我國的反病毒技術(shù)起源自20世紀(jì)90年代,以各種基于特征碼的惡意代碼檢測(cè)方法和基于文件數(shù)據(jù)、程序行為的啟發(fā)式檢測(cè)為主。隨著云計(jì)算技術(shù)的發(fā)展,各個(gè)廠商陸續(xù)提出了自己的云安全技術(shù)理念及相應(yīng)的產(chǎn)品。但這些產(chǎn)品多數(shù)的本質(zhì)并沒有脫離特征檢測(cè)這一方法,只是特征的提取與匹配計(jì)算方式有所變化。
首先是病毒特征碼從客戶端采集向云端采集的遷移。為了解決文件數(shù)據(jù)不斷膨脹,惡意代碼不斷增加給用戶帶來的內(nèi)存、硬盤、IO 等負(fù)擔(dān),云安全技術(shù)首先利用云計(jì)算實(shí)現(xiàn)了特征存儲(chǔ)在云端,用戶需要檢測(cè)的時(shí)候在本地提取特征送往云端檢測(cè),進(jìn)一步在云端取得相關(guān)的處置方法。應(yīng)用此類技術(shù)的軟件可以被稱作云安全軟件。
其次云安全引入了更加豐富的樣本采集手段。從傳統(tǒng)的用戶上報(bào)、廠商主動(dòng)獲取(下載站點(diǎn)、爬蟲、光盤采購等),轉(zhuǎn)向了由所有用戶共同組成的一個(gè)網(wǎng)絡(luò)在這個(gè)網(wǎng)絡(luò)的基礎(chǔ)上進(jìn)行采集,而采集的樣本變得異常豐富:
1)可以通過數(shù)字簽名進(jìn)行可信文件和非可信文件采集。對(duì)于授信證書簽署的文件可以對(duì)其進(jìn)行采集,配合后端分析減少惡意代碼特征的誤報(bào)。
2)可以通過文件的分布信息進(jìn)行基于分布的流行文件采集,對(duì)發(fā)現(xiàn)流行惡意代碼、傳播迅速的惡意代碼可以更快地發(fā)現(xiàn)。
3)可以通過文件的來源可信程度進(jìn)行采集,對(duì)于易被感染的計(jì)算機(jī)終端(或傳播惡意代碼的站點(diǎn)),新發(fā)現(xiàn)的文件可疑程度也就更高,及時(shí)的采集則可以更快地發(fā)現(xiàn)惡意程序。
4)通過API監(jiān)控技術(shù)和沙箱技術(shù)進(jìn)行特定行為觸發(fā)的采集。此方式對(duì)于賬號(hào)信息盜取,敏感信息竊取的木馬類采集異常有效。而云技術(shù)則可以對(duì)敏感位置和敏感數(shù)據(jù)提供時(shí)時(shí)更新。
再者云安全技術(shù)引入了新的惡意代碼分析方式。惡意程序可以基于文件的分布廣度、文件的數(shù)字簽名、文件在計(jì)算機(jī)終端的實(shí)際行為進(jìn)行分析檢測(cè)。云將這種檢測(cè)由原來的后置分析變成了在用戶現(xiàn)場(chǎng)進(jìn)行的實(shí)際環(huán)境的采集和記錄,對(duì)于云端來說需要的是對(duì)這些采集獲取的數(shù)據(jù)進(jìn)行更多的計(jì)算和分析,來判別文件的黑白。而無論是采取虛擬機(jī)、沙箱、API監(jiān)控還是網(wǎng)絡(luò)數(shù)據(jù)抓取等任意技術(shù)為云安全提供數(shù)據(jù)的終端設(shè)備,都可以被稱作是云安全設(shè)備。
最后云安全設(shè)備提供了按需采集數(shù)據(jù)的能力,這些數(shù)據(jù)構(gòu)成了分析提取惡意代碼特征的基礎(chǔ)。云安全軟件提供了按特征進(jìn)行惡意代碼檢測(cè)和處置的能力。云安全設(shè)備和云安全軟件為廠商提供了用戶需求,廠商可以為用戶提供定制的安全服務(wù),而廠商需要采集哪些惡意程序樣本并安裝客戶端需經(jīng)用戶允許才可進(jìn)行。這兩種按需提供的安全服務(wù)構(gòu)成了現(xiàn)有的云安全技術(shù)體系。但這個(gè)圍繞著發(fā)現(xiàn)惡意代碼建立的安全體系在面對(duì)新安全威脅時(shí)存在著明顯的弱點(diǎn)。
京公網(wǎng)安備 11010502049343號(hào)