【IT168 瑞星09技术大会报道】每年一届的瑞星技术大会堪称互联网安全狂欢节，众多安全领域专家纷纷在这个场合下发表自己多年来的研究成果。今年的瑞星2009技术大会，也可以说是一次对云安全的一次回顾与展望。面对众说纷纭的云，未来的应用和发展又在哪里?相信本次大会给人不一样的感受。

　　毛钧：瑞星反病毒安全实验室 首席研究员 兼 实验室主管。2002年加盟瑞星公司，曾任职病毒分析工程师、信息安全研究员；目前主要从事恶意代码的相关研究与分析工作。

　　云计算在云安全中的应用

　　大家下午好!我叫毛钧，今天很高兴有机会跟大家介绍云计算在云安全当中的应用。主要介绍三部分内容：首先简单回顾一下云安全防御模型;云安全客户端信息采集的计算;以及云安全服务端信息采集与挖掘的计算。

　　简单回顾一下云安全防御模型。云安全是我们瑞星公司提出了信息安全解决方案。整个云安全就是一个提供信息安全服务的语音计算平台。在云安全主要有两大部分组成，首先是安装瑞星产品云安全客户端，还有云安全中心，也就是我们云安全服务端。云安全客户端主要是安装了瑞星公司产品，比如说瑞星杀毒软件、卡卡安全助手、还有瑞星防火墙。云安全的服务端主要是由一系列的计算服务集成组成。整个云安全运作流程，首先由云安全客户端采集用户面临的互联网威胁，提交给云安全服务端让它进行深度分析和挖掘，然后再提供病毒定义以及防御策略给云安全客户端，以及其他互联网用户。

　　所以说我们可以认为，云安全客户端的防御信息，可以认为是云计算的初步结构。大家都知道整个互联网每天更新的文件以及页面是百万级的。如果说把所有数据都丢给云安全服务端处理，我们很难实现对威胁快速相应。通过初步过滤，可以从云安全客户端直接获取可疑文件以及恶意网址信息。通过云安全客户端计算结果主要是恶意脚本拦截、浏览器应用加固、网络供给拦截可以实现实现挂马网址、下载网址、攻击源地址。

　　我们云安全整个系统运行以来，收到了大量数据。上午运行报告中大家也看到了，从09年1到11月份收集的病毒样本，共计15306914个;通过前面给大家展示的数据，可以看到，就算有了云安全客户端初步过滤，上传来的数据依然是海量的，并且有很强的时效性。如何处理这些海量威胁数据，是云安全服务端的关键问题。

　　我们再来看一下云安全服务端是如何处理的?云安全服务端提供了威胁信息云存储、入侵来源深度挖掘、可以文件深度分析、威胁信息深度挖掘。

　　首先要解决海量存储的问题。瑞星公司用了四百多台服务器构建了云存储系统，由存储管理集群、存储服务集群组成。存储服务集群主要负责提供存储的功能，目前在瑞星公司云安全中心已经存储了两百G跟威胁相关的数据。

　　入侵来源挖掘系统本身也是一个小型云计算平台。恶意网址通过挖掘管理集群分发给蜜罐主机集群。整个入侵来源挖掘系统实际上对这些入侵来源实时监控，我们会第一时间获取从这些恶意网址更新的恶意程序。

　　我们下载下来的可疑文件交给自动分析系统分析，会由安全服务端及时发布病毒定义。同时入侵来源系统也充当了验证的角色。通过验证的恶意网址会及时发布给互联网合作伙伴，让众多互联网合作企业一起拦截这些恶意网址。

　　可疑文件自动分析系统，当有可疑文件分析的时候，任务调度服务器会分发这些任务，提取可疑文件的特征，然后由自动判断集群通过特征自动判断这些可疑文件到底是不是恶意程序。

　　特征提取集群，主要是根据病毒分析员对这些恶意程序的分析经验，从程序结构、文件内容以及行为特征来提取可疑文件的特征。

　　程序结构特征，主要是恶意程序在产生某些恶意行为的时候，在程序结构上面表现出来特征，比如说从病毒样本库中提取一个程序，首先是PE程序，在截表上大概估计它是CPU加壳的程序，它会具有打开摄象头以及下载执行程序的功能。

　　文件内容特征主要是指程序代码片段，以及文件可见字符。比如我从我们病毒样本库中拿了一个通过U盘通过并且具有键盘记录功能的程序，它有明显构造Offset的文件内容，以及键盘记录信息。

　　程序行为特征与我们现在瑞星产品里的木马行为分析类似。我们现在自动分析系统是通过刚才周军介绍的虚拟机来实现的，现在瑞星的木马防御是通过监控来实现的。我们随便找了一个恶意程序，通过记录它的API调用操作，可以看到这个恶意程序首先会查找系统目录，然后试图将自己复制到系统目录下，这是木马里头典型的自我复制行为。

　　程序结构特征以及文件内容特征还有程序行为特征是我们判断的依据，通过这几个特征，我们自动分析系统根据分析员制定的规则来判断这些可疑文件到底是不是恶意程序。

　　随着我们自动分析系统的发展、逐步完善，从云安全客户端上传上来的可疑文件到我们分析完成只需要几分钟时间。云安全客户端会提出及时查杀平台会将新的病毒定义发布给云安全客户端，防止这些恶意程序通过其他途径再次入侵用户的计算机。

　　前面跟大家介绍了自动分析系统，自动分析系统原理主要是通过学习病毒分析员对恶意程序的判断经验来判断，并且以这些经验判断这些文件是不是可疑程序。自动分析系统本身是存在一种误判，或者有恶意程序是判断不出来的可能，这就需要病毒分析员不断总结对程序的判断经验。

　　云安全服务端在快速处理这些信息同时，也会收集和整理相关的信息。比如说我们在恶意程序分析完成以后，会保留恶意程序的特征，我们安全分析人员通过相关特征的检索，可以搜索到有关联的恶意程序。比如说像刚才的可见字符，或者说某个木马行为，通过检索可以获得这些有关联的恶意程序。

　　我们的病毒分析员通过这些相关的恶意程序进行分析呢，我们可以不断的更新我们自动判断逻辑。以提高自动分析系统判断的准确性，以及它识别恶意程序的能力。并且通过监控这些恶意程序的相关变化，我们分析员可以为瑞星的云安全客户端提供防御策略以及启发特征、行为特征，以提高云安全客户端的防御能力。

　　整个云安全事实上是用了云计算技术，实现了对互联网威胁快速相应、海量数据存储以及处理，也就是实现了信息安全的互联网化。但是我们也很清楚，云计算只是解决大量计算问题的一种方式;信息安全基础技术依然是能否解决信息安全的关键。谢谢大家!