正在阅读:金山毒霸2011核心技术 真正体验云安全金山毒霸2011核心技术 真正体验云安全

2010-04-15 23:46 出处:PConline原创 作者:caoweiye 责任编辑:caoweiye

  金山毒霸2011是世界首款应用“可信云安全”技术的杀毒软件,颠覆杀毒软件20年传统技术,将业界推崇的主动防御等行为识别技术置于云端,在云端完成样本的快速鉴定,辅以本地正常文件白名单库,保障客户端的安全性、提高检出率与整体响应速度。

软件名称: 金山毒霸2011专业版
软件版本: 4.10.602
软件大小: 22330k
软件授权: 免费
适用平台: Win9X Win2000 WinXP Win2003 Vista Win7
下载地址: 金山毒霸2011专业版

  金山毒霸2011产品具有以下特点,并与传统杀软产生鲜明对比:

  ◎ 轻巧、资源占用少

  ◎ 查杀速度快

  ◎ 查杀准确度高

  ◎ 响应速度快

  ◎ 未知病毒查杀能力强

   金山毒霸2011 传统杀软
安装包大小 20MB 50-100MB
扫描时CPU占用 约10%  >60%
内存占用 20MB >30MB
扫描200GB数据 小于50分钟 数小时
鉴定速度 秒级 分钟级,每天分发升级包

   金山毒霸2011如此神奇的防杀效果,是如何依仗“可信云安全平台”这款新核心技术实现的呢?本文试图向读者揭开这个秘(图1)。

金山毒霸2011
图1

  1、用户端非正常(未知)文件查询

  2、服务器端查询结果响应

  3、文件属性未知则上报样本

  4、后台快速鉴定

  5、鉴定结果发布到云端

  6、鉴定结果反馈到客户端

  7、对仍然未知的样本进行社会工程学评估

  下面为读者详解金山毒霸2011采用的“可信云安全平台”里,三项核心技术:

  一、可信云安全——云端人工智能自动鉴定,一分钟识别95%未知样本

  云安全这个技术名词自问世以来,存在诸多争议,多家安全公司宣称自己的产品具备云安全技术。但这些早期的云安全技术,只是在利用客户端收集上传样本,再把更新后的病毒库分发到客户端,更象一个放大了的网络版杀毒软件,远不是金山所倡导的可信云安全体系。

  金山倡导的可信云安全体系包含互联网可信认证;人工智能自动分析;样本的极速匹配算法;在客户端每天上亿次查询请求时,能够瞬间响应。金山毒霸2011的“可信云安全平台”,是由一系列收集、鉴定、发布等技术体系组成(图2)。

金山毒霸2011
图2

  金山毒霸安全实验室每天通过这个云安全服务器收集约30万个样本,这样巨大的样本量,不可能依靠人工来解决。工程师们在服务端部署了超过20种以上的人工智能自动分析鉴定器,这些鉴定器包含启发式分析、沙盒技术、行为分析、API序列、虚拟化技术等等,随着病毒木马作者花招不断,还需要不断开发出新的鉴定技术。并且,这些人工智能鉴定器对病毒木马作者来说是完全不可见的,他们无法象对付传统杀毒软件那样容易找到绕过、对抗或反制的方法。目前,95%的样本可以在1分钟内被这些鉴定器判别为正常文件或病毒,金山云安全库收集的样本总量已达2.3亿个。

  二、蓝芯II云引擎(BlueChipIICLOUD)——实现精准快速查杀

  蓝芯II云引擎,是将金山毒霸蓝芯II引擎和云安全紧密结合的版本。杀毒引擎历来是杀毒软件最核心的技术,金山毒霸蓝芯II引擎的扫描速度是老版本的3倍。在引入可信云安全技术之后,将客户端非正常文件的微特征发送到云安全服务器查询,服务器瞬间返回查询结果(响应时间以毫秒计)。采用蓝芯II云引擎(BlueChipIICLOUD)技术,能大大提升病毒扫描的性能。据网友实际测试,联网时进行病毒扫描的速度大约是断网扫描的两倍(图3)。

金山毒霸2011
图3

  三、白名单优先技术——不错抓一个“好人”,不放过一个“坏人”

  杀毒软件这个行业存在了20多年,传统杀毒软件都是以识别文件是不是病毒为出发点,实际上这已经把杀毒行业带入死胡同。因每天出现的新病毒实在太多,2009年,金山毒霸捕获到的新病毒数量已经超过2000万个。无休止的升级病毒库,只会令杀毒软件的运行速度变得越来越慢,用户如果不及时升级,就有可能受害。并且,这种传统的病毒识别方法难免会出现误报(将正常文件报告为病毒)和漏报(病毒文件未被测试到而使系统仍处于危险之中)。

  金山毒霸试图扭转这种看不到希望的升级大赛,金山反其道而行之,改为识别正常文件,因为对一个普通的电脑用户来说,系统一旦配置好,再安装新软件的机会并不是很多,99%用户电脑上的正常文件是可以被完全收集到的,只有正常文件之外的其它程序才会真的对系统有威胁。简单的逻辑分析可以得出一个结论,这种白名单优先的鉴定方法可以将危险程序100%排除(图4)。

金山毒霸2011
图4

  在金山毒霸2011中,内含了一个本地正常文件白名单库,我们知道正常文件只要不被修改,是不必每次都做病毒扫描的,我们只需要重点防范在正常文件白名单之外的程序就可以了。金山毒霸2011内置蓝芯II代云引擎的强大性能,依靠三个重要的特征库:本地正常文件白名单库+本地流行病毒特征库+云端海量特征库,可以高效快速的完成病毒程序的鉴定和清除,同时尽可能消除误报或漏报。

关注我们

最新资讯离线随时看 聊天吐槽赢奖品