云安全：把互联网变成杀毒软件

mimisky

如果不是亲眼感受病毒制造的演示过程，你绝对无法想象，木马和病毒制作有多么迅速;你更无法想象，病毒和木马的产业链分工的细致和完备;你也无法想象，病毒和木马是以怎样的速度增长;而中国杀毒软件制造商应对杀毒软件的智慧，也足以令人叹服。

　　2008年11月18日，在瑞星互联网安全技术大会上，两位瑞星的工程师李海明和钟伟形象地讲解，让我对病毒的生产力和杀毒生产力有了更深的理解：

　　病毒的生产力

　　最近几年电脑病毒和数年前单机病毒甚至DOS时代病毒，已经大不相同。过去病毒的制作者的目的，多为恶作剧或者搞点破坏;可网络时代的病毒，并不满足于自我表现和引起人们的注意，他们更多是为了经济目的：他们是为了网民的网银帐号，为了玩家的游戏帐号，为了虚拟财产和虚拟货币。一旦有了利益的驱动，病毒木马就更加隐蔽，也更加有破坏性。　　



　　李海明是瑞星公司互联网攻防实验室的工程师，在技术大会上现场演示了病毒的攻击过程：

　　一个用户无意中点进某个挂马的网站，浑然不觉中，他输入的地址跳转到另外一个木马和病毒的网站，这时，浏览器底下的IE进度条还在不断前进，但此时的系统进入了一个没有响应的状态，我们称之为“死机”;当电脑重新启动的时候，程序图标都被换掉，我们发现自己中毒了!

　　在这个看似简单的中毒过程的背后，却是一张庞大而且分工明确的互联网病毒产业链：

　　先是漏洞的挖掘者，也就是黑客，他们用最快的速度发现各种流行软件的漏洞。人们常说的0day漏洞，字面的意思是在不到一天的时间，迅速发现的漏洞，事实上有点Oday漏洞已经超过了1天，但这说明漏洞被挖掘的速度之快;之后有程序员利用这个漏洞制作病毒，这时病毒已经被制作出来;随后有人收购这个病毒，在卖给专职的销售人员，最后流入病毒的需求者，也就是盗号者手里。

　　整个过程分工细致，利益链条非常清晰，最终的效益也非常可观，而用户的损失也非常巨大。用户不但消耗了电脑内存硬盘资源，更可怕的是，木马中的病毒化解器，只要感染一次，病毒木马就会通过它源源不断地从病毒和木马网站上偷偷下载病毒，只要有一种病毒防不住，你的电脑安全就有危险。

　　因此，病毒一旦进入互联网，演化成木马病毒，集病毒的传播性和木马的破坏性于一身的时候，无论是其生产力还是破坏力都大提高。那么，瑞星是如何迎接网络时代木马病毒来袭呢?

　　病毒与毒牛奶

　　食品安全和电脑安全有某些类似的地方，病毒正如掺入了三氯氰胺毒牛奶。在技术大会上，瑞星工程师钟玮先生展示了他们的“云安全”架构，可以快速解决互联网的“毒牛奶”问题。

　　



　　传统的杀毒软件正如同传统的食品安全系统“头疼治头，脚疼治脚”，所有的信息是分散而且孤立的，正像毒牛奶事件发生时，不同地方的中毒患者没有及时汇总，分析和整理，所以，当中毒事件引起人们注意到时候，其危害面积已经非常广泛了。

　　瑞星的云安全策略，则是把所有中毒的状况、中毒者以及所在地点等各种信息汇总到一起，在获得几个样本的时候，就能总结出，中毒源头来自石家庄、哪种牛奶，然后把分析结果迅速反馈，让所有轻度患者，在第一时间抓紧医治，将危害降低到最少;同时对于该品牌牛奶进行监控，让毒牛奶不再流向用户。

　　瑞星的云安全和食品安全的快速反应机制，非常相似：快速感知、捕获新的威胁;迅速回应威胁，监控威胁。瑞星在08年8月，截获的可疑文件数量达到了350万个，比一年前提高了150倍，单日截获的恶意网址数量达到了3000多个。钟玮工程师说，这些离不开云安全。

　　总结：

　　互联网正飞速发展，病毒在网络的空间里迅速蔓延，编制成了出分工明确的网络和链条;杀毒厂商同样也在利用互联网，用互联网上无数电脑资源和杀毒企业的用户资源，瑞星是国内第一家提出云安全计划的厂商，在这一领域的尝试也一直走在行业的前列。

　　MYSPACE中国的前CEO罗川先生在分析FACEBOOK成功原因，说“facebook就是互联网的操作系统”;戴志康在形容自己的社区产品DISCUS时说，康盛正在做“互联网的CPU”;瑞星副总裁毛一丁说则：“互联网就是个杀毒软件”。笔者相信云安全会帮助瑞星实现这一梦想的。