云計算技術的背景以及現狀
- 時間:2014-04-03
- 來源:
遠光軟件(來源:企業網D1Net 作者:editor03 )
我國的反病毒技術起源自20世紀90年代,以各種基于特征碼的惡意代碼檢測方法和基于文件數據、程序行為的啟發式檢測為主。隨著云計算技術的發展,各個廠商陸續提出了自己的云安全技術理念及相應的產品。但這些產品多數的本質并沒有脫離特征檢測這一方法,只是特征的提取與匹配計算方式有所變化。
首先是病毒特征碼從客戶端采集向云端采集的遷移。為了解決文件數據不斷膨脹,惡意代碼不斷增加給用戶帶來的內存、硬盤、IO 等負擔,云安全技術首先利用云計算實現了特征存儲在云端,用戶需要檢測的時候在本地提取特征送往云端檢測,進一步在云端取得相關的處置方法。應用此類技術的軟件可以被稱作云安全軟件。 }其次云安全引入了更加豐富的樣本采集手段。從傳統的用戶上報、廠商主動獲取(下載站點、爬蟲、光盤采購等),轉向了由所有用戶共同組成的一個網絡在這個網絡的基礎上進行采集,而采集的樣本變得異常豐富:
1)可以通過數字簽名進行可信文件和非可信文件采集。對于授信證書簽署的文件可以對其進行采集,配合后端分析減少惡意代碼特征的誤報。
2)可以通過文件的分布信息進行基于分布的流行文件采集,對發現流行惡意代碼、傳播迅速的惡意代碼可以更快地發現。
3)可以通過文件的來源可信程度進行采集,對于易被感染的計算機終端(或傳播惡意代碼的站點),新發現的文件可疑程度也就更高,及時的采集則可以更快地發現惡意程序。
4)通過API監控技術和沙箱技術進行特定行為觸發的采集。此方式對于賬號信息盜取,敏感信息竊取的木馬類采集異常有效。而云技術則可以對敏感位置和敏感數據提供時時更新。
再者云安全技術引入了新的惡意代碼分析方式。惡意程序可以基于文件的分布廣度、文件的數字簽名、文件在計算機終端的實際行為進行分析檢測。云將這種檢測由原來的后置分析變成了在用戶現場進行的實際環境的采集和記錄,對于云端來說需要的是對這些采集獲取的數據進行更多的計算和分析,來判別文件的黑白。而無論是采取虛擬機、沙箱、API監控還是網絡數據抓取等任意技術為云安全提供數據的終端設備,都可以被稱作是云安全設備。
最后云安全設備提供了按需采集數據的能力,這些數據構成了分析提取惡意代碼特征的基礎。云安全軟件提供了按特征進行惡意代碼檢測和處置的能力。云安全設備和云安全軟件為廠商提供了用戶需求,廠商可以為用戶提供定制的安全服務,而廠商需要采集哪些惡意程序樣本并安裝客戶端需經用戶允許才可進行。這兩種按需提供的安全服務構成了現有的云安全技術體系。但這個圍繞著發現惡意代碼建立的安全體系在面對新安全威脅時存在著明顯的弱點。