金山毒霸2011是世界{sk}应用“可信云安全”技术的杀毒软件,颠覆杀毒软件20年传统技术,将业界推崇的主动防御等行为识别技术置于云端,在云端完成样本的快速鉴定,辅以本地正常文件白名单库,保障客户端的安全性、提高检出率与整体响应速度。?
金山毒霸2011产品具有以下特点,并与传统杀软产生鲜明对比:
◎轻巧、资源占用少
◎查杀速度快
◎查杀准确度高
◎响应速度快
◎未知病毒查杀能力强
金山毒霸2011如此神奇的防杀效果,是如何依仗“可信云安全平台”这款新核心技术实现的呢?本文试图向读者揭开这个秘(图1)。
?
1、用户端非正常(未知)文件查询
2、服务器端查询结果响应
3、文件属性未知则上报样本
4、后台快速鉴定
5、鉴定结果发布到云端
6、鉴定结果反馈到客户端
7、对仍然未知的样本进行社会工程学评估
下面为读者详解金山毒霸2011采用的“可信云安全平台”里,三项核心技术:
可信云安全:云端人工智能自动鉴定,一分钟识别95%未知样本
云安全这个技术名词自问世以来,存在诸多争议,多家安全公司宣称自己的产品具备云安全技术。但这些早期的云安全技术,只是在利用客户端收集上传样本,再把更新后的病毒库分发到客户端,更象一个放大了的网络版杀毒软件,远不是金山所倡导的可信云安全体系。
金山倡导的可信云安全体系包含互联网可信认证;人工智能自动分析;样本的极速匹配算法;在客户端每天上亿次查询请求时,能够瞬间响应。金山毒霸2011的“可信云安全平台”,是由一系列收集、鉴定、发布等技术体系组成(图2)。
金山毒霸安全实验室每天通过这个云安全服务器收集约30万个样本,这样巨大的样本量,不可能依靠人工来解决。工程师们在服务端部署了超过20种以上的人工智能自动分析鉴定器,这些鉴定器包含启发式分析、沙盒技术、行为分析、API序列、虚拟化技术等等,随着病毒木马作者花招不断,还需要不断开发出新的鉴定技术。并且,这些人工智能鉴定器对病毒木马作者来说是xx不可见的,他们无法象对付传统杀毒软件那样容易找到绕过、对抗或反制的方法。目前,95%的样本可以在1分钟内被这些鉴定器判别为正常文件或病毒,金山云安全库收集的样本总量已达2.3亿个。
蓝芯II云引擎(BlueChipIICLOUD)——实现精准快速查杀
蓝芯II云引擎,是将金山毒霸蓝芯II引擎和云安全紧密结合的版本。杀毒引擎历来是杀毒软件最核心的技术,金山毒霸蓝芯II引擎的扫描速度是老版本的3倍。在引入可信云安全技术之后,将客户端非正常文件的微特征发送到云安全服务器查询,服务器瞬间返回查询结果(响应时间以毫秒计)。采用蓝芯II云引擎(BlueChipIICLOUD)技术,能大大提升病毒扫描的性能。据网友实际测试,联网时进行病毒扫描的速度大约是断网扫描的两倍(图3)。
白名单优先技术——不错抓一个“好人”,不放过一个“坏人”
杀毒软件这个行业存在了20多年,传统杀毒软件都是以识别文件是不是病毒为出发点,实际上这已经把杀毒行业带入死胡同。因每天出现的新病毒实在太多,2009年,金山毒霸捕获到的新病毒数量已经超过2000万个。无休止的升级病毒库,只会令杀毒软件的运行速度变得越来越慢,用户如果不及时升级,就有可能受害。并且,这种传统的病毒识别方法难免会出现误报(将正常文件报告为病毒)和漏报(病毒文件未被测试到而使系统仍处于危险之中)。
金山毒霸试图扭转这种看不到希望的升级大赛,金山反其道而行之,改为识别正常文件,因为对一个普通的电脑用户来说,系统一旦配置好,再安装新软件的机会并不是很多,99%用户电脑上的正常文件是可以被xx收集到的,只有正常文件之外的其它程序才会真的对系统有威胁。简单的逻辑分析可以得出一个结论,这种白名单优先的鉴定方法可以将危险程序{bfb}排除(图4)。
在金山毒霸2011中,内含了一个本地正常文件白名单库,我们知道正常文件只要不被修改,是不必每次都做病毒扫描的,我们只需要重点防范在正常文件白名单之外的程序就可以了。金山毒霸2011内置蓝芯II代云引擎的强大性能,依靠三个重要的特征库:本地正常文件白名单库+本地流行病毒特征库+云端海量特征库,可以高效快速的完成病毒程序的鉴定和xx,同时尽可能xx误报或漏报。