IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

瑞星“云安全”(Cloud Security)计划白皮书

2008年12月21日
/

构想:互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全

目标:全民防御,绝杀木马

关键词:“云安全”(Cloud Security)、瑞星“木马/恶意软件自动分析系统”(Rs Automated Malware Analyzer,简称RsAMA)、“瑞星安全资料库”(Rising Security Database,简称RsSD)、瑞星卡卡6.0版

我们今天面临的困境:电脑用户的痛苦和安全厂商的困境

自从1988年莫里斯蠕虫病毒出现直到2004年,全球截获的电脑病毒总数有10万个;国内最大的安全公司瑞星最新公布的数据,目前每天截获的新病毒数量就高达8-10万个,仅2008年上半年瑞星全球反病毒监测网就发现了近156万个病毒,其中大部分是木马病毒。

图1

电子邮件带毒、即时通信工具带毒、网上下载的电影和MP3带毒、网页上被植入木马……可以说,只要电脑接入互联网,就会立刻面临木马病毒的包围。但是电脑用户不是专业安全人士,在感染了木马病毒后,大部分的用户根本没有感觉,也不懂得如何通过检查注册表、可疑进程等信息进行分析并上报。

一个普通的病毒分析工程师,每天最多能分析20个左右新病毒,面对成几何级数爆炸增长的新木马病毒,反病毒公司何以承担如此严峻的任务?如果依然沿袭以往的反病毒模式,安全厂商将被淹没在木马病毒的汪洋大海中。

“云安全”(Cloud Security)计划:让每一台电脑都变成一个木马监测站

因此,除了利用主动防御技术、未知病毒分析技术等提高杀毒软件的查杀能力之外,我们还需要对传统的木马病毒截获、分析处理方法做根本性的变革,才可以有效应对木马病毒泛滥的严峻局势。

瑞星“云安全”(Cloud Security)计划的内容是,将用户和瑞星技术平台通过互联网紧密相连,组成一个庞大的木马/恶意软件监测、查杀网络,每个“瑞星卡卡6.0”用户都为“云安全”(Cloud Security)计划贡献一份力量,同时分享其他所有用户的安全成果。

图2

“瑞星卡卡6.0”的“自动在线诊断”模块,是“云安全”(Cloud Security)计划的核心之一,每当用户启动电脑,该模块都会自动检测并提取电脑中的可疑木马样本,并上传到瑞星“木马/恶意软件自动分析系统”(Rs Automated Malware Analyzer,简称RsAMA),整个过程只需要几秒钟。随后RsAMA将把分析结果反馈给用户,查杀木马病毒,并通过“瑞星安全资料库”(Rising Security Database,简称RsSD),分享给其他所有“瑞星卡卡6.0”用户。

由于此过程全部通过互联网并经程序自动控制,可以在最大程度上提高用户对木马和病毒的防范能力。理想状态下,从一个盗号木马从攻击某台电脑,到整个“云安全”(Cloud Security)网络对其拥有免疫、查杀能力,仅需几秒的时间。

“云安全”(Cloud Security)计划:瑞星如何每天处理10万个新木马病毒

瑞星如何分析、处理每天收到的8-10万个新木马病毒样本的呢?光凭人力肯定是无法解决这个问题,“云安全”(Cloud Security)计划的核心是瑞星“木马/恶意软件自动分析系统”(Rs Automated Malware Analyzer,简称RsAMA),该系统能够对大量病毒样本进行动分类与共性特征分析。借助该系统,能让病毒分析工程师的处理效率成倍提高。

虽然每天收集到的木马病毒样本有8~10万个,但是瑞星的自动分析系统能够根据木马病毒的变种群自动进行分类,并利用“变种病毒家族特征提取技术”分别将每个变种群的特征进行提取。这样,对数万个新木马病毒进行自动分析处理后,真正需要真正人工分析的新木马病毒样本只有数百个。

图1

瑞星拥有近20年的反病毒经验,是国内最早将行为模式判断、虚拟机脱壳和智能主动防御等新技术应用在产品中的厂商,也最早提出族群式查杀的概念。其“木马/恶意软件自动分析系统”(RsAMA)从去年底开始搭建,并于今年3月份就投入试运行,目前每天可以处理10万个可疑木马样本。

“云安全”(Cloud Security)计划的梦想:互联网就是杀毒软件

每一个“瑞星卡卡6.0”的用户都为“云安全”(Cloud Security)计划贡献力量,同时分享所有用户的安全成果。瑞星卡卡6.0本身只是一个数兆大小的安全工具,但是它的背后是国内最大的信息安全专业团队,是瑞星“木 /恶意软件自动分析系统”(RsAMA)和瑞星安全资料库(RsSD),同时共享着数千万其他瑞星卡卡6.0用户的可疑文件监测成果。

参与者越多,整个网络越安全。随着“瑞星卡卡6.0”用户数量的不断增长,新木马病毒暴露在监测节点面前的几率就会增大,瑞星“木马/恶意软件自动分析系统”(RsAMA)收取并分析处理的样本就会同步提升,而每一个“瑞星卡卡6.0”用户从“瑞星安全资料库”(Rising Security Database,简称RsSD)所获得的新木马病毒查杀能力就会提高。

图1

瑞星“木马/恶意软件自动分析系统”(RsAMA)光是服务器就有上百台,为了保障和海量用户随时的通信,预计为了保障“云安全”计划实施,每年付出的服务器托管和带宽费用高达上千万。但是我们相信,针对整个互联网用户的安全,这种付出的回报是超值的。


发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

趋势徐学龙:云计算时代云安全也很重要
趋势徐学龙:云计算时代云安全也很重要本文讲述的是传统的防病毒厂商如何面对云计算。...
趋势科技:云安全是安全领域的一场工业革命
趋势科技:云安全是安全领域的一场工业革命2008年云安全无疑是安全领域最热的关键词,趋势科技有限公司资深产品技术顾问徐学...

本类热点