高云安全就有效的心理预期。事实上云安全对用户真正的价值在于病毒样本的获取速度而不在于鉴定的速度，在最短的时间内将ODAY病毒变成可识别的病毒，才能真正意义上减免用户的损失。

　　下面我们做个小测试来看一下“秒杀”级云安全引擎对样本的捕获速度。我们通过跟踪挂马网站获得了768个0day样本，先扫描一次，然后每隔一天再扫描一次，病毒识别曲线如下图所示：

　　1小时后，金山和QQ的识别率在20%以下，360可以达到40%，24小时后，金山和QQ对样本的查出率在30%左右， 360达到60%， 而样本的全部查杀，则都在三天以后。也就是说，三天以后，这些病毒对用户的危害才能减少到0。 如果大量的ODAY病毒无法及时捕获，后端分析再强大也形同虚设，普通用户中毒后，是很难找到可疑文件并上传云端系统去鉴定的，因此如何建立更强大的样本捕获系统，比大家拼云鉴定的速度更为重要。

　　重塑动态虚拟技术，扼制ODAY病毒

　　目前主流安全厂商都是用主动防御的思想来找到未知样本，即设定宽泛的规则，将触发这些规则的文件上传到云端分析。这种思路会产生几个问题：用户损失大量流量;厂商得到大量无效样本;只能通过庞大的客户端来进行动态监控并上报。

　　而事实上，应对ODAY病毒最有效的方式就是基于动态虚拟技术的启发式查毒。提到动态虚拟技术，可能专业人士会立刻想到瑞星的虚拟机技术，其实这两者有相同的地方，也有不同。

　　瑞星的虚拟机技术就是基于这个原理，它虚拟了CPU常用的X86指令，将文件加载到这个虚拟机上去执行，然后分析和判断文件的行为。这种技术在感染式病毒的时代，还十分有效，但是到了木马横行的今天就毫无用处了。原因在于目前大部分的病毒是木马形式，木马里大量使用了操作系统提供的API，操作系统的API是一个相对封闭的指令集，需要做输入、输出和堆栈的处理，情况非常复杂，而瑞星的虚拟机并没有对此做处理，因此对木马的查杀和壳的处理效果很不好。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]