那么病毒的互联网化给我们带来哪些挑战呢?我们用什么样的方式应对这个挑战呢?我们来看互联网的关键问题,第一如何快速感知互联网出现的新的威胁?我们现在的这种安全体系,因为它从一开始就是被动的,所以我们无法去快速的感知,比如说我们的一个客户服务人员接到了客户的电话,我只知道这个客户是怎么样一个情况,我不知道这个客户的情况是不是也在其他客户身上有所体现,如果说达到一定数量的时候才知道这是一个普遍性的问题,这个过程是需要时间的,我刚才提过了,病毒10分钟就可以复制自己,那么在这10分钟里病毒就已经泛滥了。第二个问题如果我们建立了快速的感知系统的话,我们如何去处理和回应海量的信息呢?第三如何改进单机的思想来应对互联网化的病毒呢?我们提出了三个安全策略,简单的介绍一下,我还有一个详细的图,会给大家做一个分析。
第一要主动监控、挖掘新的互联网威胁。第二通过对威胁的互联网传播渠道进行主动的拦截。第三通过互联网进行主机防御,信息共享协作建立互联网的安全防御模式。
下面我把这三个策略以图的方式给大家详细地介绍一下。
这张图看似很复杂,实际上也不简单。我们看,当一个恶意威胁在互联网的某个角落发生了,那么它可能会通过下载网站、门户网站等等各种渠道进行传播,那么这个时候,我们“云安全”的客户端就感知并截获了,这里面我向大家介绍一下什么是“云安全”客户端?“云安全”客户端区别于我们以往理解的单机的客户端,它不是一个人在战斗,它是一个我们对传统的客户端进行互联网化改造的客户端。我们看一下“云安全”客户端的功能,它是感知捕获抵御互联网的一个集成,除了具有单机客户端的技术,比如说静态特征检测,静态启发式检测以外还有基于互联网协作的行为特征检测,和基于互联网协作的资源防护功能,因此它就可以在感知到威胁的同时,迅速地把威胁传递给我们的威胁信息数据中心。那么威胁信息数据中心是什么概念呢?它是收集威胁信息并提供给客户端协作信息的这样一个机构,我们可以看到,它实际上具有两个功能,第一个功能就是收集威胁信息,第二个功能是客户端的协作信息的查询和反馈,这两个功能待会儿会像大家详细的做介绍。先看第一个功能,收集的功能,我们从“云安全”的客户端收集上来,截获的恶意威胁的信息,及时传递给数据中心,传递功能传递给来源挖掘和挖掘服务集群,来源挖掘和挖掘服务集群会根据这些数据来挖掘我们的恶意威胁的来源。什么意思?不仅要知道这个病毒造成了什么破坏还要知道它从哪来的,我们通过协作分析找到了源头,那么既然找到了源头下一步做的工作就是对源头进行控制,如果不能控制的话,至少可以对源头进行检测。那么我们把这些收集所有信息集中到自动分析处理系统,自动分析处理系统会形成一个解决方案,传递给服务器,服务器会传回给我们的客户端,或者是形成一个互联网的基础服务,传递给我们的合作伙伴,形成一个互联网技术服务的话,如果能形成互联网技术服务的话,那么整个网络都会享受到我们的安全解决方案。
由于我们知道了来源,对来源实施了事实监控,那么一旦来源的病毒有了变种,或者有了变化的时候,我们就会及时的收集到这个信息,通过这个流程反馈给我们的“云安全”的客户端,这样的话,它在传播的过程中,或者还没有传播就是把通路已经阻断了,这就是我们能够应对新的互联网化病毒的传播的主要策略。
那么刚才我说到,威胁信息处理中心,实际上有两个功能,一个是传递的功能,另外一个是协作信息查询的功能。我举一个例子,比如说我的某一个计算机或者某一个“云安全”的客户端反映说我中了一个病毒,体现为我头疼,另外一个客户端也反映说中了一个病毒,反映为脖子疼,第三个反映我除了头和脖子其他地方都疼,我们会把所有的特征集合在一起,然后进行处理,然后反馈给“云安全”客户端一个整体的解决方案,这就是信息反馈和查询,这样的话我们不会头疼治头,脚疼治脚。
我们为什么说“云安全”网这种架构能够迅速地对互联网化的威胁作出反映呢?我们来比较一下,传统的模式和我们安全模式相比,我们到底优势在于什么地方?同样的,再给大家举一个例子,比如说某天的上午,客户中心接到一个电话,说我们家小孩肾结石,客户中心说以前遇到过,注意点水源吧。那么过了三分钟又接到一个电话,我们家小孩肾结石。又过了两分钟、三分钟反映我们家小孩肾结石,那就想了,肾结石今年可能比往年多吧。还没有引起重视,等到肾结石的电话接到100个的时候,这时候电话量要比平常电话量多100倍的时候,我们就会引起注意,这是不是一个普遍的现象?然后再收集这些电话的资源,走流程,这是传统的模式。我们看一下“云安全”这种新的策略是如何应对的?如果同时有100个人患了肾结石这个毛病,原来是这100个客户分别给数据中心联系,或者给信息安全中心联系,现在这100个用户可以同时的,因为他是“云安全”的客户端,他已经不是一个人在战斗了,也不是单机了就可以及时地把信息提供给威胁处理器,威胁信息数据中心可以同时接听100个电话,在很短的时间里就可以把信息收集起来,我们不可能有100个耳朵,人再怎么做也不可能有计算机收集信息来的快、全面。那么我们收到威胁信息以后,我们在威胁信息处理中心,找到这些来源,这些小孩都是什么年龄段的,得肾结石之前吃了什么东西?找了半天都是喝奶粉的,这是一个特征。喝奶粉?奶粉能导致肾结石吗?不是,我们进一步的挖掘,是三聚氰胺会导致肾结石,我们通过挖掘系统,通过数据分析找到来源,这些肾结石的客户大多来自石家庄,河北,都喝了什么品牌的奶粉,这时候就可以定位到石家庄某品牌。这时候除了进行解决方案研究,就可以对石家庄某品牌进行监控。这时候知道了导致肾结石这个毛病的最终的一个因素就是三聚氰胺,那么我们这个服务器会把这个信息传递给我们的“云安全”合作合办,形成互联网基础服务,由它再去向所有的互联网用户传播。下一次我们在打网页的时候,或者做某件事情的时候,会跳出一个信息,不要喝三聚氰胺奶粉,会导致肾结石,这样的话我们就作出一个整体的部署和调整。危机挖掘系统一直在检测石家庄某品牌奶粉,那么这个品牌再出另外一种奶粉的时候,我们马上对它进行检测,新一批的奶粉就不会对用户造成安全威胁。
我们总结一下,“云安全”有这么几个特点,第一快速感知,捕获新的威胁。我刚才说了,人类再怎么进化不可能同时接听100个电话,但是我们的“云安全”的客户数据中心可以做到,通过我们的数据中心,通过互联网,我们的效率大大地提高。第二“云安全”的客户端具有专业的感知能力,互联网威胁的源头监控,就是我们的威胁挖掘集群会及时的检测。
