斩断电脑黑手！我眼中的瑞星“云安全”体系

在笔者的电脑中，一直安装着一套瑞星杀毒软件，从2000年的CIH爆发到2009年的“机器狗”肆虐，短短几年间国内的网络安全环境已经有了翻天覆地的变化。而瑞星也在这个变化中不断完善，不断适应着最新的网络环境。其中“云安全”便是2009版中一项极富创新性的改进，然而随着瑞星2010（测试版）公测活动的启动，一些质疑声音也开始随之而来。什么新老版本只是名称上的不同，根本看不到功能上的改进，“云安全”不过是瑞星在炒09版的“冷饭”等等。

然而事实真的如此吗？其实如果您经常关注杀毒软件就会发现，在今年的很多杀毒软件中（2010公测版），“云安全”概念依旧随处可见。不过与去年仅仅停留在概念层面不同，在经历了一年多实际运行之后，各家的“云安全”体系都已得到了大幅完善，并且在此过程中还总结出了很多宝贵经验。作为第一次大版本更新，2010版自然在很多方面都得到了完善，因此绝不能因为名称相同而武断地认为两者没有区别。下面笔者就和大家简单聊一聊自己眼中的“云安全”吧。

一、 “云安全”的前世今生

目前杀软对于病毒的判定，无非分为两种模式，即最传统的“特征库”扫描及基于行为判断的主动防御。而包括启发式查毒、虚拟机查杀等其他技术，大多可以看作是这两组模式的细化或分支。在这其中“特征库扫描”误报最少，但它的一个很致命的问题就是滞后性严重。尤其在目前木马变种呈指数化增多的情况下，漏杀、漏检的情况十分严重。而作为一项行为判断模式，主动防御主要是通过文件行为判定木马，因此这种模式最大的优点就是可以抛弃特征库而实现更智能的木马检测，然而由于行为判断本身就可能产生误判，因此误杀现象时有发生。

图1 瑞星2010主动防御

正是基于上述两种模式的考虑，2008年一些具有前瞻性的公司（其中就包括瑞星）便开始构思一种全新模式，即将为数众多的客户端电脑当成一个病毒采集器，由他们将日常遭遇到的可疑文件上传公司，这样公司便能通过对上传样本进行分析，实现新病毒的快速响应，而这便是我们日后经常提到的“云安全”。

瑞星第一次提出云安全大约在2008年底，当时瑞星卡卡6.0推出了第一代云安全（1.0）。不过那时的云还仅仅停留在概念层面，由于缺乏实战基础及客户资源，第一代云只能说是该领域的一个探索。随后在瑞星2009版中正式推出了“云安全2.0”，由于09版强大的反挂马收集到的庞大网址库，使得这时的云已经初步具有实用价值。

而随着瑞星2010版的面世，“云安全”已经正式升级到3.0时代。相比之前版本，云安全3.0最大的变化就是强调了自动分析和快速响应，据一位瑞星内部工程师透露，最新一代“云安全”可以在6分钟内对新病毒进行响应，大大提高了杀软的实际工作能力。

#p#副标题#e#

二、 与同类“云”的优势

由于各个公司对于“云”的理解不尽相同，使得我们最终见到的“云安全”还是有着很大区别的。其中以国外杀软为代表的“国外云”，主要是通过互联网中的服务器群，对用户电脑中的进程进行标记，凡是被标记为可信文件的将不再参与日常扫描，从而大大提高了日常扫描的运行速度。而这样的设计，与我们熟悉的“白名单”异曲同工。

与之相比，在以瑞星为代表的“国内云”中，每个用户客户端都将成为“云安全”中的一员，它们通过对网络中软件的异常行为进行监测，并自动发送到服务器端进行分析，稍加处理后再将病毒或木马的处理方案分发至每一个客户端，这样任何一台装有瑞星2010的电脑便能在很短时间内对新病毒实现查杀。

举个例子来说，某黑客早上刚刚发布了一款新木马并成功感染了一台计算机，稍后这台计算机经过瑞星的侦测（可以是“智能防御”或“日常扫描”）认定其为可疑文件并上报瑞星 云，经过系统分析后确认其为新木马，最多一两个小时之内（目前瑞星基本可以达到一小时升级一次），所有安装有瑞星2010的客户便会到到该木马最新查杀方案，这样一款刚刚发布的新木马便瞬间失去了用武之地，再不能肆虐传染。因此相比而言，“国内云”显然更能适应木马变种丰富的国内环境。

图2 瑞星2010“云安全”

#p#副标题#e#

三、 日常查杀的误区

正像我们之前介绍的那样，由于特征库及行为侦测是传统杀软判定病毒的最主要手段，因此也就引出了我们日常操作中的一个误区，那就是经过扫描后的文件并非绝对安全。由于传统扫描只是单纯的特征库模式，因此一旦有新木马没有纳入特征库，便很有可能在扫描中漏过。而当我们手工执行残留样本时，杀软的主动防御模块仍能根据恶意行为判定其为可疑文件。

而正是由于瑞星2010将云安全纳入到日常工作的每一模块，使得这种因特征库而导致的漏检、漏报概率降至最低。退一万步说，即使真的出现漏检，瑞星2010强大的智能主动防御模块也能在木马运行的一霎那将其搞定！

图3 扫描后将可疑样本上报云

#p#副标题#e#