博客首页|TW首页| 同事录|业界社区

/苗得雨

1022日,腾讯电脑管家发布21杀毒版,率先开启了业内杀毒与管理两个安全功能的结合之路。信息安全领域是一个特殊的领域,它一直在快速变化,我们希望透过技术底层分析新版电脑管家的产品能力,而不是泛泛的看一时的产品外观表现。信息安全产品,在底层上的特性才能够它在未来很长一段时间的表现,因此今天就让我们谈谈电脑管家21杀毒版的运作机理吧。

中国目前有接近5.5亿人使用互联网,他们是恶意软件的潜在受害者。密码、个人账号、信用卡、QQ号码、游戏账号——这些重要的个人信息可能被黑客们窃取。黑客早已经从以前的个人英雄主义转向了彻底的拜金主义,病毒制作难度下降以及地下黑客产业链的形成,使得病毒出现爆炸式的增长,传统的杀毒方法变得开始力不从心。

腾讯电脑管家团队在最早研发电脑管家时就发现,过去那些对已知病毒的围追堵截并不能确保系统的安全,面对呼啸而来的未知病毒和网络0Day攻击,仅有单一的杀毒功能是远远不够的。病毒和木马从本质上讲都是一种计算机程序,只是这种程序的功能是对用的系统进行破坏,为了阻止这些“程序”运行,出现了阻止病毒正常工作的杀毒软件,那么电脑管家这类杀毒软件是如何知道某个程序可能是恶意的呢?

在传统反病毒方法中,对病毒的人工分析是最终的环节。在这个过程中,病毒分析工程师会分析已知病毒的行为,并制作出包含病毒属性的特征码,在出现相同病毒时,杀毒软件就能够根据特征码来进行识别和清理,这就是我们通常所说的“病毒特征码检测技术”。

特征码检测技术目前仍然是所有反病毒软件都采用的关键技术,电脑管家也不例外。新版的电脑管家21杀毒版中,就内置了TAV本地引擎,本地引擎所调用的特征病毒库,不过新版电脑管家中的病毒库是经过改进的病毒特征库,通过对特征的优化,保证了扫描病毒时的速度,为用户节省了大量的时间。

虽然说特征码识别技术在对付已知病毒的威胁方面功不可没,但是严重的滞后性却让这种技术无法适应目前互联网时代的病毒大井喷。因此,杀毒软件就需要一种从“亡羊补牢”到“未雨绸缪”的新技术,电脑管家中的主动防御技术就是为此而出现的。

主动防御技术是一种反病毒软件技术上的飞跃,主动防御技术可以预先发现并阻止各种恶意行为,不给恶意程序运行的机会。基于行为的恶意程序识别技术使得主动防御有了防范未知病毒的能力。主动防御技术依靠一些特定的行为分析规则运行,规则有的时候是没有病毒灵活的,因此判断不准确甚至误判一直是困扰主动防御技术的重要原因。

不过也正因为如此,主动防御技术事实上更加适合应用于上网安全和应用安全的防护,在电脑管家21杀毒版中,主动防御技术更多的被应用于上网安全保护、应用入口保护和系统底层保护,保护用户的QQ、网游、网购和搜索等上网的安全,充分的发挥了主动防御技术在辅助安全方面的强势。

大概也是因为特征码检测识别和主动防御技术所存在的先天性不足,所以我们在电脑管家21杀毒版中看到了虚拟机技术、脱壳技术被不断加入到产品中,用来提高防毒能力,但是这些技术仍旧无法应对目前严峻的安全形势。于是,“以彼之道还施彼身”的云安全技术出现了。

云安全的关键能力是什么?

在今天的互联网中,病毒和木马为什么如此猖獗和令人束手无策呢?究其原因主要是制作病毒和木马的“黑客”们人数众多。在数量级上远远要超过安全厂商的病毒分析师人数。因此,解决这个问题最好的办法是借助用户的力量,让安装在用户电脑中的本地客户端能够和反病毒厂商的服务器进行沟通,并收集那些可疑度非常高的病毒样本,只要有用户受到疑似的病毒攻击,病毒的样本就会被迅速的发送给安全厂商,这样安全厂商就可以加速扩大自己的病毒库,提升杀毒的响应时间。当一个用户遭遇到威胁上报样本后,其他的用户再遭遇到同样的威胁时,就可以通过访问在线病毒库的方式对病毒进行快速的查杀。由于这种解决问题的技术思路和云计算的思路有异曲同工之处,因此后来被一些厂商称之为云安全或云查杀。

但是,云安全技术存在一个巨大的门槛,最大的问题就是这项技术不是一个一蹴而就的技术,它厂商有庞大的用户群体,这样长能够收集到更加全面的病毒样本。因此许多小的杀毒厂商在采用这项技术的最初一段时间里,由于病毒库中的数据内容并不是很完善,用户很难从这些厂商推出的云安全技术中获得好处。

而腾讯电脑管家的云安全中心则完全不存在这个问题,腾讯庞大的用户群体和电脑管家庞大的用户群体,让电脑管家云安全中心在可疑病毒样本收集、分析、处理和发布等病毒处理流水线机制方面都非常成熟,因此相较于业内其他厂商的云安全技术而言,电脑管家云查杀功能更可信一些,也能够更快的将云端的价值反馈给用户。

虽然云安全技术不是万能的,因为它是对已知文件的一种真实性判断,对于首次出现的威胁,第一个遇到的用户很有可能在云系统中没有记录的情况下被入侵,而他的被入侵记录会被计入云安全体系,也就是说会有用可能会受到攻击。当然,由于腾讯电脑管家云安全中心的网络体系的用户终端数量庞大,出现这种情况的用户比例会很低。

从目前的使用状况来看,腾讯电脑管家的云安全技术已经开始走向成熟,并成为信息安全产品未来的一个主要技术,虽然传统的“病毒特征码检测技术”仍将在未来的一段时间存在,但是它能起到的作用将逐步减小。

目前除了借助云系统进行病毒查杀外,电脑管家还对云安全系统的功能进行了扩展,比如开始提供文件的白名单,借助云系统对白名单中的文件进行信用评级;利用云系统收集恶意网站的列表,提供恶意网站的防护功能;使云系统的文件数据库,进行智能判别,自动执行一些安全操作,如自动允许可信程序访问网络。云安全还让病毒特征码库的更新速度大大提高,以往每天或者每小时的更新一次正在缩短为每半小时更新一次。

[下载电脑管家:http://guanjia.qq.com/]


上一篇: 领略异构计算的神奇视界
下一篇:未来,电脑病毒攻击更精准!

评论

Good.Be the first to comment on this entry.

发表评论