正在阅读：斩断黑手！我眼中的瑞星“云安全”体系斩断黑手！我眼中的瑞星“云安全”体系

　　在笔者的电脑中，一直安装着一套瑞星杀毒软件，从2000年的CIH爆发到2009年的“机器狗”肆虐，短短几年间国内的网络安全环境已经有了翻天覆地的变化。而瑞星也在这个变化中不断完善，不断适应着最新的网络环境。其中“云安全”便是2009版中一项极富创新性的改进，然而随着瑞星2010（测试版）公测活动的启动，一些质疑声音也开始随之而来。什么新老版本只是名称上的不同，根本看不到功能上的改进，“云安全”不过是瑞星在炒09版的“冷饭”等等。

　　然而事实真的如此吗？其实如果您经常关注杀毒软件就会发现，在今年的很多杀毒软件中（2010公测版），“云安全”概念依旧随处可见。不过与去年仅仅停留在概念层面不同，在经历了一年多实际运行之后，各家的“云安全”体系都已得到了大幅完善，并且在此过程中还总结出了很多宝贵经验。作为第一次大版本更新，2010版自然在很多方面都得到了完善，因此绝不能因为名称相同而武断地认为两者没有区别。下面笔者就和大家简单聊一聊自己眼中的“云安全”吧。

　　一、 “云安全”的前世今生

　　目前杀软对于病毒的判定，无非分为两种模式，即最传统的“特征库”扫描及基于行为判断的主动防御。而包括启发式查毒、虚拟机查杀等其他技术，大多可以看作是这两组模式的细化或分支。在这其中“特征库扫描”误报最少，但它的一个很致命的问题就是滞后性严重。尤其在目前木马变种呈指数化增多的情况下，漏杀、漏检的情况十分严重。而作为一项行为判断模式，主动防御主要是通过文件行为判定木马，因此这种模式最大的优点就是可以抛弃特征库而实现更智能的木马检测，然而由于行为判断本身就可能产生误判，因此误杀现象时有发生。

图1 瑞星2010主动防御

　　正是基于上述两种模式的考虑，2008年一些具有前瞻性的公司（其中就包括瑞星）便开始构思一种全新模式，即将为数众多的客户端电脑当成一个病毒采集器，由他们将日常遭遇到的可疑文件上传公司，这样公司便能通过对上传样本进行分析，实现新病毒的快速响应，而这便是我们日后经常提到的“云安全”。

　　瑞星第一次提出云安全大约在2008年底，当时瑞星卡卡6.0推出了第一代云安全（1.0）。不过那时的云还仅仅停留在概念层面，由于缺乏实战基础及客户资源，第一代云只能说是该领域的一个探索。随后在瑞星2009版中正式推出了“云安全2.0”，由于09版强大的反挂马收集到的庞大网址库，使得这时的云已经初步具有实用价值。

　　而随着瑞星2010版的面世，“云安全”已经正式升级到3.0时代。相比之前版本，云安全3.0最大的变化就是强调了自动分析和快速响应，据一位瑞星内部工程师透露，最新一代“云安全”可以在6分钟内对新病毒进行响应，大大提高了杀软的实际工作能力。