论文部分内容阅读
近年来的安防软件领域可以说是风起云涌,热闹非凡。不过从功能的进化上来看,现在的安防软件的确要比以往都更为强大。基本上可以做到灭威胁于无形,做到防患未然。从简单的病毒防护,发展到对木马、网页欺诈等新型安全威胁的防护,再发展出基于程序行为预测的主动防御,进而利用云计算发展到如今的网络层面安防,现在的安防体系的确是相当全面。尤其是基于“云”安防功能,确实可以更有效的为用户提供立体防护。
那么,这所谓的“云”到底是一个什么概念?云计算又是什么?云安全与云计算又有什么样的关联呢?所谓云安全又是如何保护用户计算机不被与日俱增的互联网安全威胁侵害的呢?这实际上要从安防软件的基本工作原理讲起。
安防简史
早期的安防软件,实际上只有杀毒功能。在只有字符界面的时代,安防软件实际上就是一个普通的程序,通常也不需要安装。用户只要定期使用这个程序对存储介质中的文件进行扫描就可以发现并清除病毒。那个时代的病毒扫描使用的就是我们所熟知的病毒文件特征扫描,通过比对存储介质中文件与病毒特征定义库,找到存储介质中被病毒感染的文件,并进行清除。这种方式被沿用至今,只不过当前的扫描手段更为复杂,精确度更高。诸如沙盒、脱壳等技术,实际上在早期也有雏形出现,而现在则已经成为主流技术。当时,更新病毒定义往往通过软盘等移动介质,或直接推出新版本程序实现。好在那时候病毒并不算猖獗,传播方式也没有现在这么迅速。几个月,甚至是一年更新一次病毒定义,电足以对系统内文件起到保护作用。
等到windows大行其道的时候,传统的被动扫描已经不足以应付日益猖獗的病毒了,加之系统结构发生重大改变,一方面安防难度提升了,另一方面也给安防软件常驻内存提供了可能。于是,实时监控功能就逐渐成为每一款防病毒软件的必备功能。通过系统驻留程序,安防软件可以实时扫描监控内存中的每一次数据变化,从而对病毒入侵做出反应。这种方式也被现在的安防软件继承下来,也是目前广大用户最熟悉的一种安防模式。通过基于互联网的病毒定义更新,用户可以在很短的时间内获取到最新的病毒定义库,处理掉最新爆发的病毒。不过这种方式仍然很被动,因为在这种模式下,病毒的收集几乎可以看作是人工手动收集、处理,再进一步下发到用户计算机的。也就是说,杀毒软件永远比病毒慢半拍,总会有用户受到病毒侵害,然后安防软件厂商才能做出反应,更新病毒定义,阻止病毒感染更多的用户计算机。
随后的一类热门技术,被称为主动防御技术,为什么说是一类技术,而不是说一种技术呢?因为同一时期不少厂商都在开发自有的主动防御技术,虽然在实现方式上各不相同,但主体思想却是一致的——在病毒大范围爆发前就保护用户的计算机。比较常见的是“程序行为预测模式”,通过预先在小型虚拟机中运行未知程序,从而对未知程序所执行的各种操作进行判断,符合一定条件的,比如需要安装底层驱动或是调用一些关键文件等等,此时带有程序行为预测模式的安防软件会对这个程序做出反应。通常来说,为了避免误判,安防软件此时会弹出一个对话框,询问用户是否知道此程序的来源,是否信任该程序,以及是否要进一步执行。
对于有经验的用户来说,一般来说这个提示框已经足够,因为他们知道自己要做什么,而对于对计算机懵懵懂懂的用户来说,这个对话框无疑是一种麻烦,通常他们的选择是点击“是”,对所有程序放行。所以这种模式的最大缺陷就是需要用户干预,而在整个安防环节中,最靠不住的就是用户——安防软件厂商不应假设所有用户都精通电脑。不过这个模式还是得以保留至今,只不过更加完善,弹出对话框更少,用户甚至感觉不到它的存在。
而进一步完善这种模式的技术有很多种,比如文件指纹技术、黑白名单技术等等。实际上,这些技术的最关键因素就是扩大样本库,也就是让安防软件可以“认识”更多的文件,如果安防软件可以正确识别90%的文件、程序,那么未知的10%基本上可以确认就是安全威胁了,尤其是“新文件”。这一点很重要,因为实际上我们使用计算机过程中,绝大多数的可执行文件及其相关文件都是可以识别的“旧文件”;而正常的,由软件开发设计人员创造出的“新文件”可以通过之前提到的行为判定模式进行甄别,而且正常的软件开发厂商开发出新程序通常也会知会安防软件厂商,公布自身程序特征,避免被安防软件拦截。而剩下的那些安防软件不认识,又有诡异行为的“新文件”,相信大家都能明白是怎么回事了。
说到这里,我们已经可以得出结论,安防软件的根基所在,就是对各类文件的识别,说到底还是一句话——样本库是不是够大。如何扩大样本库,是安防软件面临的最大问题。无论是病毒也好,木马也罢,只要是不需要用户干预,自动执行,自动传播的程序,必然都有其特征,如何在如汪洋大海一般的文件中识别出这些文件,就是安防软件要做的事情。实际上,个人认为这种“纯技术”工作,要比防御那些网络欺诈类的安全威胁容易的多,因为程序很少出错,而经验不足的用户往往会犯傻,会上当。
纯技术的工作,就需要更先进的技术来完成。如何来扩大文件样本库?正如我们所知,当前的互联网上,拥有一切文件。好的,不好的;安全的,有威胁的,我们都能在互联网上一一找到。除非世界上有那么一个独一无二的病毒,但装有这个病毒的计算机不上网,那我们就找不到这个文件了。不过既然制作了病毒、木马,必然要放出来,否则为什么要做?要知道现在早就不是那个高手们制作病毒娱乐大众的年代了,时下病毒木马背后流淌的是金钱和利益。既然互联网上有所有文件,那么为什么不能把整个互联网作为文件样本库使用呢?恰逢云计算悄然兴起,安防软件厂商也从中获取到了灵感。
云计算
有没有想过?未来的某一天,你的计算机只有超微型的主机和简洁的输入输出设备,计算机内不需要安装任何软件,但是只要开机,接入网络,你可以做你任何想做的事情,即时获取到任何你想要的应用。这就是云计算的终极目标。当然,在现阶段这种情景还不能实现。但云计算其实已经在逐渐改变着我们使用计算机,使用网络的习惯。云计算的最大特色就是可以避开用户端硬件设备层,直接提供服务、应用和数据,用户只要使用能够接入网络的设备,就可以访问云端的资源。
实际上,云计算是一种基于互联网的计算新方式,通过互联网上异构、自治的服务为个人和企业用户提供按需即取的计算。由于资源是在互联网上,而在电脑流程图中,互联网常以一个云状图案来表示,因此可以形象地类比为云,“云”同时也是对底层基础设施的一种抽象概念。
云计算的资源是动态易扩展而且虚拟化的,通过互联网提供。云计算的基本原理是,通过使计算分布在大量的分布式计算机 上,而非本地计算机或远程服务器中,企业数据中心的运行将更与互联网相似。这使得企业能够将资源切换到需要的应用上,根据需求访问计算机和存储系统。
终端用户不需要了解“云”中基础设施的细节,不必具有相应的专业知识,也无需直接进行控制,只关注自己真正需要什么样的资源以及如何通过网络来得到相应的服务。
云计算可以认为包括以下几个层次的服务:基础设施即服务(IaaS),平台即服务(PaaS)和软件即服务(SaaS)。云计算服务通常提供通用的通过浏览器访问的在线商业应用,软件和数据可存储在数据中心。
最简单的云计算技术在网络服务中已经随处可见,例如搜索引擎、网络信箱等,使用者只要输入简单指令即能得到大量信息。未来如手机、GPS等移动装置都可以透过云计算技术,发展出更多的应用服务。进一步的云计算不仅只做资料搜寻、分析的功能,未来如分析DNA结构、基因图谱定序、解析癌症细胞等,都可以透过这项技术轻易达成。稍早之前的大规模分布式计算技术即为“云计算”的概念起源。
当前互联网中的“云”,已经具有相当大的规模,Google云计算已经拥有100多万台服务器,Amazon、IBM、微软、Yahoo等的“云”均拥有几十万台服务器。企业私有云一般拥有数百上千台服务器。“云”能赋予用户前所未有的计算能力。
云计算支持用户在任意位置、使用各种终端获取应用服务。所请求的资源来自“云”,而不是固定的有形的实体。应用在“云”中某处运行,但实际上用户无需了解、也不用担心应用运行的具体位置。只需要一台笔记本或者一个手机,就可以通过网络服务来实现我们需要的一切,甚至包括超级计算这样的任务。
由于“云”的特殊容错措施可以采用极其廉价的节点来构成云,“云”的自动化集中式管理使大量企业无需负担日益高昂的数据中心管理成本,“云”的通用性使资源的利用率较之传统系统大幅提升,因此用户可以充分享受“云”的低成本优势,经常只要花费几百美元、几天时间就能完成以前需要数万美元、数月时间才能完成的任务。
看到这,读者一定会有个疑问,那就是云计算到底和安防软件有啥关系?实际上,从安防软件公司开始通过互联网向用户计算机内的客户端推送病毒定义更新开始,安防软件就已经具备了一定的“云”特征了。只不过这时候客户端和服务端的互动还是被动的,以厂商的服务端为主,只有一个病毒定义更新下发的过程。而现在所谓的“云安全”在此基础上大幅度进化,不仅仅是下发病毒定义那么简单。这么说吧,如果用户的电脑不能连接到互联网,那么所安装安防软件的能力将大幅度下降,功能也有缺失。但云安全仍然仅仅是具有云计算的一些特性,与云计算还是有很大不同的。
云安全
正如前文所述,“云安全”本质上与云计算有着很大的不同。实际上,对于云安全而言,其整个防护过程是客户端软件与服务端进行交互的一个过程,它其实是通过安防软件厂商的响应中心服务器与安装在用户计算机上的客户端构成的一个网络运算体系,由于其结构比较接近云计算模式,故借用“云”这一概念,称之为云安全。但是,实际上云安全并不具备云计算的开放性,它仍然需要客户端支持。简单来说,就是用户不能使用A厂商的客户端,访问B厂商提供的各类安防功能,只能访问A厂商提供的各类功能。这是由于安防软件自身的封闭状态造成的,换句话说,如果打通各安防软件厂商之间的隔阂,从互联网层面进行安全威胁的过滤和排查,用户端就会更为安全,甚至安全威胁都无法达到用户层,就会被消灭在摇篮中。
但这几乎是不可能的,这直接关系到各大安防软件厂商的收益问题,所以很难在短时间内实现。不过未来也许存在这种可能性。另外,值得我们注意的是,云安全这个概念实际上是由我们的本土企业率先提出的,而国外的厂商虽然有类似的技术,但早期并未使用这个概念,直到不久前才开始使用云安全这一名称作为宣传手段。在这里我们不得不佩服国内本土厂商在宣传方面的功力。
早期的云安全功能较为单一,起到的作用仅仅是样本收集、下发。通过安装在各个用户计算机中的客户端,收集用户在使用计算机、网络过程中遇到的未知文件。通过用户计算机本地的主动防御体系,对这些文件进行预判,然后收集可疑文件的关键特征信息,井上传到安防软件厂商的响应中心服务器,供安全厂商进行分析。一旦发现新的安全威胁,安全响应中心服务器会第一时间向用户计算机内的客户端推送更新,从而最大程度的减少新兴安全威胁爆发的可能性。这一过程,实际上就是一个扩大病毒样本库,提升样本库更新速度的过程。不过在这种模式下,仍会有用户的计算机受到安全威胁的侵害。
随后,这种模式被进一步完善,全面的在线黑白名单过滤功能被加入进来,而且云安全也不再仅仅是与病毒、木马的扫描功能捆绑,进而与安防软件的其他功能进行整合。在线黑白名单机制实际上同样是客户端与安全响应中心之间交互的过程,通过在线更新文件的黑白名单,可以直接过滤掉安全的文件,仅扫描不安全的未知文件。同时,黑白名单本身也不仅仅是对文件有效,对于未知站点、仿冒站点同样有效,通过与搜索引擎相结合,可以实现在用户访问有威胁的网站之前给出警告,阻止用户点击存在潜在威胁的站点链接。这样一来,实际上是从网络层开始对用户计算机进行防护。不过话说回来,在整个过程中,最薄弱的部分仍然是用户,理由与之前的主动防御部分完全相同——因为不管不顾的用户会直接点击那些可能存在威胁的连接,甚至关掉这部分功能。
而现在,基于这种客户端与响应中心互动的模式,安防软件发展到了全新的阶段,安防软件的所有防护功能,都可以通过互联网直接获取信息,不管是文件信息也好,网站安全信息也罢,当前的安防软件已经处于一个相当强大的阶段。基本功能方面,各大安防软件厂商的产品其实差别不太大,基本上都是文件扫描、实时监控、主动防御、互联网可信认证这样的几个模块,只不过名称不同,实现方式有区别。但类似的功能前提下,各款安防软件还是存在性能、防护能力上的差异的,这其实就要看安防软件厂商的技术实力了。
另外,各家厂商提供的额外功能也都有所不同,有的侧重本地内容防护,有的侧重计算机性能优化等等。但无论如何,安防软件都在朝着大而全发展,并且除了提供尽可能全面的安防能力和功能外,还在不断优化性能,尽可能减少安防软件对系统性能的影响。在接下来的产品介绍部分,我们将详细的为读者介绍目前市面上主流的安防软件产品。
免费的午餐
有句老话叫“天下没有免费的午餐”,这句话放在互联网里,似乎不那么正确了。好像我们一直都有免费的各种各样的资源可以用。比如浏览器,比如电子邮件服务,比 如免费的IM软件等等。但是,实际上这些东西并不是真正的“免费”。回想一下,IM软件是否会定期弹出一些广告呢?下载软件是否会经常出现浮动的广告窗口呢?我们用免费的浏览器浏览的那些页面上,是不是也有很多很多的广告呢,而免费提供电子邮件服务的厂商是实际上你个人信息的拥有者我们之所以使用免费电子邮件服务实际上是出于对服务商的信任。服务商虽然不会盗取我们的信息但仍会通过我们的邮件来研究我们的上网习惯,使用习惯等等,然后推出一些具有针对行的应用,吸引用户付费。
不过这些都是小事情,无非是看看广告,接收点令人厌烦的垃圾邮件之类的,仍属于可接受的范围吧。但是,对于时下非常流行所谓的“免费安防软件”,大家就要小心了。为什么这么说呢?不妨让我们先来看看这些所谓的“免费安防”都能为我们做些什么。
以国内最为火爆的360安防举例说明。早期的奇虎360定位在“木马清除”这个领域,在上市之处,与各大安防软件厂商都有过一些合作。当时的奇虎360具备简单的木马扫描功能,但并不具备针对病毒的扫描监控功能;此外,作为奇虎360的招牌功能之一,下载Windows升级更新这个功能一直被保留到现在。这两项功能就是奇虎360早期版本重点宣传的功能了,其实对于木马的防御,各大安防软件厂商都有成熟的解决方案,用户并不是真的需要一个额外的木马防护工具。当时恰逢微软开始实行“黑屏”计划基于国内的操作系统占有率现状90%的个人用户面临着黑屏并无法获取Windows关键更新的窘境。
须知,无法获取Windows安全更新,就意味着系统内漏洞无法修补,虽然安装安防软件可以弥补这个问题,但一旦爆发新的“O Day”威胁,安防软件是无法及时起效的只有打过对应的Windows安全补丁,才能幸免。这样一来,对于使用未通过微软正版验证操作系统的用户来说奇虎360提供的自动更新微软安全更新补丁功能,确实非常具有吸引力。但是,当我们进一步思考一下作为第三方的奇虎360是如何拿到微软的关键更新的,以及用户通过奇虎360获得的更新又是从哪里下载到的就不免觉得有些蹊跷。
首先微软肯定是不会允许第三方通过这种手段为自己的用户提供更新的,这完全是多此一举,因为正版用户可以自动获取更新。这种“奇特”的更新方式恰恰是在给那些使用盗版系统的用户提供微软已经确定不提供的功能,这与微软的反盗版思路相悖。所以说奇虎宣称的,与微软是战略合作伙伴关系,就很值得怀疑。从这一点来看,实在想不明白微软为何会允许这样一个挖自己墙角的战略合作伙伴存在。或许获得了微软的开发许可就能算是微软的战略合作伙伴了?如果是这样的话,那么微软的战略合作伙伴就遍及全世界了,未免过于廉价了点。
好吧抛开这些不谈单纯的来说说奇虎360的发展吧。总体来说,奇虎360初期倚仗着具有针对性的功能,以及一些安防软件厂商提供的合作平台,迅速发展获取了大量的用户。而且奇虎360一再宣称永久免费,更加符合国内用户喜欢“免费的午餐”的特点,以致于一时间大有遮天蔽日之势甚至不少安防软件厂商被逼无奈也开始免费,这就不是一个好的趋势了。至于说奇虎360的功能,恐怕对安防软件领域稍有了解的人都会觉得它杀的安防软件比病毒还多——用户数量上去了,奇虎做的事情就有些让人匪夷所思了。这两年,奇虎与各家安防软件厂商之间的争斗相信大家也有所耳闻,这里不便过多讨论,只能说公道自在人心吧。
目前的奇虎已经发展出了相当多的软件,已然从一个简单的木马防护,补丁更新系统维护的小工具,发展成现在横跨安防,浏览器等多领域的软件厂商。但是,对于奇虎的反病毒软件我们持保留意见。实际上,安防软件领域有不少SDK(开发者工具)存在,免费的、收费的都有。这些SDK可能是一些不知名的安防软件厂商开发,也可能是一些专注于安防领域的技术专家编写,具有完整的病毒防护、监控引擎。想要开发安防软件的厂商,可以从这些SDK开发出自己的安防软件。比如在此基础上增加一些功能模块调整成更符合自己公司需要的UI等等。
写这些,并不是说用非自主研发引擎开发出来的安防软件就一定不好。但相对于自主研发引擎,这种方式存在很多问题。首先就是这引擎本身是不是跟的上时代,够不够强,其次是二次开发人员,能不能吃透买来的引擎真正做到“为我所用”,再来,增加的功能是否可以和主引擎完美融合,是不是可以真正发挥安防引擎的能力,而不是简单的功能模块化各自为政。这些问题都会直接影响到安防软件的实际安防效果。要知道安防软件可不是简单软件,可不像我们可以随便用VB写出的音乐播放器。面对免费的安防软件,难免会让人问一句:“靠谱吗?”
最后再从这些免费的安防软件的盈利模式来看看他们为啥不靠谱吧。基于我们对互联网“免费”服务的认识,我们知道这些服务并没有真的免费,这一点前面已经有提过,这里就不再多说了。那么,这些免费的安防软件到底是靠什么来支撑人员支出,研发支出的呢?运营一个公司各种支出。投入可是相当多的,软件完全免费,哪里来钱应付这些必要的支出就是个大问题了。基于互联网的种种服务,还可以通过广告或其他方式来回笼资金,这软件完全免费要靠什么手段来赚钱呢?
难不成安装安防软件后,也像下载工具那样定期在屏幕右下角弹出广告不成?要知道,这种推送到桌面的广告本身可就不安全。预留这么个通道,本身就存在漏洞。尤其是装机量巨大的软件,很容易就会成为病毒、木马制作者的目标。如此“免费”恐怕真是没法让用户接受。同理,内置一个浏览器页面用于打广告同样也存在着安全问题。所以从一个企业的运营模式和盈利模式上来看我们也无法理解安防软件是如何做到免费的,毕竟这种东西不像QQ或是其他可以免费的软件一样拿出来给大家免费使用,而一家公司也不可能永远靠融资靠风投活着。也许现在免费,将来用户就会为现在的免费付出代价也未可知。
所以说,天下没有免费的午餐这话是没错的。相对于功能全面的传统安防软件,这些只拿出部分功能《比如木马防护-系统优化》做成免费产品的所谓“安防软件”不如叫“辅助工具”好一点,因为相对于全面的安防软件来说,这些东西的确只能作为辅助工具用用想要靠它们来防护你的计算机,你的个人信息,是远远不够的。即便如此,我们也不建议大家在系统有安防软件的情况下安装这些辅助工具,基于一些特殊情况,这些所谓的安防软件搞不好会干掉你的安防软件,干掉安防软件之后,它们又不能起到安防作用,所带来的麻烦可就大了。
性能测试
安防软件的测试一直是一个比较棘手的问题难点主要在安防软件的实际防御能力的测试上。对于IT专业媒体来说,要想全面的测试安防软件的防御能力,是比较有难度的。尤其是在国内,病毒样本测试基本上是不允许非公安部相关机构进行的,而且就算 我们使用病毒样本库进行测试,同样存在问题。那就是我们收集到的样本库往往不够新,以现在安防软件的更新速度,不够新的样本库根本不具备测试意义。而最新的样本,作为IT媒体来说,必然无法第一时间拿到。这也正是安防软件测试的尴尬之处。
不过,鉴于当前互联网安全形势比较严峻实际上互联网上的潜在威胁是相当多的。只要能够找到具有安全问题的网站,就可以按照用户实际使用的情况来进行安防测试。而具有安全问题的网站并不难找。就国内的情况而言,不少中小型下载网站多多少少都会有一些安全问题,比如上传的压缩包内含有木马之类的,这是非常常见的现象。那么我们只要安装好要测试的安防软件,并更新到最新,然后访问这样的网站,或者下载一些文件,就能直观的得到安防软件对这些潜在威胁的相应效果,进而对安防软件的防御能力有一个大致的了解。同时,这种方法也比较接近用户实际使用的情况。我们挑选了一些有问题的网站,并对网站上的各种资源进行下载操作得出被测安防软件的大体情况。从测试表现来看虽然各款软件应对不良网站的方式有所不同,但基本都能起到防御作用,这部分测试成绩供用户参考。
除此之外我们还对安防软件的系统占用情况进行了监测,包括安装安防软件后的开机时间,全盘扫描时间,系统待机状态下的安防软件内存占用情况等等。加上前面提到的互联网威胁实际测试,我们就可以大体上了解一款杀毒软件的综合情况。这些测试成绩,会在我们的表格中呈现出来。
当然,这种测试方法也存在一定的误差因此除了这些“性能”方面的测试,我们还要从安防软件的易用性等方面进行考察,通过实际试用来考察安防软件的设置是否易于上手,各项功能是否全面,并且是不是具备简明易懂的可管理性,毕竟个人用户是无法享受到无微不至的企业IT人员服务的,所有的设置。调整,都要亲自动手。这样一来,安防软件的UI设计、功能划分,就显得相当重要了,这些看似细节的地方直接影响着用户的实际使用体验。而这方面的描述,各位读者可以在随后的产品介绍部分,了解到更为详细的情况。
赛门铁克诺顿网络安全特警2011卡巴斯基安全部队2011
由于这是本年度的第二次安防软件专题,因此产品更新方面并没有预想的那么好,不少产品仍然没有更新到最新版本。但这并不是说,我们评选出的获奖产品只因为它们是新版本。编辑选择奖的评选仍然像之前一样严格。而且即便是某些新产品,也未必就比老产品强。于是,像以往一样,经过一番权衡,我们将编辑选择奖授予赛门铁克诺顿网络安全特警2011和卡巴斯基安全部队2011。这两款产品无论在性能表现上,还是在功能配置上,都有出色的表现。赛门铁克诺顿网络安全特警2011将全球智能云的运用,发挥到了当前的极致;而卡巴斯基安全部队2011提供的“沙盒”功能让人过目难忘。
那么,这所谓的“云”到底是一个什么概念?云计算又是什么?云安全与云计算又有什么样的关联呢?所谓云安全又是如何保护用户计算机不被与日俱增的互联网安全威胁侵害的呢?这实际上要从安防软件的基本工作原理讲起。
安防简史
早期的安防软件,实际上只有杀毒功能。在只有字符界面的时代,安防软件实际上就是一个普通的程序,通常也不需要安装。用户只要定期使用这个程序对存储介质中的文件进行扫描就可以发现并清除病毒。那个时代的病毒扫描使用的就是我们所熟知的病毒文件特征扫描,通过比对存储介质中文件与病毒特征定义库,找到存储介质中被病毒感染的文件,并进行清除。这种方式被沿用至今,只不过当前的扫描手段更为复杂,精确度更高。诸如沙盒、脱壳等技术,实际上在早期也有雏形出现,而现在则已经成为主流技术。当时,更新病毒定义往往通过软盘等移动介质,或直接推出新版本程序实现。好在那时候病毒并不算猖獗,传播方式也没有现在这么迅速。几个月,甚至是一年更新一次病毒定义,电足以对系统内文件起到保护作用。
等到windows大行其道的时候,传统的被动扫描已经不足以应付日益猖獗的病毒了,加之系统结构发生重大改变,一方面安防难度提升了,另一方面也给安防软件常驻内存提供了可能。于是,实时监控功能就逐渐成为每一款防病毒软件的必备功能。通过系统驻留程序,安防软件可以实时扫描监控内存中的每一次数据变化,从而对病毒入侵做出反应。这种方式也被现在的安防软件继承下来,也是目前广大用户最熟悉的一种安防模式。通过基于互联网的病毒定义更新,用户可以在很短的时间内获取到最新的病毒定义库,处理掉最新爆发的病毒。不过这种方式仍然很被动,因为在这种模式下,病毒的收集几乎可以看作是人工手动收集、处理,再进一步下发到用户计算机的。也就是说,杀毒软件永远比病毒慢半拍,总会有用户受到病毒侵害,然后安防软件厂商才能做出反应,更新病毒定义,阻止病毒感染更多的用户计算机。
随后的一类热门技术,被称为主动防御技术,为什么说是一类技术,而不是说一种技术呢?因为同一时期不少厂商都在开发自有的主动防御技术,虽然在实现方式上各不相同,但主体思想却是一致的——在病毒大范围爆发前就保护用户的计算机。比较常见的是“程序行为预测模式”,通过预先在小型虚拟机中运行未知程序,从而对未知程序所执行的各种操作进行判断,符合一定条件的,比如需要安装底层驱动或是调用一些关键文件等等,此时带有程序行为预测模式的安防软件会对这个程序做出反应。通常来说,为了避免误判,安防软件此时会弹出一个对话框,询问用户是否知道此程序的来源,是否信任该程序,以及是否要进一步执行。
对于有经验的用户来说,一般来说这个提示框已经足够,因为他们知道自己要做什么,而对于对计算机懵懵懂懂的用户来说,这个对话框无疑是一种麻烦,通常他们的选择是点击“是”,对所有程序放行。所以这种模式的最大缺陷就是需要用户干预,而在整个安防环节中,最靠不住的就是用户——安防软件厂商不应假设所有用户都精通电脑。不过这个模式还是得以保留至今,只不过更加完善,弹出对话框更少,用户甚至感觉不到它的存在。
而进一步完善这种模式的技术有很多种,比如文件指纹技术、黑白名单技术等等。实际上,这些技术的最关键因素就是扩大样本库,也就是让安防软件可以“认识”更多的文件,如果安防软件可以正确识别90%的文件、程序,那么未知的10%基本上可以确认就是安全威胁了,尤其是“新文件”。这一点很重要,因为实际上我们使用计算机过程中,绝大多数的可执行文件及其相关文件都是可以识别的“旧文件”;而正常的,由软件开发设计人员创造出的“新文件”可以通过之前提到的行为判定模式进行甄别,而且正常的软件开发厂商开发出新程序通常也会知会安防软件厂商,公布自身程序特征,避免被安防软件拦截。而剩下的那些安防软件不认识,又有诡异行为的“新文件”,相信大家都能明白是怎么回事了。
说到这里,我们已经可以得出结论,安防软件的根基所在,就是对各类文件的识别,说到底还是一句话——样本库是不是够大。如何扩大样本库,是安防软件面临的最大问题。无论是病毒也好,木马也罢,只要是不需要用户干预,自动执行,自动传播的程序,必然都有其特征,如何在如汪洋大海一般的文件中识别出这些文件,就是安防软件要做的事情。实际上,个人认为这种“纯技术”工作,要比防御那些网络欺诈类的安全威胁容易的多,因为程序很少出错,而经验不足的用户往往会犯傻,会上当。
纯技术的工作,就需要更先进的技术来完成。如何来扩大文件样本库?正如我们所知,当前的互联网上,拥有一切文件。好的,不好的;安全的,有威胁的,我们都能在互联网上一一找到。除非世界上有那么一个独一无二的病毒,但装有这个病毒的计算机不上网,那我们就找不到这个文件了。不过既然制作了病毒、木马,必然要放出来,否则为什么要做?要知道现在早就不是那个高手们制作病毒娱乐大众的年代了,时下病毒木马背后流淌的是金钱和利益。既然互联网上有所有文件,那么为什么不能把整个互联网作为文件样本库使用呢?恰逢云计算悄然兴起,安防软件厂商也从中获取到了灵感。
云计算
有没有想过?未来的某一天,你的计算机只有超微型的主机和简洁的输入输出设备,计算机内不需要安装任何软件,但是只要开机,接入网络,你可以做你任何想做的事情,即时获取到任何你想要的应用。这就是云计算的终极目标。当然,在现阶段这种情景还不能实现。但云计算其实已经在逐渐改变着我们使用计算机,使用网络的习惯。云计算的最大特色就是可以避开用户端硬件设备层,直接提供服务、应用和数据,用户只要使用能够接入网络的设备,就可以访问云端的资源。
实际上,云计算是一种基于互联网的计算新方式,通过互联网上异构、自治的服务为个人和企业用户提供按需即取的计算。由于资源是在互联网上,而在电脑流程图中,互联网常以一个云状图案来表示,因此可以形象地类比为云,“云”同时也是对底层基础设施的一种抽象概念。
云计算的资源是动态易扩展而且虚拟化的,通过互联网提供。云计算的基本原理是,通过使计算分布在大量的分布式计算机 上,而非本地计算机或远程服务器中,企业数据中心的运行将更与互联网相似。这使得企业能够将资源切换到需要的应用上,根据需求访问计算机和存储系统。
终端用户不需要了解“云”中基础设施的细节,不必具有相应的专业知识,也无需直接进行控制,只关注自己真正需要什么样的资源以及如何通过网络来得到相应的服务。
云计算可以认为包括以下几个层次的服务:基础设施即服务(IaaS),平台即服务(PaaS)和软件即服务(SaaS)。云计算服务通常提供通用的通过浏览器访问的在线商业应用,软件和数据可存储在数据中心。
最简单的云计算技术在网络服务中已经随处可见,例如搜索引擎、网络信箱等,使用者只要输入简单指令即能得到大量信息。未来如手机、GPS等移动装置都可以透过云计算技术,发展出更多的应用服务。进一步的云计算不仅只做资料搜寻、分析的功能,未来如分析DNA结构、基因图谱定序、解析癌症细胞等,都可以透过这项技术轻易达成。稍早之前的大规模分布式计算技术即为“云计算”的概念起源。
当前互联网中的“云”,已经具有相当大的规模,Google云计算已经拥有100多万台服务器,Amazon、IBM、微软、Yahoo等的“云”均拥有几十万台服务器。企业私有云一般拥有数百上千台服务器。“云”能赋予用户前所未有的计算能力。
云计算支持用户在任意位置、使用各种终端获取应用服务。所请求的资源来自“云”,而不是固定的有形的实体。应用在“云”中某处运行,但实际上用户无需了解、也不用担心应用运行的具体位置。只需要一台笔记本或者一个手机,就可以通过网络服务来实现我们需要的一切,甚至包括超级计算这样的任务。
由于“云”的特殊容错措施可以采用极其廉价的节点来构成云,“云”的自动化集中式管理使大量企业无需负担日益高昂的数据中心管理成本,“云”的通用性使资源的利用率较之传统系统大幅提升,因此用户可以充分享受“云”的低成本优势,经常只要花费几百美元、几天时间就能完成以前需要数万美元、数月时间才能完成的任务。
看到这,读者一定会有个疑问,那就是云计算到底和安防软件有啥关系?实际上,从安防软件公司开始通过互联网向用户计算机内的客户端推送病毒定义更新开始,安防软件就已经具备了一定的“云”特征了。只不过这时候客户端和服务端的互动还是被动的,以厂商的服务端为主,只有一个病毒定义更新下发的过程。而现在所谓的“云安全”在此基础上大幅度进化,不仅仅是下发病毒定义那么简单。这么说吧,如果用户的电脑不能连接到互联网,那么所安装安防软件的能力将大幅度下降,功能也有缺失。但云安全仍然仅仅是具有云计算的一些特性,与云计算还是有很大不同的。
云安全
正如前文所述,“云安全”本质上与云计算有着很大的不同。实际上,对于云安全而言,其整个防护过程是客户端软件与服务端进行交互的一个过程,它其实是通过安防软件厂商的响应中心服务器与安装在用户计算机上的客户端构成的一个网络运算体系,由于其结构比较接近云计算模式,故借用“云”这一概念,称之为云安全。但是,实际上云安全并不具备云计算的开放性,它仍然需要客户端支持。简单来说,就是用户不能使用A厂商的客户端,访问B厂商提供的各类安防功能,只能访问A厂商提供的各类功能。这是由于安防软件自身的封闭状态造成的,换句话说,如果打通各安防软件厂商之间的隔阂,从互联网层面进行安全威胁的过滤和排查,用户端就会更为安全,甚至安全威胁都无法达到用户层,就会被消灭在摇篮中。
但这几乎是不可能的,这直接关系到各大安防软件厂商的收益问题,所以很难在短时间内实现。不过未来也许存在这种可能性。另外,值得我们注意的是,云安全这个概念实际上是由我们的本土企业率先提出的,而国外的厂商虽然有类似的技术,但早期并未使用这个概念,直到不久前才开始使用云安全这一名称作为宣传手段。在这里我们不得不佩服国内本土厂商在宣传方面的功力。
早期的云安全功能较为单一,起到的作用仅仅是样本收集、下发。通过安装在各个用户计算机中的客户端,收集用户在使用计算机、网络过程中遇到的未知文件。通过用户计算机本地的主动防御体系,对这些文件进行预判,然后收集可疑文件的关键特征信息,井上传到安防软件厂商的响应中心服务器,供安全厂商进行分析。一旦发现新的安全威胁,安全响应中心服务器会第一时间向用户计算机内的客户端推送更新,从而最大程度的减少新兴安全威胁爆发的可能性。这一过程,实际上就是一个扩大病毒样本库,提升样本库更新速度的过程。不过在这种模式下,仍会有用户的计算机受到安全威胁的侵害。
随后,这种模式被进一步完善,全面的在线黑白名单过滤功能被加入进来,而且云安全也不再仅仅是与病毒、木马的扫描功能捆绑,进而与安防软件的其他功能进行整合。在线黑白名单机制实际上同样是客户端与安全响应中心之间交互的过程,通过在线更新文件的黑白名单,可以直接过滤掉安全的文件,仅扫描不安全的未知文件。同时,黑白名单本身也不仅仅是对文件有效,对于未知站点、仿冒站点同样有效,通过与搜索引擎相结合,可以实现在用户访问有威胁的网站之前给出警告,阻止用户点击存在潜在威胁的站点链接。这样一来,实际上是从网络层开始对用户计算机进行防护。不过话说回来,在整个过程中,最薄弱的部分仍然是用户,理由与之前的主动防御部分完全相同——因为不管不顾的用户会直接点击那些可能存在威胁的连接,甚至关掉这部分功能。
而现在,基于这种客户端与响应中心互动的模式,安防软件发展到了全新的阶段,安防软件的所有防护功能,都可以通过互联网直接获取信息,不管是文件信息也好,网站安全信息也罢,当前的安防软件已经处于一个相当强大的阶段。基本功能方面,各大安防软件厂商的产品其实差别不太大,基本上都是文件扫描、实时监控、主动防御、互联网可信认证这样的几个模块,只不过名称不同,实现方式有区别。但类似的功能前提下,各款安防软件还是存在性能、防护能力上的差异的,这其实就要看安防软件厂商的技术实力了。
另外,各家厂商提供的额外功能也都有所不同,有的侧重本地内容防护,有的侧重计算机性能优化等等。但无论如何,安防软件都在朝着大而全发展,并且除了提供尽可能全面的安防能力和功能外,还在不断优化性能,尽可能减少安防软件对系统性能的影响。在接下来的产品介绍部分,我们将详细的为读者介绍目前市面上主流的安防软件产品。
免费的午餐
有句老话叫“天下没有免费的午餐”,这句话放在互联网里,似乎不那么正确了。好像我们一直都有免费的各种各样的资源可以用。比如浏览器,比如电子邮件服务,比 如免费的IM软件等等。但是,实际上这些东西并不是真正的“免费”。回想一下,IM软件是否会定期弹出一些广告呢?下载软件是否会经常出现浮动的广告窗口呢?我们用免费的浏览器浏览的那些页面上,是不是也有很多很多的广告呢,而免费提供电子邮件服务的厂商是实际上你个人信息的拥有者我们之所以使用免费电子邮件服务实际上是出于对服务商的信任。服务商虽然不会盗取我们的信息但仍会通过我们的邮件来研究我们的上网习惯,使用习惯等等,然后推出一些具有针对行的应用,吸引用户付费。
不过这些都是小事情,无非是看看广告,接收点令人厌烦的垃圾邮件之类的,仍属于可接受的范围吧。但是,对于时下非常流行所谓的“免费安防软件”,大家就要小心了。为什么这么说呢?不妨让我们先来看看这些所谓的“免费安防”都能为我们做些什么。
以国内最为火爆的360安防举例说明。早期的奇虎360定位在“木马清除”这个领域,在上市之处,与各大安防软件厂商都有过一些合作。当时的奇虎360具备简单的木马扫描功能,但并不具备针对病毒的扫描监控功能;此外,作为奇虎360的招牌功能之一,下载Windows升级更新这个功能一直被保留到现在。这两项功能就是奇虎360早期版本重点宣传的功能了,其实对于木马的防御,各大安防软件厂商都有成熟的解决方案,用户并不是真的需要一个额外的木马防护工具。当时恰逢微软开始实行“黑屏”计划基于国内的操作系统占有率现状90%的个人用户面临着黑屏并无法获取Windows关键更新的窘境。
须知,无法获取Windows安全更新,就意味着系统内漏洞无法修补,虽然安装安防软件可以弥补这个问题,但一旦爆发新的“O Day”威胁,安防软件是无法及时起效的只有打过对应的Windows安全补丁,才能幸免。这样一来,对于使用未通过微软正版验证操作系统的用户来说奇虎360提供的自动更新微软安全更新补丁功能,确实非常具有吸引力。但是,当我们进一步思考一下作为第三方的奇虎360是如何拿到微软的关键更新的,以及用户通过奇虎360获得的更新又是从哪里下载到的就不免觉得有些蹊跷。
首先微软肯定是不会允许第三方通过这种手段为自己的用户提供更新的,这完全是多此一举,因为正版用户可以自动获取更新。这种“奇特”的更新方式恰恰是在给那些使用盗版系统的用户提供微软已经确定不提供的功能,这与微软的反盗版思路相悖。所以说奇虎宣称的,与微软是战略合作伙伴关系,就很值得怀疑。从这一点来看,实在想不明白微软为何会允许这样一个挖自己墙角的战略合作伙伴存在。或许获得了微软的开发许可就能算是微软的战略合作伙伴了?如果是这样的话,那么微软的战略合作伙伴就遍及全世界了,未免过于廉价了点。
好吧抛开这些不谈单纯的来说说奇虎360的发展吧。总体来说,奇虎360初期倚仗着具有针对性的功能,以及一些安防软件厂商提供的合作平台,迅速发展获取了大量的用户。而且奇虎360一再宣称永久免费,更加符合国内用户喜欢“免费的午餐”的特点,以致于一时间大有遮天蔽日之势甚至不少安防软件厂商被逼无奈也开始免费,这就不是一个好的趋势了。至于说奇虎360的功能,恐怕对安防软件领域稍有了解的人都会觉得它杀的安防软件比病毒还多——用户数量上去了,奇虎做的事情就有些让人匪夷所思了。这两年,奇虎与各家安防软件厂商之间的争斗相信大家也有所耳闻,这里不便过多讨论,只能说公道自在人心吧。
目前的奇虎已经发展出了相当多的软件,已然从一个简单的木马防护,补丁更新系统维护的小工具,发展成现在横跨安防,浏览器等多领域的软件厂商。但是,对于奇虎的反病毒软件我们持保留意见。实际上,安防软件领域有不少SDK(开发者工具)存在,免费的、收费的都有。这些SDK可能是一些不知名的安防软件厂商开发,也可能是一些专注于安防领域的技术专家编写,具有完整的病毒防护、监控引擎。想要开发安防软件的厂商,可以从这些SDK开发出自己的安防软件。比如在此基础上增加一些功能模块调整成更符合自己公司需要的UI等等。
写这些,并不是说用非自主研发引擎开发出来的安防软件就一定不好。但相对于自主研发引擎,这种方式存在很多问题。首先就是这引擎本身是不是跟的上时代,够不够强,其次是二次开发人员,能不能吃透买来的引擎真正做到“为我所用”,再来,增加的功能是否可以和主引擎完美融合,是不是可以真正发挥安防引擎的能力,而不是简单的功能模块化各自为政。这些问题都会直接影响到安防软件的实际安防效果。要知道安防软件可不是简单软件,可不像我们可以随便用VB写出的音乐播放器。面对免费的安防软件,难免会让人问一句:“靠谱吗?”
最后再从这些免费的安防软件的盈利模式来看看他们为啥不靠谱吧。基于我们对互联网“免费”服务的认识,我们知道这些服务并没有真的免费,这一点前面已经有提过,这里就不再多说了。那么,这些免费的安防软件到底是靠什么来支撑人员支出,研发支出的呢?运营一个公司各种支出。投入可是相当多的,软件完全免费,哪里来钱应付这些必要的支出就是个大问题了。基于互联网的种种服务,还可以通过广告或其他方式来回笼资金,这软件完全免费要靠什么手段来赚钱呢?
难不成安装安防软件后,也像下载工具那样定期在屏幕右下角弹出广告不成?要知道,这种推送到桌面的广告本身可就不安全。预留这么个通道,本身就存在漏洞。尤其是装机量巨大的软件,很容易就会成为病毒、木马制作者的目标。如此“免费”恐怕真是没法让用户接受。同理,内置一个浏览器页面用于打广告同样也存在着安全问题。所以从一个企业的运营模式和盈利模式上来看我们也无法理解安防软件是如何做到免费的,毕竟这种东西不像QQ或是其他可以免费的软件一样拿出来给大家免费使用,而一家公司也不可能永远靠融资靠风投活着。也许现在免费,将来用户就会为现在的免费付出代价也未可知。
所以说,天下没有免费的午餐这话是没错的。相对于功能全面的传统安防软件,这些只拿出部分功能《比如木马防护-系统优化》做成免费产品的所谓“安防软件”不如叫“辅助工具”好一点,因为相对于全面的安防软件来说,这些东西的确只能作为辅助工具用用想要靠它们来防护你的计算机,你的个人信息,是远远不够的。即便如此,我们也不建议大家在系统有安防软件的情况下安装这些辅助工具,基于一些特殊情况,这些所谓的安防软件搞不好会干掉你的安防软件,干掉安防软件之后,它们又不能起到安防作用,所带来的麻烦可就大了。
性能测试
安防软件的测试一直是一个比较棘手的问题难点主要在安防软件的实际防御能力的测试上。对于IT专业媒体来说,要想全面的测试安防软件的防御能力,是比较有难度的。尤其是在国内,病毒样本测试基本上是不允许非公安部相关机构进行的,而且就算 我们使用病毒样本库进行测试,同样存在问题。那就是我们收集到的样本库往往不够新,以现在安防软件的更新速度,不够新的样本库根本不具备测试意义。而最新的样本,作为IT媒体来说,必然无法第一时间拿到。这也正是安防软件测试的尴尬之处。
不过,鉴于当前互联网安全形势比较严峻实际上互联网上的潜在威胁是相当多的。只要能够找到具有安全问题的网站,就可以按照用户实际使用的情况来进行安防测试。而具有安全问题的网站并不难找。就国内的情况而言,不少中小型下载网站多多少少都会有一些安全问题,比如上传的压缩包内含有木马之类的,这是非常常见的现象。那么我们只要安装好要测试的安防软件,并更新到最新,然后访问这样的网站,或者下载一些文件,就能直观的得到安防软件对这些潜在威胁的相应效果,进而对安防软件的防御能力有一个大致的了解。同时,这种方法也比较接近用户实际使用的情况。我们挑选了一些有问题的网站,并对网站上的各种资源进行下载操作得出被测安防软件的大体情况。从测试表现来看虽然各款软件应对不良网站的方式有所不同,但基本都能起到防御作用,这部分测试成绩供用户参考。
除此之外我们还对安防软件的系统占用情况进行了监测,包括安装安防软件后的开机时间,全盘扫描时间,系统待机状态下的安防软件内存占用情况等等。加上前面提到的互联网威胁实际测试,我们就可以大体上了解一款杀毒软件的综合情况。这些测试成绩,会在我们的表格中呈现出来。
当然,这种测试方法也存在一定的误差因此除了这些“性能”方面的测试,我们还要从安防软件的易用性等方面进行考察,通过实际试用来考察安防软件的设置是否易于上手,各项功能是否全面,并且是不是具备简明易懂的可管理性,毕竟个人用户是无法享受到无微不至的企业IT人员服务的,所有的设置。调整,都要亲自动手。这样一来,安防软件的UI设计、功能划分,就显得相当重要了,这些看似细节的地方直接影响着用户的实际使用体验。而这方面的描述,各位读者可以在随后的产品介绍部分,了解到更为详细的情况。
赛门铁克诺顿网络安全特警2011卡巴斯基安全部队2011
由于这是本年度的第二次安防软件专题,因此产品更新方面并没有预想的那么好,不少产品仍然没有更新到最新版本。但这并不是说,我们评选出的获奖产品只因为它们是新版本。编辑选择奖的评选仍然像之前一样严格。而且即便是某些新产品,也未必就比老产品强。于是,像以往一样,经过一番权衡,我们将编辑选择奖授予赛门铁克诺顿网络安全特警2011和卡巴斯基安全部队2011。这两款产品无论在性能表现上,还是在功能配置上,都有出色的表现。赛门铁克诺顿网络安全特警2011将全球智能云的运用,发挥到了当前的极致;而卡巴斯基安全部队2011提供的“沙盒”功能让人过目难忘。