【IT168 专稿】据了解，目前90%以上的木马病毒通过“挂马”方式传播，这些木马通过黑客网站进行频繁升级，有些木马甚至几十分钟升级一个新版本。最近流行的“磁碟机”、“木马群”等等，即是通过“挂马”方式感染用户电脑的。它们通过不断下载新木马，造成杀毒软件始终“杀不干净”的现象。如果不能从网络入口处进行拦截，那么木马病毒就会象“蝗虫军团”一样蜂拥而至，杀毒软件只能陷于“截获-查杀-再截获-再查杀……”的尴尬境地。

    瑞星狮子技术

     随着“瑞星卡卡6.0”的推出，瑞星公司野心勃勃的“云安全”（Cloud Security）计划也正式浮出水面。“云安全”（CloudSecurity）计划是让每个“瑞星卡卡6.0”的用户，都成为木马病毒的监测点，它的“自动在线诊断”模块在用户每次启动电脑时，都会自动检测并提取电脑中的可疑木马样本，并上传到瑞星“木马/恶意软件自动分析系统”（Rs Automated Malware Analyzer，简称RsAMA）。

图一

    RsAMA每天可以处理10万个新的木马病毒样本，随后把分析结果反馈给用户，帮助用户查杀木马病毒，并通过“瑞星安全资料库”（Rising Security Database，简称RsSD），分享给其他所有“瑞星卡卡6.0”用户。

    瑞星互联网攻防实验室负责人表示，“木马入侵拦截——网站拦截”模块在帮助用户拦截木马病毒同时，会将“挂马网页”的网址传回瑞星，因此“云安全”2.0将帮助瑞星构筑起一个强大的“恶意网址库”：全面——数量齐全，并能迅速收集到新的“挂马网页”;准确——专业分析，减少对正常网页的误判;实时更新——安全的网页被“挂马”，以及“挂马网页”恢复正常，都可以在短时间被监测到。

    瑞星副总裁毛一丁表示，在单独为用户提供反“挂马网页”服务的同时，瑞星不排除将“恶意网址库”等专业的安全服务与浏览器厂商和搜索引擎合作，共同为用户创造一个安全的互联网环境。

    云安全的本质

    在瑞星“云安全”系统建立初期，安全行业内部有两种技术路线的争论：是依靠海量服务器、基于搜索引擎技术的“云架构”系统，还是依靠分布在互联网每个角落的用户搭建的“云安全”系统。

    “云架构”的思路是，既然用户受到的安全威胁来自互联网，基本局限于网页、邮件、互联网文件这三种途径。那么，把互联网上的这三种东西都标上安全等级，用网页爬虫去搜索网页，发现恶意代码就标上不安全，如果用户企图访问这个网页，我就返回结果阻止。同样，邮件和文件也这样做，理论上可以阻止网络上的所有攻击。

    “云安全”的思路是，依靠分布在互联网每个角落的用户，把所有用户都连接起来，其中一个受到攻击，则服务器收到其上传的信息之后，把分析结果返回给网络中的所有端点。这样无论出现多少种网络威胁，只要最初遭到攻击的客户端及时上报信息，则经过服务器的分析处理，返回结果之后，整个网络可以在最短之间内获取对该攻击的免疫能力。

图二

    这两种思路，在不考虑硬件处理能力的情况下，都可以达到很好的效果。“云架构”其实是延续单台计算机防毒的思路，企图以中心服务器建立整个互联网范围内的“病毒特征库”。

    瑞星云安全三大亮点

    改变了反病毒工程师的工作内容，从手工分析病毒到“人工+机器智能”，处理效率更高。

图三

    绝大多数需要耗费资源放到了服务器端。例如虚拟机里进行的仿真环境分析病毒、通过网页爬虫搜索与挂马网站连接的黑客网站等等。客户端只要连接服务器，就可以获取最新的功能。这样，“云安全”客户端（瑞星杀毒软件）的体积就会越来越小，而功能则越来越强，可以最大限度减少对用户电脑资源的消耗。

    通过实时分析海量客户端上报的攻击信息，研究其中的挂马网站发展趋势、智能主动防御拦截到的可疑文件行为，瑞星可以事先预测到大规模的挂马网站攻击、病毒感染等，从而提前做好相应的防范。

   瑞星云安全改变反病毒行业

    研究方向更加明确，全面精确的掌握“安全威胁”动向

    反病毒工程师不但可以准确的了解用户感染了哪些木马病毒，被哪些挂马网站攻击，通过云安全系统对这些威胁信息的深入挖掘。还可以对互联网安全威胁做准确的预估，就像人们通过卫星云图预告天气一样，瑞星云安全系统可以准确预告互联网上的安全大事件。

    例如，近期微软公告的视频控件漏洞、Office漏洞等，在补丁未发布之前，瑞星杀毒软件就可以通过“网页防挂马模块”拦截，无需等待微软的补丁。这就是因为通过分析“云安全”系统上报的挂马攻击行为，把这些危险行为做成“行为特征库”加入到瑞星全功能安全软件中，使其拥有了“免疫”能力。

图四

    防御系统的构建，改变反病毒行业的模式

    传统反病毒工程师都是这样工作的：用户用电子邮件上报可疑文件，工程师手工分析，给用户回信，同时把病毒特征码加入杀毒软件的特征库。

    有了云安全系统，瑞星反病毒工程师的工作大不一样：真正需要手工分析的病毒寥寥无几，大多数工程师都在分析“云安全”系统里的病毒趋势、挂马网站行为等等，从“分析单个病毒”到“分析病毒群的趋势、特征”，这是巨大的转变。

    从某种意义说，以前的工程师有点像中医，某个人来看病，根据个体信息来诊断、开药。而现在的反病毒工程师则像在生产疫苗，一群病毒来了之后，分析其中共同的特征，开出针对这群病毒的疫苗。这些疫苗不仅可以防范已有的病毒，还能防范将来出现的同类病毒。

    这就是为什么微软视频控件漏洞出现后，瑞星用户无需升级即可将其拦截。

    瑞星2010

    面对瑞星2010，相信很多2009的老用户都可以熟练的使用。但是个别新功能还是需要好好研究一下的。尤其是左下角多出来的云安全已经开启的字样是什么意思呢？

图五

    瑞星云安全系统作为国内安全软件行业一种病毒快速反应机制，有点类似于美国大片里的快速反应部队。其具体过程是由安全软件自动将本机无法查杀的病毒或无法检测的软件通过网络上传至病毒识别服务器，由专业的系统和软件进行分析，并针对新病毒的特点定制解决方案，然后将解决方案制作成杀毒软件的更新程序及时反馈给所有杀毒软件用户。

    这样做有什么好处呢：反应迅速，杜绝了病毒大面积感染的隐患。瑞星云安全系统针对常规病毒采取的是电脑程序智能分析，反应迅速。对于无法查杀的病毒还会自动预警交给专业的处理团队，能够在第一时间发现新的病毒品种，在最短时间内做出反应，抢在病毒形成广泛危害之前将其消灭，防止病毒大面积传播和爆发。

    针对性强，方便查杀变种病毒：过去查杀变种病毒主要依靠人力发现，费时费力。而瑞星云安全系统非常庞大，可以对比所有联网电脑内的病毒样本，可以轻而易举的查出具有相同特征的变种病毒。

    病毒库不再依赖单机和某一款杀软而是所有联网电脑：过去杀毒软件都依赖本机或主服务器的单一病毒数据进行杀毒，而加入瑞星云安全系统之后，无论是病毒还是木马，上报样本后，依靠庞大的网络服务，实时进行采集、分析以及处理，使整个互联网变成一个巨大的“杀毒软件”。换句话说，瑞星云安全的参与者越多，每个参与者就越安全，整个互联网就会更安全。