剖析云安全 炒作还是实用(1)

“云安全”这以概念从提出之时起就备受争议。今天我就来详细解剖一下云安全。为此
首先我们需要了解一下传统的杀软是如何工作的。传统的特征码杀软流程一般如下：收集阶段：少数的用户专门上报，厂商的爬虫程序、MiGuan程序——>分析阶段：病毒分析员、机器分析——>反馈阶段：数小时一次的定义更新。由此我们可以看到整个过程完全是厂商在负责。同时也能看到这样的流程有极大的缺陷：1、周期过长。一般杀毒软件的定义更新需要数小时到数十小时，有较长的一段反应真空期2、收集范围狭隘。仅仅
借助厂商的收集程序和少量的用户上报不能做到广泛的收集样本。3、白名单收集不够。和第二点类似也是由于收集范围过于狭隘所致。传统的主动防御流程一般如下：准备阶段：收集足够的样本，详细分析，总结出行为特征库——>发布阶段：发布主防产品——>反馈阶段：收集被绕过的样本，改进主防。整个过程的流程比特征码更漫长，往往需要数周，数月的周期。可见，传统的杀软都有一个共
有的缺陷，那就是反应速度过慢。做过免杀的朋友都知道，一个木马在出炉前是要检验的，用几乎所有的杀软都扫一遍，有时候还要运行尝试，大部分不报才能出厂。一个木马只要有心去做没有过不掉的杀软。主防也一样，有时候甚至比特征码更容易过，为什么？因为只要有人发现了一个漏洞，
那么就可以制作出一大串的绕过样本，如果保密得当那么在很长一段时间内都有效。为了在一定程度上解决这个反应速度过慢的问题，于是就推出了“云安全”的概念。我们
来看看云安全是如何解决上述传统杀软所面临的问题。我先以国内云为例，国内的云将客户端作为一个收集器，凡是不在云端库内的程序，都会被上传到服务器进行分析鉴定，并在较短的时间内所有用户都可以得到反馈。我们看到国内云端有如下优势：1、周期短，反馈速度快。机器分析一般只需5到30分钟就可以完成，而且由于病毒库在云端因此不 需要升级就可以得到保护。2、收集范围广泛。除了用户专门上报，厂商的爬虫程序、蜜 罐程序之外，每个客户端都变成了一个收集器，收集能力将成倍提高。3、不仅收集病毒还能收集白文件。可以用来降低误报。
但是不少朋友
觉得万一“断网”怎么办？？会出现“首批牺牲者”的问题。首先关于“断网”。那么我们先设想这样一种情况，比如一个样本，经过了免杀处理过掉了绝大部分的杀软，同时云端也没收集到。这时传统杀软被免杀了，因此检测不出来，运行后中毒，如果没被针对性断网但由于病毒库更新周期的尔逊子啊在很长一段时间内查不出来，如果被断网了那么无法升级也查不出来。再看看云杀软，云杀软检测不出来，运行后断网中毒，无法连接云端。 因此“断网”样本无论是传统的还是云端的都是不能解决的，也就没有所谓传统杀软对断网样本更厉害之说。其次关于“首批牺牲者”。云安全是用来缩短周期，用来减少中毒人数的。可以这么说传统杀软不仅有“首批牺牲者”，还有“二批牺牲者”直至“n批牺牲者”，直到病毒被上报，病毒库更新后为止。也许有人看了后觉得疑问了，云和以前的在线病毒上报有什么区别？？区别就在于参与用户数量的不同！在线病毒上报，还有多引擎网站能有
多少用户去积极使用？？退一步讲，就算大家都去用，但是在线上报网站的服务器还吃不消呢。在线病毒扫描无论是其面向对象的狭窄性（只有少数人才会用这个），还是反应的滞后性（即便上报后得出了结论也需要等待下一次病毒库升级才能生效）都不能和现在的云安全相比。云的创新并不在于技术上有多先进，而在于一种模式的
转变，或者说是思维方式的转变：将以前完全是厂商在负责的东西，一部分交给了客户去完成。 1 2 下一页>>查看全文 内容导航第 1 页：传统杀软 第 2 页：云安全技术 原文：剖析云安全 炒作还是实用(1) 返回网络安全首页