伴随着“云安全”概念讨论如火如荼，各杀毒厂商也纷纷拿出自己的“云安全”和相关技术落实自己的产品。那么我们该怎样看待所谓的“云安全”了?下面我们就收集整理出主流厂商对于“云安全”的看法，为大家一一呈现。

　　瑞星“云安全”计划白皮书

　　构想：互联网就是一个巨大的“杀毒软件”，参与者越多，每个参与者就越安全，整个互联网就会更安全

　　目标：全民防御，绝杀木马

　　我们今天面临的困境：电脑用户的痛苦和安全厂商的困境

　　自从1988年莫里斯蠕虫病毒出现直到2004年，全球截获的电脑病毒总数有10万个;国内最大的安全公司瑞星最新公布的数据，目前每天截获的新病毒数量就高达8-10万个，仅2008年上半年瑞星全球反病毒监测网就发现了近156万个病毒，其中大部分是木马病毒。

　　1

　　即时通信工具带毒、电子邮件带毒、网上下载的电影和MP3带毒、网页上被植入木马……可以说，只要电脑接入互联网，就会立刻面临木马病毒的包围。但电脑用户不是专业安全人士，在感染了木马病毒后，大部分的用户根本没有感觉，也不懂得如何通过检查注册表、可疑进程等信息进行分析并上报。

　　一个普通的病毒分析工程师，每天最多能分析20个左右新病毒，面对成几何级数爆炸增长的新木马病毒，反病毒公司何以承担如此严峻的任务?如果依然沿袭以往的反病毒模式，安全厂商将被淹没在木马病毒的汪洋大海中。

　　“云安全”(Cloud Security)计划：让每一台电脑都变成一个木马监测站

　　因此，除了利用主动防御技术、未知病毒分析技术等提高杀毒软件的查杀能力之外，我们还需要对传统的木马病毒截获、分析处理方法做根本性的变革，才可以有效应对木马病毒泛滥的严峻局势。

　　瑞星“云安全”(Cloud Security)计划的内容是，将用户和瑞星技术平台通过互联网紧密相连，组成一个庞大的木马/恶意软件监测、查杀网络，每个“瑞星卡卡6.0”用户都为“云安全”(Cloud Security)计划贡献一份力量，同时分享其他所有用户的安全成果。

　　2

　　“瑞星卡卡6.0”的“自动在线诊断”模块，是“云安全”(Cloud Security)计划的核心之一，每当用户启动电脑，该模块都会自动检测并提取电脑中的可疑木马样本，并上传到瑞星“木马/恶意软件自动分析系统”(Rs Automated Malware Analyzer，简称RsAMA)，整个过程只需要几秒钟。随后RsAMA将把分析结果反馈给用户，查杀木马病毒，并通过“瑞星安全资料库”(Rising Security Database，简称RsSD)，分享给其他所有“瑞星卡卡6.0”用户。

　　由于此过程全部通过互联网并经程序自动控制，可以在最大程度上提高用户对木马和病毒的防范能力。理想状态下，从一个盗号木马从攻击某台电脑，到整个“云安全”(Cloud Security)网络对其拥有免疫、查杀能力，仅需几秒的时间。

　　“云安全”(Cloud Security)计划：瑞星如何每天处理10万个新木马病毒

　　瑞星如何分析、处理每天收到的8-10万个新木马病毒样本的呢?光凭人力肯定是无法解决这个问题，“云安全”(Cloud Security)计划的核心是瑞星“木马/恶意软件自动分析系统”(Rs Automated Malware Analyzer，简称RsAMA)，该系统能够对大量病毒样本进行动分类与共性特征分析。借助该系统，能让病毒分析工程师的处理效率成倍提高。

　　虽然每天收集到的木马病毒样本有8~10万个，但是瑞星的自动分析系统能够根据木马病毒的变种群自动进行分类，并利用“变种病毒家族特征提取技术”分别将每个变种群的特征进行提取。这样，对数万个新木马病毒进行自动分析处理后，真正需要真正人工分析的新木马病毒样本只有数百个。

　　3

　　瑞星拥有近20年的反病毒经验，是国内最早将行为模式判断、虚拟机脱壳和智能主动防御等新技术应用在产品中的厂商，也最早提出族群式查杀的概念。其“木马/恶意软件自动分析系统”(RsAMA)从去年底开始搭建，并于今年3月份就投入试运行，目前每天可以处理10万个可疑木马样本。

　　“云安全”(Cloud Security)计划的梦想：互联网就是杀毒软件

　　每一个“瑞星卡卡6.0”的用户都为“云安全”(Cloud Security)计划贡献力量，同时分享所有用户的安全成果。瑞星卡卡6.0本身只是一个数兆大小的安全工具，但是它的背后是国内最大的信息安全专业团队，是瑞星“木 /恶意软件自动分析系统”(RsAMA)和瑞星安全资料库(RsSD)，同时共享着数千万其他瑞星卡卡6.0用户的可疑文件监测成果。

　　4

　　参与者越多，整个网络越安全。随着“瑞星卡卡6.0”用户数量的不断增长，新木马病毒暴露在监测节点面前的几率就会增大，瑞星“木马/恶意软件自动分析系统”(RsAMA)收取并分析处理的样本就会同步提升，而每一个“瑞星卡卡6.0”用户从“瑞星安全资料库”(Rising Security Database，简称RsSD)所获得的新木马病毒查杀能力就会提高。

　　瑞星“木马/恶意软件自动分析系统”(RsAMA)光是服务器就有上百台，为了保障和海量用户随时的通信，预计为了保障“云安全”计划实施，每年付出的服务器托管和带宽费用高达上千万。

　　金山毒霸“云安全”定义

　　金山毒霸“云安全”是为了解决木马商业化之后的互联网严峻的安全形势应运而生的一种全网防御的安全体系结构。它包括智能化客户端、集群式服务端和开放的平台三个层次。“云安全”是现有反病毒技术基础上的强化与补充，最终目的是为了让互联网时代的用户都能得到更快、更全面的安全保护。

　　首先稳定高效的智能客户端，它可以是独立的安全产品，也可以作为与其他产品集成的安全组件，比如金山毒霸 2009和百度安全中心等，它为整个云安全体系提供了样本收集与威胁处理的基础功能;

　　5

　　其次服务端的支持，它是包括分布式的海量数据存储中心、专业的安全分析服务以及安全趋势的智能分析挖掘技术，同时它和客户端协作，为用户提供云安全服务;

　　6

　　最后，云(如阿里云)安全以一个开放性的安全服务平台作为基础，它为第三方安全合作伙伴提供了与病毒对抗的平台支持。金山毒霸云安全既为第三方安全合作伙伴用户提供安全服务，又靠和第三方安全合作伙伴合作来建立全网防御体系。使得每个用户都参与到全网防御体系中来，遇到病毒也将不再是孤军奋战。

　　金山毒霸“云安全”的体系结构

　　爬虫系统

　　可支撑海量样本存储及计算的水银平台

　　互联网可信认证服务

　　7

　　金山毒霸“云安全”三大核心体系介绍

　　1、爬虫系统

　　爬虫工作原理：

　　9

　　爬虫系统架构：

　　10

　　金山毒霸“云安全”发展历程

　　(1)2006年，金山毒霸开始采用白名单技术，着手开始做一些技术储备，重点方向在于海量样本存储与处理的分布式平台研究，掌握分布式系统的研发技术，同时，也开始了爬虫相关技术的摸索。

　　(2)2007年初，正式组建团队开始打造水银平台，共计投入了两个开发团队加一个实验室的研发力量，同时开始尝试一些外部合作。在这一年，主要完成了水银基础平台的建设，在对外合作方面做出了很多有益的尝试，先后与腾迅、百度、微软等都有了相关的合作接洽，且推出了百度安全中心的第一个版本。

　　同年7月，海量样本存储平台完成并上线运营，毒霸将近10年积累的数据开始迁移至水银平台。9月，海量样本自动分析系统接入，开始自动化处理病毒样本;12月，平台的各个环节完成串接，开始向可信认证服务输出数据

　　与此同时，金山毒霸2008中开始引入互联网可信认证技术，推出三维互联网防御体系。所谓三维互联网防御体系即在传统病毒库、主动防御的基础上，引用了全新的“互联网可信认证”技术，搭建以病毒库为根基，以主动防御为先锋，以互联网可信认证为核心的立体防御体系。在这个安全防御体系中，每一部分都不是独立的，而是相互依存的互补关系或者说“接力”关系。

　　(3)2008年，伴随着金山毒霸2009的发布，金山已经将云安全应用到了毒霸之中，并一举实现三项重大突破：病毒库病毒样本数量增加5倍、日最大病毒处理能力提高100倍、紧急病毒响应时间缩短到1小时以内。

　　“云安全”也已经引入了金山网镖2009中——在恶意网址拦截以及可信认证智能判断方面均取得了不错的效果。金山网镖2009的恶意网址拦截功能，可阻止病毒下载器通过恶意网址下载其他病毒木马，是对付病毒木马下载器泛滥的有力武器。同时，金山网镖2009内置可信认证智能判断技术，对安全的网络访问不再弹出是否放行的询问窗口，改善了客户使用体验。

　　同时，金山和百度、微软、腾讯等互联网知名企业深度合作，向更多的互联网用户提供安全服务来提升自身的技术和服务能力。目前数以亿计互联网用户通过百度安全中心、MSN安全保护中心分享金山毒霸“云安全”成果，而SOSO安全中心也即将上线。

　　2、水银平台

　　以分布式存储及计算平台为基础，结合业界领先的行为分析技术，每天对上百万未知文件样本进行自动分析、处理。并实时将处理结果更新至可信认证服务，为客户端提供及时、准确的服务。

　　1)分布式计算平台

　　水银平台通过分布式自动分析处理平台，结合行为分析技术，每天能处理100万以上的未知文件样本，对样本自动进行扫描、分析并自动提取出相应的杀病毒脚本。同时，仅仅只需要简单的扩充机器数量，就可以提高处理能力，理论上处理能力没有上限。

　　2)行为分析系统(重点在于对未知病毒)

　　通过对文件监控、网络监控、邮件监控以及对进程注入、注册表敏感项修改、驱动打开等风险行为的监控，收集和记录汇报来的可疑行为，并根据事件的关联性，综合分析这些行为，识别未知的病毒行为。

　　面对海量的病毒样本，只有强劲的病毒分析系统远远不够，如何妥善的存储病毒样本，并对其进行处理是必须解决的问题，一个强大的分布式存储及计算平台来为其提供保障。

　　3)分布式存储平台

　　分布式存储平台，为应用平台提供统一的存取模式，妥善的存储海量的病毒样本和白名单样本。具备自动备份能力，金山水银平台已经储存了上百TB文件。

　　3、互联网可信认证服务

　　示意图：

　　8

　　“互联网可信认证服务”即将互联网上每秒钟内生成的可执行文件进行收集，并经过自动以及人工的分析，以秒为单位对服务器端的“互联网可信认证中心”进行同步。可信认证服务能够承受每天数亿次的高负载查询。

　　江民打造“云安全”+“沙盒”

　　江民科技反病毒专家何公道介绍，江民早在2006年就推出了“云安全”防毒系统，借助于该套系统，江民每日处理可疑程序和病毒样本数万个，每日更新新病毒数千个。从2006年推出“云安全”防毒系统以来，江民反病毒中心累积分析处理各种疑似病毒样本超过千万个，病毒处理能力较2006年之前增强200倍，有效遏制了病毒的迅猛增长。

　　江民科技总裁陶新宇在接受记者采访时讲过， “其实以云方式构建的大规模特征库并不足以应对安全威胁的迅速增长，国内外杀毒厂商还需要在核心杀毒技术上下足功夫，例如虚拟机、启发式、沙盒、智能主动防御等未知病毒防范技术都需要加强和发展，多数杀毒软件本身的自我保护能力也需要加强。” 这种论点得到了何公道等多位国际资深计算机反病毒专家的认同，因为，病毒增长的再快，只是量的变化，而现实当中，造成巨大损失的，却往往是极少数应用了新病毒技术的恶性病毒，近年以来主要以“磁碟机”为代表的“恶意驱动病毒”。因此，反病毒厂商在注重反病毒“量”的同时，更应当重视反病毒的“质”的提高，对付一千万个普通病毒容易，但能够对付一百个恶意驱动病毒，就要看你的核心反病毒技术是否足够过硬了。

　　江民科技更加关注的是“云安全”与“核心技术”的有机融合。也就是说，“云安全”必然要建立在“内核级自我保护”“沙盒”“虚拟机”等核心技术的基础上才能显出威力，没有这些核心技术，杀毒软件在病毒面前就可能会出现“有心无力”的尴尬，现实中许多杀毒软件扫描发现了病毒，却无力清除，甚至反被病毒关闭的现象比比皆是。这也是为什么江民在推出KV2009时，首先强调的是“沙盒”“内核级自我保护”“智能主动防御”“虚拟机”等核心技术，而把“云安全”防毒系统排在后面的原因。杀毒和其它行业一样，首先是基础要足够强大，基础不扎实，楼建的再高也不牢靠。

　　谈到“沙盒”技术时，何公道认为，有厂商认为“沙盒”其实就是“虚拟机”，这其实是一种重大误解。“沙盒”是一种更深层的系统内核级技术，与“虚拟机”无论在技术原理还是在表现形式上都不尽相同，“沙盒”会接管病毒调用接口或函数的行为，并会在确认为病毒行为后实行回滚机制，让系统复原，而“虚拟机”并不具备回滚复原机制，在激发病毒后，虚拟机会根据病毒的行为特征判断为是某一类病毒，并调用引擎对该病毒进行清除，两者之间有着本质的区别。事实上，在对付新病毒入侵时，应用了“沙盒”的KV2009已经开始发挥了强大的效力。有用户在关闭江民KV2009杀毒软件各种实时监控，仅开启了“带沙盒技术的主动防御”模式，结果运行“扫荡波”新病毒后，病毒的所有行为被拦截并抹除，没有机会在系统中留下任何痕迹。

　　何公道说，目前网络安全面临的形势十分严峻，国家计算机病毒应急处理中心张健副主任曾讲过，目前反病毒面临的最主要问题是驱动型病毒对杀毒软件的技术挑战。因此，目前反病毒的首要任务是进一步提升反病毒核心技术，在确保反病毒技术的前提下，充分借助“云安全”防毒系统的快迅响应机制，打造“云安全”加“沙盒”的双重安全保障体系。

　　云安全 ——在Web威胁到达之前予以阻止!

　　趋势科技云安全的核心在于超越了拦截Web威胁的传统方法，转而借助威胁信息汇总的全球网络，该网络采用了趋势科技的云安全技术，在web威胁到达网络或者计算机之前即可对其予以拦截。

　　通过推出在云中的快速实时安全状态“检测”，趋势科技降低了对端点上下载传统特征码文件的依赖性，同时减少了与在公司范围内部署特征码有关的成本和管理费用。趋势科技已经将云安全技术架构融入公司全线产品中：网关安全设备IWSA、客户端产品OfficeScan 、中小企业产品Worry Free5.0以及个人消费类产品网络安全专家(TIS)等。

　　近年来计算机和网络中消耗内存的特征码文件呈指数级增长。在2005年，一天只有大约50种特征码被添加到数据库中，而2008年，该数字增加到了5,000”， 趋势科技产品技术顾问徐学龙表示，“通过把大多数特征码文件保存到互联网云数据库中并令其在端点处保持最低数量，趋势科技得以在web威胁、电子邮件威胁和文件威胁到达最终用户或公司网络之前即可对其予以拦截。这种全新的方法降低了客户网络和端点的带宽消耗，提供了更快且更全面的及时保护。”

　　目前，趋势科技“云安全(SecureCloud)”已经在全球建立了5个数据中心，几万部在线服务器，拥有99.9999%的可靠性。云(如阿里云)安全可以支持平均每天55亿条点击查询，每天收集分析2.5亿个样本，资料库第一次命中率就可以达到99%。借助云安全，趋势科技现在每天阻断的病毒感染最高达1000万次。借助其web威胁保护战略，趋势科技率先界定了一种主张，即单靠传统的扫描安全解决方案将不再能够针对恶意web威胁而提供有效的保护，现在需要的是多层、多组件的灵活的可适应技术。

　　趋势科技强调：“相同的分析工作，过去需要一天的运算时间，改用趋势科技云安全技术后，现在只需要几秒钟。”可以说“云安全”使防御web威胁不再是单一款产品做的事，而是和所有互联网使用者一起和Web威胁做斗争，“云安全”让每个人都成为了识别安全威胁的贡献者。

　　趋势科技Secure Cloud云安全6大杀手锏：

　　1)自动反馈机制

　　趋势科技云安全的另一个重要组件就是自动反馈机制，以双向更新流方式在趋势科技的产品及公司的全天候威胁研究中心和技术之间实现不间断通信。通过检查单个客户的路由信誉来确定各种新型威胁，趋势科技广泛的全球自动反馈机制的功能很像现在很多社区采用的“邻里监督”方式，实现实时探测和及时的“共同智能”保护，将有助于确立全面的最新威胁指数。单个客户常规信誉检查发现的每种新威胁都会自动更新趋势科技位于全球各地的所有威胁数据库，防止以后的客户遇到已经发现的威胁。

　　由于威胁资料将按照通信源的信誉而非具体的通信内容收集，因此不存在延迟的问题，而客户的个人或商业信息的私密性也得到了保护。

　　2)电子邮件信誉服务

　　趋势科技的电子邮件信誉服务按照已知垃圾邮件来源的信誉数据库检查IP地址，同时利用可以实时评估电子邮件发送者信誉的动态服务对IP地址进行验证。信誉评分通过对IP地址的“行为”、“活动范围”以及以前的历史进行不断的分析而加以细化。按照发送者的IP地址，恶意电子邮件在云中即被拦截，从而防止僵尸或僵尸网络等web威胁到达网络或用户的计算机。

　　3)Web信誉服务

　　借助全球最大的域信誉数据库之一，趋势科技的Web信誉服务按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉分数，从而追踪网页的可信度。然后将通过该技术继续扫描网站并防止用户访问被感染的网站。为了提高准确性、降低误报率，趋势科技Web信誉服务为网站的特定网页或链接指定了信誉分值，而不是对整个网站进行分类或拦截，因为通常合法网站只有一部分受到攻击，而信誉可以随时间而不断变化。

　　通过信誉分值的比对，就可以知道某个网站潜在的风险级别。当用户访问具有潜在风险的网站时，就可以及时获得系统提醒或阻止，从而帮助用户快速地确认目标网站的安全性。通过Web信誉服务，可以防范恶意程序源头。由于对零日攻击的防范是基于网站的可信程度而不是真正的内容，因此能有效预防恶意软件的初始下载，用户进入网络前就能够获得防护能力。

　　为协助防御不断变动的Web攻击 , 趋势科技提供您创新的Web威胁防御工具——上网无忧电子眼，无论您是否为趋势科技企业或个人用户，皆可免费下载并使用。该工具内建Web信誉服务 (WRS)，安装之后即可拦截恶意链接，有效且完整抵御零时差的Web攻击，同时该工具还提供及僵尸程序监测功能：http://www.trendmicro.com.cn/sp/smb/wpao/download

　　4)行为关联分析技术

　　趋势科技云安全利用行为分析的“相关性技术”把威胁活动综合联系起来，确定其是否属于恶意行为。Web威胁的单一活动似乎没有什么害处，但是如果同时进行多项活动，那么就可能会导致恶意结果。因此需要按照启发式观点来判断是否实际存在威胁，可以检查潜在威胁不同组件之间的相互关系。通过把威胁的不同部分关联起来并不断更新其威胁数据库，使得趋势科技获得了突出的优势，即能够实时做出响应，针对电子邮件和Web威胁提供及时、自动的保护。

　　5)文件信誉服务

　　现在的趋势科技云安全将包括文件信誉服务技术，它可以检查位于端点、服务器或网关处的每个文件的信誉。检查的依据包括已知的良性文件清单和已知的恶性文件清单，即现在所谓的防病毒特征码。高性能的内容分发网络和本地缓冲服务器将确保在检查过程中使延迟时间降到最低。由于恶意信息被保存在云中，因此可以立即到达网络中的所有用户。而且，和占用端点空间的传统防病毒特征码文件下载相比，这种方法降低了端点内存和系统消耗。

　　6)威胁信息汇总

　　来自美国、菲律宾、日本、法国、德国和中国等地研究人员的研究将补充趋势科技的反馈和提交内容。在趋势科技防病毒研发暨技术支持中心TrendLabs，各种语言的员工将提供实时响应，24/7的全天候威胁监控和攻击防御，以探测、预防并清除攻击。

　　趋势科技综合应用各种技术和数据收集方式——包括“蜜罐”、网络爬行器、客户和合作伙伴内容提交、反馈回路以及TrendLabs威胁研究——趋势科技能够获得关于最新威胁的各种情报。通过趋势科技云安全中的恶意软件数据库以及TrendLabs研究、服务和支持中心对威胁数据进行分析。

　　全功能安全防护：无缝透明安全体系的搭建

　　卡巴斯基的全功能安全防护旨在为互联网信息搭建一个无缝透明的安全体系：

　　1. 针对互联网环境中类型多样的信息安全威胁，卡巴斯基实验室以反恶意程序引擎为核心，以技术集成为基础，实现了信息安全软件的功能平台化。系统安全、在线安全、内容过滤和反恶意程序等核心功能可以在全功能安全软件的平台上实现统一、有序和立体的安全防御，而不是不同类型和功能的产品的杂凑;

　　2. 在强大的后台技术分析能力和在线透明交互模式的支持下，卡巴斯基全功能安全软件2009可以在用户“知情并同意(Awareness &Approval)”的情况下在线收集、分析(Online Realtime Collecting &Analysing)用户计算机中可疑的病毒和木马等恶意程序样本，并且通过平均每小时更新1次的全球反病毒数据库进行用户分发(Instant Solution Distribution)。从而实现病毒及木马等恶意程序的在线收集、即时分析及解决方案在线分发的“卡巴斯基安全网络”，即“云安全”技术。卡巴斯基全功能安全软件2009通过“卡巴斯基安全网络”，将“云安全”技术透明地应用于广大计算机用户，使得全球的卡巴斯基用户组成了一个具有超高智能的安全防御网，能够在第一时间对新的威胁产生免疫力，杜绝安全威胁的侵害。"卡巴斯基安全网络"经过了卡巴斯基实验室长期的研发和测试，具有极高的稳定性和成熟度。因此，才能够率先在全功能安全软件2009正式版的产品中直接为用户提供服务。

　　11

　　3. 通过扁平化的服务体系实现用户与技术后台的零距离对接。卡巴斯基拥有全球领先的恶意程序样本中心及恶意程序分析平台，每小时更新的反病毒数据库能够保障用户计算机的安全防御能力与技术后台的零距离对接。在卡巴斯基的全功能安全的防御体系中，所有用户都是互联网安全的主动参与者和安全技术革新的即时受惠者。

　　McAfee推云安全

　　著名安全厂商McAfee宣布，将推出基于云(如阿里云)计算的安全系统Artemis。该系统能够保护计算机免受病毒、木马或者其他安全威胁的侵害。

　　McAfee旗下Avert Labs的研究人员表示，该系统能够缩短收集、检测恶意软件的时间，及配置整个解决方案的时间。

　　随着安全系统的发展，这一时间已经从以往的几天减少到数小时，目前又下降到"数毫秒"。

　　Avert Labs安全研究及通信主管Dave Marcus表示："Artemis系统管理一个窗口，企业用户的所有活动都在该窗口中进行，而该窗口将会持续分析有无恶意软件。Artemis的目的是为了使所用时间最小化。"

　　传统安全系统使用威胁签名数据库来管理恶意软件信息，而作为一款云计算服务，Artemis可以在签名文件尚未发布之前就对威胁作出反应。

　　Marcus表示，Avert Labs研究人员每周会发现上万个新的签名文件。如果用户电脑装有Artemis系统，那么一旦电脑被检测到存在可疑文件，那么会立刻与McAfee服务器联系，以确定可疑文件是不是恶意的。通过这一方式，McAfee还能利用所收集的数据为企业提供定制的安全解决方案。

　　专家表示，Artemis能够提供实时的安全保护。而在传统的基于签名的安全系统中，发现安全威胁和采取保护措施之间往往存在时间延迟。

　　IDC安全产品研究主管Charles Kolodgy表示："传统的基于签名的恶意软件检测方式存在不足。随着用户行为的改变，安全威胁也在改变，恶意软件检测技术总体上来看没有保持同步发展。"