博客首页|TW首页| 同事录|业界社区
2008-11-21
云安全:把互联网变成杀毒软件

     如果不是亲眼感受病毒制造的演示过程,你绝对无法想象,木马和病毒制作有多么迅速;你更无法想象,病毒和木马的产业链分工的细致和完备;你也无法想象,病毒和木马是以怎样的速度增长;而中国杀毒软件制造商应对杀毒软件的智慧,也足以令人叹服。

     2008年11月18日,在瑞星互联网安全技术大会上,两位瑞星的工程师李海明和钟伟形象地讲解,让我对病毒的生产力和杀毒生产力有了更深的理解:

病毒的生产力

     最近几年电脑病毒和数年前单机病毒甚至DOS时代病毒,已经大不相同。过去病毒的制作者的目的,多为恶作剧或者搞点破坏;可网络时代的病毒,并不满足于自我表现和引起人们的注意,他们更多是为了经济目的:他们是为了网民的网银帐号,为了玩家的游戏帐号,为了虚拟财产和虚拟货币。一旦有了利益的驱动,病毒木马就更加隐蔽,也更加有破坏性。

WPS_CLIP_IMAGE1[8]

        李海明是瑞星公司互联网攻防实验室的工程师,在技术大会上现场演示了病毒的攻击过程:

     一个用户无意中点进某个挂马的网站,浑然不觉中,他输入的地址跳转到另外一个木马和病毒的网站,这时,浏览器底下的IE进度条还在不断前进,但此时的系统进入了一个没有响应的状态,我们称之为“死机”;当电脑重新启动的时候,程序图标都被换掉,我们发现自己中毒了!

        在这个看似简单的中毒过程的背后,却是一张庞大而且分工明确的互联网病毒产业链:

       先是漏洞的挖掘者,也就是黑客,他们用最快的速度发现各种流行软件的漏洞。人们常说的0day漏洞,字面的意思是在不到一天的时间,迅速发现的漏洞,事实上有的Oday漏洞已经超过了1天,但这说明漏洞被挖掘的速度之快;之后有程序员利用这个漏洞制作病毒,这时病毒已经被制作出来;随后有人收购这个病毒,在卖仍能给专职的销售人员,最后流入病毒的需求者,也就是盗号者手里。

     整个过程分工细致,利益链条非常清晰,最终的效益也非常可观,而用户的损失也非常巨大。用户不但消耗了电脑内存硬盘资源,更可怕的是,木马中的病毒化解器,只要感染一次,病毒木马就会通过它源源不断地从病毒和木马网站上偷偷下载病毒,只要有一种病毒防不住,你的电脑安全就有危险。

     因此,病毒一旦进入互联网,演化成木马病毒,集病毒的传播性和木马的破坏性于一身的时候,无论是其生产力还是破坏力都大提高。那么,瑞星是如何迎接网络时代木马病毒来袭呢?

病毒与毒牛奶

       食品安全和电脑安全有某些类似的地方,病毒正如掺入了三氯氰胺毒牛奶。在技术大会上,瑞星工程师钟玮先生展示了他们的“云安全”架构,可以快速解决互联网的“毒牛奶”问题。

WPS_CLIP_IMAGE2[8]

       传统的杀毒软件正如同传统的食品安全系统“头疼治头,脚疼治脚”,所有的信息是分散而且孤立的,正像毒牛奶事件发生时,不同地方的中毒患者都没有及时将资料汇总,分析和整理,所以,当中毒事件引起人们注意到时候,其危害面积已经非常广泛了。

       瑞星的云安全策略,则是把所有中毒的状况、中毒者以及所在地点等各种信息汇总到一起,在获得几个样本的时候,就能总结出,中毒源头来自石家庄、哪种牛奶,然后把分析结果迅速反馈,让所有轻度患者,在第一时间抓紧医治,将危害降低到最少;同时对于该品牌牛奶进行监控,让毒牛奶不再流向用户。

       瑞星的云安全和食品安全的快速反应机制,非常相似:快速感知、捕获新的威胁;迅速回应威胁,监控威胁。瑞星在08年8月,截获的可疑文件数量达到了350万个,比一年前提高了150倍,单日截获的恶意网址数量达到了3000多个。钟玮工程师说,这些离不开云安全。

总结:

       互联网正飞速发展,病毒在网络的空间里迅速蔓延,编制成了出分工明确的网络和链条;杀毒厂商同样也在利用互联网,用互联网上无数电脑资源和杀毒企业的用户资源,瑞星是国内第一家提出云安全计划的厂商,在这一领域的尝试也一直走在行业的前列。

     MYSPACE中国的前CEO罗川先生在分析FACEBOOK成功原因,说“facebook就是互联网的操作系统”;戴志康在形容自己的社区产品DISCUS时说,康盛正在做“互联网的CPU”;瑞星副总裁毛一丁说则:“互联网就是个杀毒软件”。笔者相信云安全会帮助瑞星实现这一梦想的。

WPS_CLIP_IMAGE3[4]