【IT168 专稿】任何一种杀毒软件都不可能挡住所有的未知病毒。对病毒的快速反应能力和查杀率是评价一款防病毒产品好坏的重要标准。如何快速获取到有效的样本就成了关键。而云安全就是解决这一问题的新办法。

图一

    瑞星云安全步伐

    12月16日，国内最大信息安全厂商瑞星公司召开盛大发布会，正式推出备受业界关注的新一代互联网安全产品——“瑞星全功能安全软件2009”。 该产品基于瑞星“云安全”策略和“智能主动防御”技术开发，集“拦截、防御、查杀、保护”多重防护功能于一身，并将杀毒软件与防火墙无缝集成为一个产品，实现两者间互相融合、整体联动，同时极大地降低了电脑资源占用。
 
    根据瑞星的年度安全报告，2008年1-10月份共截获新病毒样本近千万个，是去年同期的十几倍。瑞星安全专家认为，目前严峻的互联网安全形势的根源是病毒产业的互联网化，因此只有安全软件的互联网化——“云安全”模式——才能有效地遏制互联网病毒疫情。瑞星从2007年底开始搭建“云安全”系统，2008年3月份开始试运行，7月正式推出。而瑞星2009新品的研发，则紧密地伴随着“云安全”计划。
 
    据瑞星工程师介绍，瑞星2009最大的功能亮点是“木马入侵拦截”，该功能可以将大部分木马病毒阻挡在电脑之外。目前互联网上泛滥的木马病毒，有90%以上是通过“挂马网站”传播的，瑞星2009的“木马入侵拦截-网站拦截”功能即是专门对此设计的，可以有效阻止木马病毒通过“挂马网站”入侵用户电脑。
 
    从瑞星2009界面上可以看到，“木马入侵拦截”（网站拦截、U盘拦截）、“网络攻击拦截”、“恶意网址拦截”等拦截模块，以及“木马行为防御”、“出站攻击防御”等防御模块，充分体现了瑞星2009的整体策略——“拦截、防御、查杀、保护”，多层次布防，形成整体的安全保护体系。
 
    按照惯例，8000万瑞星老用户将在一个月内全部升级到2009版。通过互联网，将所有安装瑞星2009的电脑和瑞星“云安全”系统平台实时联系，组成覆盖互联网的木马、恶意网址监测网络，能够在最短时间内发现、截获、处理海量的最新木马病毒和恶意网址，并将解决方案瞬时送达所有用户，提前防范各种新生网络威胁。每一位“瑞星全功能安全软件2009”的用户，都可以共享上亿瑞星用户的“云安全”成果。
 
    瑞星副总裁毛一丁表示，从1991-1997年的瑞星防病毒卡时代，到1998-2008年的瑞星杀毒软件和个人防火墙时代，瑞星安全产品走过了辉煌的历程，一直保持着行业领导地位。随着定位于互联网安全的瑞星2009新产品的推出，标志着“云安全”时代正式开启。

    瑞星云安全秘密

    瑞星的云安全是指通过瑞星卡卡6.0在用户的计算机上安装病毒检测的探头，当发现可疑的文件自动上报给杀毒软件，分析如果是病毒的话，再将特征库以升级的形式推给杀毒软件。基于这种结构,装瑞星卡卡6.0的人越多，整个网路就越安全。这种方式有点像BT下载，下载的人越多速度越快。瑞星希望通过云安全这种技术来快速获取有效的样本。

图二

    “云安全”就是一个巨大的系统，它是杀毒软件互联网化的实际体现。具体来说，瑞星“云安全”系统主要包括三个部分：超过一亿的客户端、智能型云安全服务器、数百家互联网重量级公司（瑞星的合作伙伴）。

    首先说客户端，瑞星2009、瑞星卡卡上网安全助手等软件中集成了“云安全探针”，用户电脑安装这些软件后就成为“云安全”的客户端。随着“云安全”的发展，包括迅雷、快车、巨人、久游等一批重量级厂商加入了瑞星“云安全”计划，他们旗下的软件中也加入了“云安全探针”功能，成为客户端。

    用户安装的“云安全探针”能够感知电脑上的安全信息，如异常的木马文件开始运行、木马对系统注册表关键位置的修改、用户访问的网页带毒等等，“探针”会把这些信息上传到“云安全”服务器，进行深入分析。

    服务器进行分析后，把分析结果加入“云安全”系统，使“云安全”的所有客户端立刻能够防御这些威胁。不同类型的威胁，有不同的处理方式。如果是新发现的木马病毒，则“云安全”服务器会将病毒的特征码送回中毒客户端，使用户能够及时查杀该病毒。如果发现的是”带毒网页”，则“云安全”系统会将网址发送给所有的合伙伙伴，使搜索引擎、下载软件这样的公司能够在第一时间屏蔽这些网站，这样能够在最短时间内保证用户的安全。

    瑞星云安全应用

    为了保障互联网能够健康的发展，同时也为了让广大网民放心地使用互联网，我们应该携手打造这样一个可信任的互联网。首先，来看一下，提高互联网技术的安全性，使得所有互联网技术都有安全保障，这样搜索、浏览、即时通讯、网络游戏、电子商务这些最常用的应用都得到了安全保障。然后切断病毒通过上述这些互联网应用进行传播的渠道。如果这两点都能做到，那么病毒还有什么能力进行传播？有什么能力进行攻击？在这时候云安全就变成了一个巨大的安全软件。下面来看下具体的解决方式。

图三

    第一，谈一下挂马软件问题。利用瑞星的网址库，我们采用多种方式相结合的手法，降低用户通过网页挂马感染病毒的机率。举个例子，比如恶意网址库分享给搜索引擎，分享给浏览器软件，去添加一些恶意网址过滤的功能。通过这些挂马网址让用户减少访问到这些挂马网址的机率。

    举一个具体的案例，挂马软件如何利用搜索引擎SEO技术进行病毒传播以及瑞星的解决方案。首先看一下，一般的病毒制造者“黑客”，在进行网页挂马的时候一般有三种方式，第一个最简单也是比较常用的方式就是我直接将一个网站黑掉。第二种方式是通过ARP欺骗的方式，我使整个网站里面所有的用户访问到被ARP侵入植入的挂马网站，这样让很多用户同时中毒。第三，黑客利用+SEO技术进行传播。通过搜索一些木马去提高钓鱼网站的点击率，或者利用关健词这种技术逐渐提高它在搜索引擎中的排名，使得它的排名不断向上升。如果它升到一个很高位置的时候，就会有越来越多的人去访问到这个挂马网站。这是一点。SEO这个过程像“云安全”一样，“云安全”技术是瞬时完成的。而SEO往往需要一个过程，如果用户访问到恶意网址后，用户会把这些信息上传到瑞星威胁中心，我们可以把它理解成钓鱼网址库。用户把瑞星网址库这个信息分享给我们的合作伙伴，让他们可以直接屏蔽掉这个挂马网站或者逐步降低它的排名，使用户可以更少地点击这些挂马网站的机率。

    第二，讲一下如何利用瑞星技术来解决木马盗号的问题。首先，这项技术是独立于整体功能的单独模块，但是它跟杀毒软件享受的是一样的病毒库。其次，它的主要功能包括几点，第一是拥有最新的病毒库，第二对可行性文件进行跟踪。第三，对盗号密码进行查杀。第四，如果我的系统中存在可疑文件，当时没有方法对它进行准备的判断，但是后续可以做。第四，通过这个技术可以进行快速的病毒扫描和查杀。瑞星了解病毒，知道这个盗号木马病毒感染系统以后存在于电脑的什么位置，把这些经验总结起来建立了一个木马即时查杀功能。当打开一个用户软件的时候，他采用这样的技术，首先会对目前内存中执行的程序，比如说注册表启动、驱动、服务，我会对病毒感染最多的位置进行扫描，这样可以提高扫描速度。第四，是可行性文件的上报。第五，是定向积累病毒库。比如瑞星跟一个网页游戏进行合作，通过一段时间的积累，发现有一万个病毒是专门针对这个网络游戏的，那么研发工程师可以把这一万个病毒单提出来，以及它的病毒特征也会提取出来，然后会重新开发一个针对这个网络游戏的专杀工具。

    编者按：
 
    业内人士分析认为，“有病毒杀不掉”、“装了杀毒软件还是被盗号”已经大大削弱了用户对杀毒软件的信任。每当一个行业出现这种情况的时候，往往同时会诞生巨大的机会，率先进行技术转型、满足用户需求的厂商将立于不败之地。瑞星推出应用“云安全”技术、可以彻底查杀互联网病毒的安全软件，正好满足了用户的此种需求，将会在很大程度上巩固瑞星在该行业的领先地位。