【IT168 专稿】云安全一直是近期比较热点关注的话题，从个人用户安全到企业局域网的稳固，一切都仿佛离不开云安全的边角。那么面对形形色色的云安全，何种云安全技术才是用户的上上之选呢？下面一起来看下典型的云安全两大代表的技术对擂。

    趋势云安全点评

    由于趋势科技云安全拥有强大的后台计算和分析能力，所以给客户带来的价值不仅仅在于对外供给的防御，还能阻止内部人员造成的数据泄漏并且大限度的减少了对客户端网络、系统资源的占用，降低了终端计算机的硬件要求。趋势科技云安全解决方案不仅重新诠释了新一代网络安全架构的内容和标准，也是趋势科技与更多的优秀企业携手，共同打造网络安全防御的新平台。

    趋势云安全2.0技术有三大“信誉”技术，其中文件信誉技术（FRT）可以在用户打开文件之前，检查文件的安全信誉度。这个文件安全信誉度是通过趋势科技的云计算病毒判断来识别定义的，由于每天有成千上万的新型病毒和恶意代码，定期更新病毒库已经很难保证系统安全。而趋势云计算中心在美国、欧洲和亚太建立了5个威胁数据中心，由1200多位专家每天采集分析超过2.5亿个病毒样本，接近1200G数据。文件信誉技术将实时比对本地文件与网络上云端威胁服务器上的文件样本，来评定当前文件是否可信。

    三大智能机制保驾趋势云

    据趋势科技介绍，目前企业用户的安全威胁80%来自互联网，20%来自内部终端，而往往内部一台机器的漏洞会导致整个企业网络存在安全隐患。这时，关联分析技术可以动态的分析若干看似没有威胁的单一“动作”，当它们联合在一起构成“危险”动作时，就会判定它为恶意活动——也会与云端进行比对。另一方面，分析可以延展到企业内部的小型“云安全”网络中，以本地化服务器为核心进行云安全部署，使得企业内部网络不会出现安全盲点。

    1、行为关联分析技术

    趋势科技云安全利用行为分析的“相关性技术”把威胁活动综合联系起来，确定其是否属于恶意行为。Web威胁的单一活动似乎没有什么害处，但是如果同时进行多项活动，那么就可能会导致恶意结果。因此需要按照启发式观点来判断是否实际存在威胁，可以检查潜在威胁不同组件之间的相互关系。通过把威胁的不同部分关联起来并不断更新其威胁数据库，使得趋势科技获得了突出的优势，即能够实时做出响应，针对电子邮件和Web威胁提供及时、自动的保护。

    2、自动反馈机制

    趋势科技云安全的另一个重要组件就是自动反馈机制，以双向更新流方式在趋势科技的产品及公司的全天候威胁研究中心和技术之间实现不间断通信。通过检查单个客户的路由信誉来确定各种新型威胁，趋势科技广泛的全球自动反馈机制的功能很像现在很多社区采用的“邻里监督”方式，实现实时探测和及时的“共同智能”保护，将有助于确立全面的最新威胁指数。单个客户常规信誉检查发现的每种新威胁都会自动更新趋势科技位于全球各地的所有威胁数据库，防止以后的客户遇到已经发现的威胁。

    由于威胁资料将按照通信源的信誉而非具体的通信内容收集，因此不存在延迟的问题，而客户的个人或商业信息的私密性也得到了保护。

    3、威胁信息汇总

    来自美国、菲律宾、日本、法国、德国和中国等地研究人员的研究将补充趋势科技的反馈和提交内容。在趋势科技防病毒研发暨技术支持中心TrendLabs，各种语言的员工将提供实时响应，24/7的全天候威胁监控和攻击防御，以探测、预防并清除攻击。

    趋势科技综合应用各种技术和数据收集方式——包括“蜜罐”、网络爬行器、客户和合作伙伴内容提交、反馈回路以及TrendLabs威胁研究——趋势科技能够获得关于最新威胁的各种情报。通过趋势科技云安全中的恶意软件数据库以及TrendLabs研究、服务和支持中心对威胁数据进行分析。

    瑞星云安全技术点评

    瑞星2009拥有三大拦截、两大防御功能：木马入侵拦截（网站拦截+U盘拦截）、恶意网址拦截、网络攻击拦截；木马行为防御，出站攻击防御。这五大功能都是针对目前肆虐的恶性木马病毒设计，可以从多个环节狙击木马的入侵，保护用户安全。

    1.1木马入侵拦截（U盘拦截）：通过对木马行为的智能分析，阻挡U盘病毒运行。

    通过对木马病毒传播行为的分析，阻止其通过U盘、移动硬盘入侵用户电脑，阻断其利用存储介质传播的通道。木马入侵拦截（U盘拦截）取代了原来的U盘监控，控制范围更广，能够更好地控制执行区域。当木马入侵拦截（U盘拦截）范围内的程序试图自动运行或直接运行的时候，进行拦截，并提示用户。

    1.2木马入侵拦截（网站拦截）：利用分析网页脚本的行为特征，阻挡网页挂马。

    目前，有90%以上的病毒通过网页挂马传播，瑞星2009特别加入了以“网页脚本行为特征”为分析基础的木马入侵拦截（网站拦截）技术，它可以分析所有加密、变形的网页脚本，直接探测这些脚本的恶意特征，从而比原有的特征码拦截效果更好。同时，用户可以根据自己需求，设置独特的行为检测范围，使木马入侵拦截（网站拦截）可以最大限度的保护系统。

    木马入侵拦截（网站拦截）突破了原来网页脚本扫描只能通过特征进行查杀的技术壁垒。解决了原网页脚本监控无法对加密变形的病毒脚本进行处理的问题。由于采用的是行为检测查杀，对于网页挂马一类的木马有很好的防御和处理能力。此功能是支持瑞星“云安全”计划的主要技术之一。

    2、网络攻击拦截：将网络中存在危险的攻击数据包拦截在电脑之外。

    入侵检测规则库每日随时更新，拦截来自互联网的黑客、病毒攻击，包括木马攻击、后门攻击、远程溢出攻击、浏览器攻击、僵尸网络攻击等。网络攻击拦截作为一种积极主动地安全防护技术，在系统受到危害之前拦截入侵，在不影响网络性能的情况下能对网络进行监测。

    网络攻击拦截也是网络监控的一项基本功能，能够防止黑客/病毒利用本地系统或程序的漏洞，对本地电脑进行控制。通过使用此功能，可以最大限度的避免您因为系统漏洞等问题而遭受黑客/病毒的入侵攻击。

    一旦网络监控检测到黑客/病毒入侵，如2003蠕虫王攻击，则会拦截入侵攻击并提示您相关信息。

    3、恶意网址拦截：依据瑞星“云安全”成果，对恶意网址进行屏蔽。

    依托瑞星“云安全”计划，每日随时更新恶意网址库，阻断网页木马、钓鱼网站等对电脑的侵害。用户可以通过这个功能屏蔽不适合青少年浏览的网站，给孩子创建一个绿色健康的上网环境。因为网址过滤下包含了【网站黑名单】与【网站白名单】。用户可以把可疑或不适合浏览的网络地址设置到【网站黑名单】中，把信任的网络地址设置到【网站白名单】中。此外，恶意网址拦截功能也可针对具体的端口号、代理以及可疑程序进行监控。

    两大防御：

    1、木马行为防御：

    通过基于行为分析的内置规则和用户自定义规则，对木马破坏系统的动作进行拦截。

    通过对木马等病毒的行为分析，智能监控未知木马等病毒，抢先阻止其偷窃和破坏行为。此部分是分为瑞星内置规则和用户自定义规则。内置规则是瑞星根据多年反病毒经验的汇总，而用户自定义规则是根据不同用户的需求和实际情况而自行编辑的。用户可以将自己编辑的规则上传给瑞星，如果该规则应用范围较广，瑞星可将用户自定义规则升级为瑞星内容规则。

    2、出站攻击防御：

    阻止电脑被黑客操纵，变为攻击互联网的“肉鸡”，保护带宽和系统资源不被恶意占用，避免成为“僵尸网络”成员。使用“出站攻击防御”功能，可以对本地与外部连接所收发的SYN、ICMP、UDP报文进行检测。

    智能主动防御的改进

    在瑞星2009中，“智能主动防御”更开放、更智能、更灵活。尤其是其中的“系统加固”和“应用程序控制”，可以加固系统的脆弱点，抵御恶意程序的侵害。尤其是针对“摄像头控制”、“病毒安装驱动”的流行入侵行为进行了防御，可以更好保护用户安全。

    系统加固：针对恶意程序容易利用的操作系统脆弱点进行监控、加固，以抵御恶意程序对系统的侵害。系统加固对系统动作、注册表、关键进程和系统文件进行监控，防止恶意程序对操作系统进行修改系统进程，操作注册表，破坏关键进程和系统文件等危险行为。

    通过对目前主流病毒进行研究，瑞星09版系统加固增加了对“修改系统日期及时间”、“关闭电脑”、“摄像头控制”、“安装驱动”和“底层磁盘访问”等常见恶意行为的监控，病毒进行这些操作时会自动报警，大大加强系统的安全性。

    应用程序控制：为高级用户提供个性化的系统级程序控制，可以添加对程序的“文件访问”、“注册表访问”、“系统动作设置”和“启动程序”操作，监控程序的运行状态，拦截进程的异常行为，为用户提供个性化的保护。

    编者按

    以上可以看出瑞星的五大技术与趋势的六大技术，在功能与预警上都有自已的套路，两种数法虽然不一样，但殊途同归。效果却都差不多。都是利用云计算的强大处理能力，缩短安全威胁的响应时间，同时将用户逐渐解放出来，保护安全的工作交给后台的服务器集群去做。而这种思路的变化，可以清晰地看到反病毒软件正在向互联网的一项安全服务转变。也许，不久的将来反病毒软件将不存在，而是任何一个互联网用户随时可以享受到的安全服务。