瑞星“云安全”一周年 斥亿元回馈用户

2008年07月

2008年12月，瑞星2009新品发布，“云安全”系统升级到2.0。在检测、查杀木马病毒的基础上，增加了对挂马网站的拦截、监测和封杀功能。并于2009年1月推出全球唯一一个“恶意网站监测网”(mwm.rising.com.cn)。从本质上说，瑞星“云安全”建立的初衷，就是应对“木马病毒互联网化”的危机，以杀毒软件的互联网化来应对木马病毒的互联网化。

　　在瑞星“云安全”系统建立初期，安全行业内部有两种技术路线的争论：是依靠海量服务器、基于搜索引擎技术的“云架构”系统，还是依靠分布在互联网每个角落的用户搭建的“云安全”系统。

　　“云架构”的思路是，既然用户受到的安全威胁来自互联网，基本局限于网页、邮件、互联网文件这三种途径。那么，把互联网上的这三种东西都标上安全等级，用网页爬虫去搜索网页，发现恶意代码就标上不安全，如果用户企图访问这个网页，我就返回结果阻止。同样，邮件和文件也这样做，理论上可以阻止网络上的所有攻击。

　　“云安全”的思路是，依靠分布在互联网每个角落的用户，把所有用户都连接起来，其中一个受到攻击，则服务器收到其上传的信息之后，把分析结果返回给网络中的所有端点。这样无论出现多少种网络威胁，只要最初遭到攻击的客户端及时上报信息，则经过服务器的分析处理，返回结果之后，整个网络可以在最短之间内获取对该攻击的免疫能力。

　　这两种思路，在不考虑硬件处理能力的情况下，都可以达到很好的效果。“云架构”其实是延续单台计算机防毒的思路，企图以中心服务器建立整个互联网范围内的“病毒特征库”。

　　由于现在互联网内容爆炸，每天新出现的数据以TB计算，如此巨量的网页、视频、邮件、文件，任何一个商业公司都无法把它们都全部、实时的标明安全等级，并存储在数据库里供用户进行安全查询。这种思路是行不通的。

　　尽管有很多技术共通，例如大规模并行运算、网页爬虫等技术，在瑞星“云安全”中也有应用，但是，由于安全行业特殊的性质，简单的套用搜索引擎的技术并不适合，我们都知道互联网的内容在不断的爆炸性的增长，再好的搜索技术也做不到实时汇集更新，在页面信息搜索领域我们可以容许检索到的信息过时，但在反病毒领域，如果提供过时的病毒特征信息则很可能带来严重的误报。

　　这种思路本质上没有改变防御系统的模式、只不过是更多的利用了网络技术，并不没有发挥互联网共享协作的巨大优势。

　　瑞星的“云安全”系统并不是简单的搜索引擎技术的引入，它提出了一个更符合互联网精神的安全防御思想，并成功的将运用这一防御思想构建了第一个区域互联网安全威胁防御平台。

　　客户端不只是简单的从服务器“获取”特征码、挂马网址等信息，而且一旦遭遇攻击，会把信息“贡献”给服务器。每一台客户端都是既“索取”又“贡献”，这样整个网络才能有很强的自我完善、自我升级的能力。

　　瑞星云安全的三大特点：

　　1、改变了反病毒工程师的工作内容，从手工分析病毒到“人工+机器智能”，处理效率更高。

　　2、绝大多数需要耗费资源放到了服务器端。例如虚拟机里进行的仿真环境分析病毒、通过网页爬虫搜索与挂马网站连接的黑客网站等等。客户端只要连接服务器，就可以获取最新的功能。这样，“云安全”客户端(瑞星杀毒软件)的体积就会越来越小，而功能则越来越强，可以最大限度减少对用户电脑资源的消耗。

　　3、通过实时分析海量客户端上报的攻击信息，研究其中的挂马网站发展趋势、智能主动防御拦截到的可疑文件行为，瑞星可以事先预测到大规模的挂马网站攻击、病毒感染等，从而提前做好相应的防范。

　　研究方向更加明确，全面精确的掌握“安全威胁”动向

　　反病毒工程师不但可以准确的了解用户感染了哪些木马病毒，被哪些挂马网站攻击，通过云安全系统对这些威胁信息的深入挖掘。还可以对互联网安全威胁做准确的预估，就像人们通过卫星云图预告天气一样，瑞星云安全系统可以准确预告互联网上的安全大事件。

　　例如，近期微软公告的视频控件漏洞、Office漏洞等，在补丁未发布之前，瑞星杀毒软件就可以通过“网页防挂马模块”拦截，无需等待微软的补丁。这就是因为通过分析“云安全”系统上报的挂马攻击行为，把这些危险行为做成“行为特征库”加入到瑞星全功能安全软件中，使其拥有了“免疫”能力。

　　传统反病毒工程师都是这样工作的：用户用电子邮件上报可疑文件，工程师手工分析，给用户回信，同时把病毒特征码加入杀毒软件的特征库。

　　有了云安全系统，瑞星反病毒工程师的工作大不一样：真正需要手工分析的病毒寥寥无几，大多数工程师都在分析“云安全”系统里的病毒趋势、挂马网站行为等等，从“分析单个病毒”到“分析病毒群的趋势、特征”，这是巨大的转变。

　　从某种意义说，以前的工程师有点像中医，某个人来看病，根据个体信息来诊断、开药。而现在的反病毒工程师则像在生产疫苗，一群病毒来了之后，分析其中共同的特征，开出针对这群病毒的疫苗。这些疫苗不仅可以防范已有的病毒，还能防范将来出现的同类病毒。

　　这就是为什么微软视频控件漏洞出现后，瑞星用户无需升级即可将其拦截。

　　云安全的客户个性化体验

　　随着云安全的不断发展，用户的客户端防御系统也将变的更加的智能化、个性化。我们甚至可以针对每个用户制定不同的病毒库，制定不同的主动防御策略，提供个性化的安全威胁预警信息。

　　云安全融入互联网

　　客户端的安全功能协作化将深入到不同类型的上网设备上。例如：手机、上网本，甚至嵌入智能冰箱、智能电视中。威胁从互联网上来就应该从互联网上进行防御。未来的互联网本身就是一个杀毒软件。

　　更小的体积，查杀能力更强

　　在云安全系统的支持下，未来将出现所有功能都运行在服务器端的杀毒软件，用户电脑上只需要安装几百K的客户端，查杀、升级、监控等所有功能都通过互联网实时提供，真正达到体积小、查毒能力强的超级杀毒软件。

　　查杀一切未知病毒，使用户彻底安全

　　未来的杀毒软件将可以提前预知用户遇到的安全威胁，事先将病毒码、行为特征等加入服务器中，不会再有杀毒软件杀不掉、认不出的病毒，从而使用户得到真正的安全，完全摆脱“中毒”的困扰。