今年9月,卡巴斯基实验室在德国慕尼黑召开了2010媒体大会。会上,卡巴斯基实验室的安全专家同来自世界各地的媒体代表就网络犯罪最新形势以及卡巴斯基实验室技术最新成果进行了分享,特别是在互联网行业极为推崇的“云”技术,也成了讨论的焦点之一。
从2003—2004年开始,互联网用户迅速增长,人们之间开始大量传递信息。而互联网经济时代的到来,也为网络罪犯提供了非常具有吸引力的网络犯罪机会,新型恶意程序数量开始大幅度增加。
到2008-2009年,新兴恶意程序出现的速度达到一个全新的水平,传统的反病毒更新已经不能满足当时对抗网络威胁的需求,因为反病毒数据库的升级手段已无法再缩短响应时间了。于是,反病毒云技术开始浮出水面。
反病毒云技术的工作原理
所谓反病毒“云”指的是反病毒厂商所采用的基础设施,这些设施用来处理从用户计算机上获得的信息,它还会被用于执行一些其他任务。那么,云技术同普通的反病毒数据库更新有什么区别呢?
首先,云技术是双向的。连接到云的一定数量的计算机可以通过中央服务器将检测到的感染信息以及可疑行为反馈到云。云端对这些数据进行处理后,即可以将处理结果反馈到所有连接云的计算机。事实上,用户之间是可以通过反病毒厂商的基础设施进行攻击信息以及攻击来源信息等内容分享的。整个处理过程和结果是整合的,分布式的智能反病毒网络做为一个整体在进行工作。
此外,云安全技术和现有的反病毒技术之间的主要区别还体现在对对象检测的不同。早期的反病毒技术处理对象的方式主要是以文件形式,而反病毒云技术则是处理metadata(元数据)。例如,如果某个反病毒产品用户选择加入卡巴斯基安全网络(KSN),其计算机上的反病毒和参评会像卡巴斯基实验室发送两种不同的metadata。需要强调的是,这些信息的传送都是事先经过用户许可的。
专家系统会验证所检测到的威胁,确保不发生错误,然后分析传播威胁的源头。一旦确定源头,还会进行自动检验,确保不发生误报。之后,专家系统获得的关于最新威胁以及其源头的数据,会通过云技术下发到所有使用产品的用户。而通过收集和处理网络上每个参与者计算机上可疑的程序行为,云系统这个强大的专家系统就可以实时分析网络犯罪的最新动向。同时,用于拦截攻击的数据也会通过云网络提供给所有计算机,避免发生更多的感染。
云的优点
反应时间
云安全保护技术有一个最重要的优点,即其提供的针对最新威胁的识别和拦截速度远远超过标准的反病毒数据库更新技术。普通的基于特征的反病毒数据库更新技术在处理新兴威胁时可能需要几个小时,而云技术则可以在几分钟内就做出反应。
隐藏处理算法
由于metadata数据处理是在反病毒厂商的服务器上,其中所使用的识别恶意内容的算法无法被网络罪犯获取和分析。正是由于这种特性,使得该系统可以在很长时间内保持较高的处理效率。
通过云技术可拦截恶意威胁及其源头,自动解决其带来的潜在威胁。
完整的威胁数据
通过在全球范围内实时收集分布式反病毒网络上计算机中的威胁数据,专家系统具有比采用特征检测技术更为完整的恶意威胁数据库。当攻击发生时,攻击中所使用的恶意威胁以及攻击规模等数据可立刻通过云获取。
最大程度地减少误报
实际运行显示,利用基于云技术的检测误报水平至少低于基于典型的特征检测误报率的100倍。
更为便捷地执行自动检测处理
通过云技术识别到的未知威胁可以很快地进行自动处理,其速度和性能要由于基于特征以及启发式检测技术。
采用云技术有助于减小用户需要下载的反病毒数据库体积
因为云端的数据库不需要发送给用户计算机。但需要强调的是,用户计算机如果要访问云端基础设施,必须要持续联网。
(本文作者系卡巴斯基实验室病毒分析师)
进入论坛>>推荐阅读
“真!就不一样”正版软件推广活动是在Windows7周年庆典时正式推出的。目前,该活动已通过全国网络媒体,当地电视和平面媒体广告、户外广告、零售促销、媒体传播和消费者座谈等多种形式,在包括北京、南京、杭州、成都>>>详细阅读
本文标题:缩短反应时间减少误报 云安全五大优点解析
地址:http://www.lgo100.com/a/xie/20111230/190847.html
网友点评
精彩导读
科技快报
品牌展示