发表于: 2009-09-20 03:17 | 显示全部 短消息 资料
字号: 1楼

用户体验系列之一论云安全

本文开始先提出点问题来给你们思考。
云安全带来了什么?它的好处是什么?云安全真的就完美无缺了吗?
我今天来绕着这些问题谈谈我的看法。
    云安全给我们带来的是更好的安全体验,更高的安全系数但是其中的问题同样也会随着这个制度本身而暴露出来。瑞星第一次提出云安全的概念大概是在08年底当时卡卡6.0推出了第一代云安全。我认为那所谓的云安全1.0对于用户来说起到的作用并不大。甚至部分用户认为那根本就是个摆设。我只能说云安全1.0是一个体验是在新领域的一次探索。09年云安全2.0推出因为09版本反挂马的强大利用此系统可以收集庞大的网址库。通过每天更新网址库可以阻挡很多的攻击。同样的网址库模式的弊端慢慢的也就显示了出来。网址库更新不及时,网址库累积量过大导致安装包体积倍增或是过滤不及时清除挂马的网站却还是拦截,由于入库错误拦截正常网站等……
现在的云安全3.0不得不说确实解决了上面提到的部分问题,可是不容否认新的问题依然出现甚至比上面更加严重。云安全3.0的理念是快速响应,随之出现的就是自动分析系统。其实自动分析系统在瑞星早已存在。原先邮件上报的部分病毒就是通过机器分析入库来完成的。从以往的经验以及现在的感受来看现在瑞星面对的形势依然严峻。首先由于是机器分析不用人工参与所以机器难免会出现误判。从我现在对分析系统的了解来看,目前的自动分析还属于静态分析,意思就是这种分析局限性相当大。静态分析对于普通的免杀相当有效可以不费吹灰之力就迅速的处理完一个病毒的变种,但是相应的分析代表迅速入库或许这中间不需要人参与但是要知道机器分析的结果也许可以相信但是它提取的特征码呢?机器不可能做到对一个病毒完整的分析来提取一个有效的特征码。换句话说意思就是你不对这个文件仔细分析就提取特征码来消灭它结果必然是误报增加。这是个解不开的结为了避免误杀分析系统就只能通过加长特征码的方式来避免,问题恰恰又在于此特征码的长度增加就代表这个特征码不具有广谱性了。没有广谱性意味着什么?意味着更多的病毒本来可以通过原先的特征码解决可是现在却需要在上报一次来入库。从某种意义上来说和MD5查毒差别不大。采用此方法的结果必然是病毒库入库数暴涨。入库的多了软件的体积自然也就……可能我说的不够直观有点类似于猜想。
下面我列举几个数据来对比下。瑞星2010全功能刚刚推出的时候安装包不过只有50M多一点吧。具体的忘记了。可是你现在用安装包备份工具做出来的安装包已经超过了80M。30M怎么多出来的?不要告诉我是程序更新。我不信短短的1个月你们会把程序改变那么多?就算改变也是替换旧文件。安装包体积也不会陡然增加。还有另一组数据22.0.0.96版本作出的安装包体积是81M整可是短短的几天到了22.0.0.99版本制作出来的安装包体积却达到81.8M。我要问这才几天?3天的时间安装包就快差了1M多么可怕的速度那我就按照下一版本推出还有200天计算你们算算。我就按照4天增加1M的体积来算200天……到时候体积可就达到了130M……对于普通的ADSL小水管来说130M不是小数……这只是200天。还有更多的日子。1年、2年若干年后病毒库又会有多大?结果不言而喻较真的朋友自己去算我这里不算了。总之算出来是很可观的数字。可能有些人觉得无所谓几十M的空间小意思,面对动不动上百G上T的硬盘不算什么。我却恰恰认为这个不是简单的算术题那么简单。要知道病毒库越大代表着什么1病毒库越大需要加载的时间越长。2病毒库越大理论上扫描速度越慢。3病毒库不会随便改变意味着硬盘要长期读写这一块位置磨损加大。4意味着占用内存加大。或许为了表面好看可以转移到硬盘上,但是同样的硬盘不同于内存……此问题必须解决否则以后你只有全盘放弃你的病毒库。不然重新入库所有的病毒那工作量……特征码加长的缺点二免杀更容易。机器分析为了避免误杀就只能加长特征码然而黑客改变病毒特征就更加的容易。所以免杀也更加容易。反过来又和第一点挂钩。免杀多了为了保证查杀率只有更多入库。这样恶性循环病毒库只能用几何倍数来表示……况且你不可能全部收集到所以……
上面列举的是自动分析可以分析出来的其实还存在另一些极端情况。很多病毒自动分析分析不出来它不会主动入库导致也许你有这个病毒但是却当成了安全文件纳入系统。
极端情况3
人家自己编译一个新的病毒种类采用全新的代码。碰巧你自动分析的系统里面没有定义此种文件结果自然就是上报也显示安全根本不可能快速响应。
极端情况4
一个新的感染性病毒出现可是自动分析系统无法分析出感染行为当成普通木马入库。结果就是被感染的EXE被全盘删除甚至扫描不出……这样一来你如何清除?就算有个优秀的清除引擎可是有什么用?大材小用。
极端情况N
这些只是我想到的未来无法预料还会出现更多的问题你如何应对?考虑下吧……
还有些问题09版就存在可是目前没有什么办法改进的。
1网址库问题
你云了一年我粗略算了下收集恶意网址应该不少于30万。对这些网址对于病毒确实是很好的来源问题是,你当初收集了现在是否还有效?就算有效里面的网址还是否对用户有危害?过大的网址库只能拖慢系统,拖慢软件。原先我提出过此问题只是没有说开。今天不妨吧问题摆出来放在桌面来谈。我提出2种解决办法你们考虑下。1每天派专人对这些网址来监控发现失效的立马剔除2定期丢弃网址库。什么意思?1不用我解释吧。缺点成本过高2我个人比较倾向2比如说我第一周每天更新第二周也每天更新到了第三周就丢弃第一周的网址从网址库中删掉就这样循环可以有效的控制大小。其实我个人觉得如不入库不重要,因为瑞星本身可以拦截,所以不入库是不是更好?(一点意见仅供参考,以后我会在分析下其中利弊这里不详细讨论了)
顺便说下,原先10M的网址库已经变成了1M多不知道用的什么方式。不过还是很好的网址库始终都要优化。晚做不如早做。
接下来是主动防御
云安全3.0的一部分就是主动防御。这一部分多的不想再说。已经说烂了。我只是希望新版本可以加上安装,加载驱动的控制以及更多AD拦截选项提供给高级用户使用。比如说加入到应用程序控制让用户自己控制这样不会打扰普通用户也可以满足高级用户。有关这方面的问题以后我会细说这里不详谈了。
最后总结一下
云安全是不错的概念(我只是说概念)看你们怎么去发挥是爬虫还是……我不得而知。我只是希望能好好的利用来完善产品。从现在的角度来说我并没有看出云安全的优势到底有多大。短期内可能收到好效果但是这不是长期而明智的做法。巨额的服务器维护费足以让你们破产。怎么利用最小的资源来做最多的事才是关键。这方面的想法后续文章会提到这里不详谈了。我希望你们能够反思现在的模式怎么样你们比我更加的清楚。想要在这个行业生存下去不是简简单单靠产品,靠用户就能完成的。云安全还不够成熟。仅仅送你们句老话:革命尚未成功同志们仍需继续努力。
THE END



本文2651字

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)