正在阅读：互联网安全形势刻不容缓 金山毒霸云安全应运而生互联网安全形势刻不容缓 金山毒霸云安全应运而生

　　一、互联网安全形势分析

　　1、商业利益趋使木马产业化、木马等恶意程序数量暴涨

　　由商业利益趋使的木马开始产业化，已形成一条完整的生态链。商业化木马具有定制性开发、小众化传播等特点，甚至还特别设立了专门的免查杀测试环节，对病毒木马在进入实际传播渠道前进行测试。

　　同时随着互联网的普及，恶意程序的制作门槛也在逐步降低，恶意软件数量增长迅猛。据金山毒霸反病毒监测中心数据显示，在新增应用程序中，70%以上的软件是或包含恶意软件。

　　这些因素都大大增加了安全厂商在病毒样本捕捉方面的难度，容易造成杀毒软件的滞后性，对一部分用户可能已经带来一些影响。

　　2、病毒木马网络化攻击、组合式攻击凸显

　　伴随着病毒与反病毒斗争的不断加剧，病毒之间相互勾结、各种攻击手段组合运用的现象日益明显。一般情况下，病毒多种攻击手段混合运用：网站挂马（广泛利用浏览器和常用软件漏洞）、黑客技术攻击局域网或广域网（比如ARP攻击）、利用移动设备自动运行功能传播。

　　而病毒的攻击方式也更加复杂：普遍具备对抗安全软件的能力。病毒木马的目的不再以破坏系统为主，中毒电脑系统基本无异常，不易被操作员发现。

　　3、使用操作系统底层技术的病毒公然挑战反病毒软件

　　伴随着病毒攻击手段的不断提升，一些病毒开始使用计算机底层技术，如Rootkit 和 SSDT-Hook 等技术，采用底层技术的恶意软件更难被安全软件检测和清除。

　　安全1.0时代的传统杀毒软件依托本地病毒库方式进行查杀，这种方式已无法满足日益变化及增长的安全威胁。在海量病毒、木马充斥互联网，病毒制作者技术不断更新的大环境下，反病毒厂商必须要有更有效的方法来弥补传统反病毒方式的不足，因此，“云安全”应运而生。

　　二、金山毒霸“云安全”

　　1、安全1.0时代

　　依托于本地病毒库即病毒特征码扫描的方式对病毒进行查杀。其最大的缺点在于样本来源单一，滞后性强、在样本鉴定方面完全依赖于安全厂商自身的人工样本分析，病毒处理方面完全依赖于客户端的本地处理。

　　这个时代的反病毒软件应对的病毒大部分是以满足个人恶作剧为目的的病毒，利益驱动较少。因此病毒的技术虽然一般都很“精巧”，但是危害性与数量都相对有限。而随着商业木马的产业化，在利益驱动下的病毒作者们爆发了更强的创造力。

　　因此，病毒数量出现了爆炸性的增长，其攻击效率与攻击手段都有质的飞跃。相应的，病毒的攻击目标往往带有很强的经济目的，因而危害更大。在这种状况下，传统的安全软件产品显然无法满足用户的安全需求。

　　2、安全2.0时代

　　安全2.0时代的核心是云安全。是面对整个互联网进行部署的安全体系，包括样本收集、样本处理、安全应用覆盖面等。用户安全构架由简单的一维病毒处理流程转换为多维度立体化的互联网安全体系。其最大的特点是极大提高用户安全体验的同时，又降低了用户成本。金山毒霸“云安全”概念的全面应用，有效地弥补了安全1.0时代的不足。

　　3、金山毒霸“云安全”定义

　　金山毒霸“云安全”是为了解决木马商业化之后的互联网严峻的安全形势应运而生的一种全网防御的安全体系结构。它包括智能化客户端、集群式服务端和开放的平台三个层次。“云安全”是现有反病毒技术基础上的强化与补充，最终目的是为了让互联网时代的用户都能得到更快、更全面的安全保护。

　　首先稳定高效的智能客户端，它可以是独立的安全产品，也可以作为与其他产品集成的安全组件，比如金山毒霸 2009和百度安全中心等，它为整个云安全体系提供了样本收集与威胁处理的基础功能；

　　其次服务端的支持，它是包括分布式的海量数据存储中心、专业的安全分析服务以及安全趋势的智能分析挖掘技术，同时它和客户端协作，为用户提供云安全服务；

　　最后，云安全以一个开放性的安全服务平台作为基础，它为第三方安全合作伙伴提供了与病毒对抗的平台支持。金山毒霸云安全既为第三方安全合作伙伴用户提供安全服务，又靠和第三方安全合作伙伴合作来建立全网防御体系。使得每个用户都参与到全网防御体系中来，遇到病毒也将不再是孤军奋战。

　　4、金山毒霸“云安全”的体系结构

　　·可支撑海量样本存储及计算的水银平台

　　·互联网可信认证服务

　　·爬虫系统

　　金山毒霸“云安全”三大核心体系介绍

　　1、水银平台

　　以分布式存储及计算平台为基础，结合业界领先的行为分析技术，每天对上百万未知文件样本进行自动分析、处理。并实时将处理结果更新至可信认证服务，为客户端提供及时、准确的服务。

　　A.行为分析系统（重点在于对未知病毒）

　　通过对文件监控、网络监控、邮件监控以及对进程注入、注册表敏感项修改、驱动打开等风险行为的监控，收集和记录汇报来的可疑行为，并根据事件的关联性，综合分析这些行为，识别未知的病毒行为。

　　面对海量的病毒样本，只有强劲的病毒分析系统远远不够，如何妥善的存储病毒样本，并对其进行处理是必须解决的问题，一个强大的分布式存储及计算平台来为其提供保障。

　　B.分布式存储平台

　　分布式存储平台，为应用平台提供统一的存取模式，妥善的存储海量的病毒样本和白名单样本。具备自动备份能力，金山水银平台已经储存了上百TB文件。

　　C.分布式计算平台

　　水银平台通过分布式自动分析处理平台，结合行为分析技术，每天能处理100万以上的未知文件样本，对样本自动进行扫描、分析并自动提取出相应的杀病毒脚本。同时，仅仅只需要简单的扩充机器数量，就可以提高处理能力，理论上处理能力没有上限。

　　2、互联网可信认证服务

　　示意图：

　　“互联网可信认证服务”即将互联网上每秒钟内生成的可执行文件进行收集，并经过自动以及人工的分析，以秒为单位对服务器端的“互联网可信认证中心”进行同步。可信认证服务能够承受每天数亿次的高负载查询。

　　3、爬虫系统

　　爬虫工作原理：

　　爬虫系统架构：

　　5、金山毒霸“云安全”发展历程

　　（1）2006年，金山毒霸开始采用白名单技术，着手开始做一些技术储备，重点方向在于海量样本存储与处理的分布式平台研究，掌握分布式系统的研发技术，同时，也开始了爬虫相关技术的摸索。

　　（2）2007年初，正式组建团队开始打造水银平台，共计投入了两个开发团队加一个实验室的研发力量，同时开始尝试一些外部合作。在这一年，主要完成了水银基础平台的建设，在对外合作方面做出了很多有益的尝试，先后与腾迅、百度、微软等都有了相关的合作接洽，且推出了百度安全中心的第一个版本。

　　同年7月，海量样本存储平台完成并上线运营，毒霸将近10年积累的数据开始迁移至水银平台。9月，海量样本自动分析系统接入，开始自动化处理病毒样本；12月，平台的各个环节完成串接，开始向可信认证服务输出数据

　　与此同时，金山毒霸2008中开始引入互联网可信认证技术，推出三维互联网防御体系。所谓三维互联网防御体系即在传统病毒库、主动防御的基础上，引用了全新的“互联网可信认证”技术，搭建以病毒库为根基，以主动防御为先锋，以互联网可信认证为核心的立体防御体系。在这个安全防御体系中，每一部分都不是独立的，而是相互依存的互补关系或者说“接力”关系。

　　（3）2008年，伴随着金山毒霸2009的发布，金山已经将云安全应用到了毒霸之中，并一举实现三项重大突破：病毒库病毒样本数量增加5倍、日最大病毒处理能力提高100倍、紧急病毒响应时间缩短到1小时以内。

　　“云安全”也已经引入了金山网镖2009中——在恶意网址拦截以及可信认证智能判断方面均取得了不错的效果。金山网镖2009的恶意网址拦截功能，可阻止病毒下载器通过恶意网址下载其他病毒木马，是对付病毒木马下载器泛滥的有力武器。同时，金山网镖2009内置可信认证智能判断技术，对安全的网络访问不再弹出是否放行的询问窗口，改善了客户使用体验。

　　同时，金山和百度、微软、腾讯等互联网知名企业深度合作，向更多的互联网用户提供安全服务来提升自身的技术和服务能力。目前数以亿计互联网用户通过百度安全中心、MSN安全保护中心分享金山毒霸“云安全”成果，而SOSO安全中心也即将上线。

　　百度安全中心

　　百度安全中心（http://an.baidu.com/）是金山联手百度共同推出的基于WEB的零客户端（网页方式）安全解决方案。这款完全免费的产品针对于保护互联网用户个人信息安全而设计，“百度安全中心”推出的在线服务涵盖了包括清理恶意软件及插件、清理历史痕迹、浏览器修复、U盘病毒免疫等几乎所有同类主流产品的功能。

　　“百度安全中心” 最大的亮点是产品中的“系统安全检测”功能，当用户启动该功能时可自动分析电脑上的可疑文件，上传到金山毒霸“云安全”水银平台进行分析处理。除了用于收集、清除木马病毒外，还可通过金山毒霸互联网可信认证将它们拦截在电脑之外，从源头上防止木马病毒。

　　MSN安全保护中心

　　MSN安全保护中心（http://im.live.cn/safe/center）是金山毒霸携手微软量身为MSN千万用户打造的系统漏洞修复、恶意软件清理和浏览器修复工具的计算机安全使用解决方案。这是金山毒霸继与百度合作之后，再次推出的基于Web技术的完全免费的互联网安全服务。

　　金山毒霸通过MSN安全保护中心为用户的计算机和信息安全撑起了一把“云安全”的大伞。

　　7、金山毒霸“云安全”未来趋势

　　（1）更开放的平台

　　向公众无偿开放水银平台所储存的文件、软件、病毒等各类样本信息。同时，水银内部的扫描分析等流程也可对外公开，为用户提供样本鉴定服务。

　　（2）充分引入用户交互

　　对于恶意软件以及恶意网站等没有明确的技术标准可以判定的内容，将引入用户评价体系，通过用户的深度参与，充分的利用互联网的力量，来决定最终的结果。

　　（3）“云安全”在金山安全类产品中的深度应用

　　“云安全”将全面应用到金山毒霸、金山清理专家、金山网镖等金山安全类产品之中。

　　（4）更充分的合作

　　合作让用户对网络安全有更进一步的了解和体验。病毒传播通道的彻底变化，各种主流应用软件的漏洞也开始被黑客和病毒制造者所利用，互联网将推动反病毒软件市场全新的变革。我们会加快向互联网转型的步伐，借助互联网实现软件发行和销售只是软件互联网化的第一步，深入了解网民的需求，了解网民上网的困惑，研发运营基于互联网的服务，才是软件互联网化的处理。互联网改变世界，软件推动互联网。

　　三、金山毒霸“云安全”在毒霸2009中的应用

　　基于“云安全”三大平台，金山毒霸2009成功实现了从样本收集、样本处理、安全应用覆盖面等方面对整个互联网安全体系的全面部署。

　　金山毒霸技术总监陈勇表示，“基于云安全，每个用户都是金山毒霸云安全庞大的安全网络的节点，都能受益于金山毒霸2009可信认证的庞大知识库及强大的后台样本分析服务。”截止到10月份数据，金山毒霸2009病毒库病毒样本数量增加5倍、日最大病毒处理能力提高100倍 、紧急病毒响应时间缩短到1小时以内。

　　“云安全”理念已全面应用到了金山毒霸2009：

　　源头拦截恶意网址 先发制“毒”

　　目前，利用在网页上种植木马下载器，盗取用户游戏账号及银行密码、偷窥用户隐私，已经成为黑客们惯用的手法，同时黑客利用这种手段的攻击范围之广前所未有，金融类网站、银行网站、门户网站、热门社区网站几乎无一幸免，全都成为黑客们跃跃欲试的目标。由于这类网站每天的浏览量非常大，如果不幸被黑客攻破种植上木马、病毒，所造成的影响无论是从范围上，还是从破坏性上都是巨大的。

　　针对病毒传播的这一主要途径，金山毒霸2009基于全新的网址认证技术，对用户的上网安全进行双重防护。当一个程序试图访问一个网址时，金山网镖会截获这一访问请求，首先判断网址的可靠性，然后使用网址认证功能进行网址安全性分析，“先发制毒”，从源头上截断病毒的入侵途径，确保用户上网浏览网页安全。有效遏制了木马下载器的入侵及网页挂马行为的侵害。

　　未采用恶意网址拦截功能之前：

　　采用恶意网址拦截功能之后：

　　网镖智能化 无痕保护

　　传统网络防火墙不可避免将各种安全难题留给用户，频繁弹出警告窗口，让用户进行安全决策“选择题”。对于普通用户来说，此种模式严重打扰用户正常操作，又留下安全隐患，非常缺乏实用性。

　　金山毒霸2009将金山“云安全”中互联网可信认证技术引入金山网镖中，采用金山独有的可信认证服务对程序的安全性进行自动分析、处理，智能帮助用户作出正确安全决策。有效减少了用户使用网镖时的困扰。用户仿佛置身于看不见的“云安全”的保护伞下，让防火墙的使用更显简单实用。

　　3、“云安全”对用户的三大好处

　　（1）病毒查杀能力的全面提升。“云安全”技术的全面应用，推动金山毒霸2009在病毒样本收集、病毒处理能力以及紧急病毒影响速度方面大幅度提升。截止到10月份数据，病毒库病毒样本数量增加5倍、日最大病毒处理能力提高100倍 、紧急病毒响应时间缩短到1小时以内。

　　（2）反病毒效率极大提升。云安全不仅提高了与病毒对抗的效率，而且极大的缩短了样本收集的时间，缩短了样本分析处理以及病毒数据升级的时间。

　　（3）智能化，更加完善的用户体验。金山在新版本的网镖当中新增加了可信认证智能判断功能，智能帮助用户作出正确安全决策。有效减少了用户使用网镖时的困扰。用户仿佛置身于看不见的“云安全”的保护伞下，让防火墙的使用更显简单实用。