打印本文 打印本文  关闭窗口 关闭窗口  
“云安全”一周年 瑞星亿元回报用户
作者:陈鹏  文章来源:eNet  点击数  更新时间:2009/9/18 8:26:41  文章录入:陈鹏  责任编辑:陈鹏

【快讯】7月28日,瑞星公司召开盛大的新闻发布会,庆祝“云安全”系统成功运行一周年,并启动大幅降价促销的用户回馈活动。自2008年7月瑞星推出“云安全”系统以来,该系统共截获2000多万个木马病毒样本、为用户拦截20亿次以上的挂马网站攻击。实践证明,瑞星“云安全”计划充分实现了预期的构想——安全软件的互联网化,并推动了整个安全行业的变革。

  瑞星副总裁卢青表示,八千万用户共同铸就了瑞星“云安全”,为了回馈用户,自即日起的100天内,瑞星进行让利1亿元的大规模市场活动,“瑞星全功能安全软件2009”零售价直降100元,并赠送价值100元的炫酷腰包。

  瑞星“云安全”的历程

  针对病毒产业链完全互联网化、新木马病毒海量增加的严峻局面,瑞星于2007年底开始搭建“云安全”数据中心,2008年3月开始试运行。08年7月随着“瑞星卡卡6.0”的发布,瑞星正式推出“云安全”系统:将用户和瑞星技术平台通过互联网紧密相连,组成一个庞大的木马/恶意软件监测、查杀网络。

  2008年12月,瑞星发布2009新品,“云安全”系统也同步升级到2.0。在监测、查杀木马病毒的基础上,增加了对挂马网站的拦截、监测和封杀功能,并于2009年1月推出全球唯一一个“恶意网站监测网”(mwm.rising.com.cn)。

  在瑞星“云安全”系统建立初期,安全行业内部有两种技术路线的争论:是依靠分布在互联网每个角落的用户搭建的“云安全”系统,还是依靠海量服务器组成的“云架构”系统。一年来,瑞星“云安全”系统的优异表现完全平息了这种争论,更多厂商也模仿瑞星推出了自己的“云安全”系统,整个安全行业正在进行互联网化的变革。

  时至今日,依靠8000万加入“云安全”计划的用户,瑞星“云安全”系统成为全球最大的互联网威胁实时监控、反应系统,可以随时拦截、处理和封杀互联网上的新木马病毒和挂马网站。

  瑞星“云安全”的成果和价值

  一年以来,瑞星“云安全”系统共截获2000多万个新病毒样本,其中大多数是新木马病毒;瑞星“云安全”系统总共为用户拦截到了20亿次以上的挂马网站攻击,每天平均600多万次,每秒钟70次。

  更重要的是依靠该系统,瑞星实现了对中国大陆地区互联网新病毒疫情和挂马网站的全面、精确、实时的掌控。这是全球首次实现了对互联网威胁的全面、精准的监控,彻底改变了安全行业被动于病毒发展的局面。

  由于安全软件随时和安全厂商的数据中心连接,在杀毒能力不断增强的同时,体积会不断变小,资源占用率也随时不断下降,自“云安全”计划实施以后,瑞星杀毒软件的病毒库体积已经减小了60%以上。以前单个杀毒软件查杀病毒的模式,变成现在整个“云安全”系统共同作战的模式,整个互联网变成了一个杀毒软件。

  “云安全”系统改变了互联网安全模式,通过该系统提供的数据,瑞星研发团队可以准确预测、主动防御互联网的安全变化。例如,近期的微软视频控件漏洞,在补丁未发布之前,就可以被瑞星杀毒软件彻底拦截,而这只是“云安全”系统典型应用之一。

  自“云安全”系统建立一年以来,挂马网站、盗号木马疯狂肆虐的势头已经得到遏制,“云安全”系统每天截获的挂马网站攻击从高峰期的近千万次,减少到现在的日均100至200万次。2009年第二季度,“云安全”系统拦截了3.2亿次挂马网站对网民的攻击,比第一季度下降60%。

  在瑞星“云安全”的打击下,病毒产业链也发生了巨大的变化。今年上半年瑞星所截获的新木马病毒数量,比去年下半年减少了30%左右,在挂马网站传播被遏制的情况下,已经互联网化的病毒制造团伙,被迫重拾以往的“感染型”病毒方式。和利用挂马网站传播木马病毒相比,“感染型”病毒的制造、传播成本都要高得多。

“云安全”一周年 瑞星亿元回报用户


  瑞星副总裁卢青表示,瑞星将继续坚持“云安全”的策略,在核心技术不断提高的同时,推进“云安全”系统向更高的水平迈进,未来的“云安全”系统将能为每一个电脑用户提供个性化的可疑文件识别、安全检查等服务。

  此次“云安全”一周年之际,瑞星让利一个亿人民币,展开百日用户大回馈活动,目的是为传统安全渠道注入一剂强心针,瑞星希望借此推动安全市场迅速增长,尽快从金融危机的影响中彻底走出来,回归到发展的快车道上来。

背景资料:瑞星“云安全”发展历程

第一节“云安全”发展回顾

  1.瑞星“云安全”雏形:瑞星疫情检测网 2005.07—2007.12

  2005年7月7日,瑞星疫情监测网正式启动。该网络可以处理新病毒样本、攻击案例统计等,并根据这些信息作出处理。从某种意义上说,这是瑞星“云安全”系统最原始的雏形。

瑞星,云安全,瑞星云安全一周年大回馈


  2007年12月,瑞星卡卡5.0beta版发布,其中加入“可疑文件在线诊断”功能,用户遇到系统异常后,用“瑞星卡卡”扫描后,软件会把可疑文件列出来,用户点击“一键搞定”之后,会把这些可疑文件上传到瑞星服务器,由服务器对其进行分析,并给用户反馈分析结果。

  这是瑞星“云安全”系统在原始雏形上的进一步发展,其服务器端的很多功能已经具备,只不过客户端的功能相对较弱,而且整体思想还停留在单机防毒之上,算是“云安全”发展过程中一个重要的阶段,

  2.瑞星“云安全”试运行 2008.03

  2008年3月,初步搭建成功的云安全系统,与瑞星卡卡5.0对接,其中具备“在线诊断”功能,用户电脑上扫描到的可疑文件上传到“云安全”服务器,服务器返回处理结果,帮助用户查杀木马和病毒。

  3.瑞星“云安全1.0” 2008.07

  2008年7月,随着瑞星卡卡6.0的发布,瑞星正式推出“云安全”系统,用户安装瑞星卡卡之后即可加入“云安全”。云安全1.0实现了对互联网上新出现的木马病毒全面、精确、实时的监控和查杀。

  4.瑞星“云安全2.0” 2008.12

  2008年12月,瑞星2009新品发布,“云安全”系统升级到2.0。在检测、查杀木马病毒的基础上,增加了对挂马网站的拦截、监测和封杀功能。并于2009年1月推出全球唯一一个“恶意网站监测网”(mwm.rising.com.cn)。

  从本质上说,瑞星“云安全”建立的初衷,就是应对“木马病毒互联网化”的危机,以杀毒软件的互联网化来应对木马病毒的互联网化。

瑞星,云安全,瑞星云安全一周年大回馈


第二节 “云安全”的本质

  在瑞星“云安全”系统建立初期,安全行业内部有两种技术路线的争论:是依靠海量服务器、基于搜索引擎技术的“云架构”系统,还是依靠分布在互联网每个角落的用户搭建的“云安全”系统。

  “云架构”的思路是,既然用户受到的安全威胁来自互联网,基本局限于网页、邮件、互联网文件这三种途径。那么,把互联网上的这三种东西都标上安全等级,用网页爬虫去搜索网页,发现恶意代码就标上不安全,如果用户企图访问这个网页,我就返回结果阻止。同样,邮件和文件也这样做,理论上可以阻止网络上的所有攻击。

  “云安全”的思路是,依靠分布在互联网每个角落的用户,把所有用户都连接起来,其中一个受到攻击,则服务器收到其上传的信息之后,把分析结果返回给网络中的所有端点。这样无论出现多少种网络威胁,只要最初遭到攻击的客户端及时上报信息,则经过服务器的分析处理,返回结果之后,整个网络可以在最短之间内获取对该攻击的免疫能力。

  这两种思路,在不考虑硬件处理能力的情况下,都可以达到很好的效果。“云架构”其实是延续单台计算机防毒的思路,企图以中心服务器建立整个互联网范围内的“病毒特征库”。

  由于现在互联网内容爆炸,每天新出现的数据以TB计算,如此巨量的网页、视频、邮件、文件,任何一个商业公司都无法把它们都全部、实时的标明安全等级,并存储在数据库里供用户进行安全查询。这种思路是行不通的。

瑞星,云安全,瑞星云安全一周年大回馈

(某国外厂商的云安全系统逻辑图)


  尽管有很多技术共通,例如大规模并行运算、网页爬虫等技术,在瑞星“云安全”中也有应用,但是,由于安全行业特殊的性质,简单的套用搜索引擎的技术并不适合,我们都知道互联网的内容在不断的爆炸性的增长,再好的搜索技术也做不到实时汇集更新,在页面信息搜索领域我们可以容许检索到的信息过时,但在反病毒领域,如果提供过时的病毒特征信息则很可能带来严重的误报。

  这种思路本质上没有改变防御系统的模式、只不过是更多的利用了网络技术,并不没有发挥互联网共享协作的巨大优势。

第三节 安全防御系统的互联网化-瑞星云安全

  瑞星的“云安全”系统并不是简单的搜索引擎技术的引入,它提出了一个更符合互联网精神的安全防御思想,并成功的将运用这一防御思想构建了第一个区域互联网安全威胁防御平台。

瑞星,云安全,瑞星云安全一周年大回馈


  客户端不只是简单的从服务器“获取”特征码、挂马网址等信息,而且一旦遭遇攻击,会把信息“贡献”给服务器。每一台客户端都是既“索取”又“贡献”,这样整个网络才能有很强的自我完善、自我升级的能力。

瑞星云安全的三大特点:

  1、改变了反病毒工程师的工作内容,从手工分析病毒到“人工+机器智能”,处理效率更高。

  2、绝大多数需要耗费资源放到了服务器端。例如虚拟机里进行的仿真环境分析病毒、通过网页爬虫搜索与挂马网站连接的黑客网站等等。客户端只要连接服务器,就可以获取最新的功能。这样,“云安全”客户端(瑞星杀毒软件)的体积就会越来越小,而功能则越来越强,可以最大限度减少对用户电脑资源的消耗。

  3、通过实时分析海量客户端上报的攻击信息,研究其中的挂马网站发展趋势、智能主动防御拦截到的可疑文件行为,瑞星可以事先预测到大规模的挂马网站攻击、病毒感染等,从而提前做好相应的防范。

第四节 “云安全”改变了反病毒行业

  研究方向更加明确,全面精确的掌握“安全威胁”动向

  反病毒工程师不但可以准确的了解用户感染了哪些木马病毒,被哪些挂马网站攻击,通过云安全系统对这些威胁信息的深入挖掘。还可以对互联网安全威胁做准确的预估,就像人们通过卫星云图预告天气一样,瑞星云安全系统可以准确预告互联网上的安全大事件。

  例如,近期微软公告的视频控件漏洞、Office漏洞等,在补丁未发布之前,瑞星杀毒软件就可以通过“网页防挂马模块”拦截,无需等待微软的补丁。这就是因为通过分析“云安全”系统上报的挂马攻击行为,把这些危险行为做成“行为特征库”加入到瑞星全功能安全软件中,使其拥有了“免疫”能力。

瑞星,云安全,瑞星云安全一周年大回馈


  防御系统的构建,改变反病毒行业的模式

  传统反病毒工程师都是这样工作的:用户用电子邮件上报可疑文件,工程师手工分析,给用户回信,同时把病毒特征码加入杀毒软件的特征库。

  有了云安全系统,瑞星反病毒工程师的工作大不一样:真正需要手工分析的病毒寥寥无几,大多数工程师都在分析“云安全”系统里的病毒趋势、挂马网站行为等等,从“分析单个病毒”到“分析病毒群的趋势、特征”,这是巨大的转变。

从某种意义说,以前的工程师有点像中医,某个人来看病,根据个体信息来诊断、开药。而现在的反病毒工程师则像在生产疫苗,一群病毒来了之后,分析其中共同的特征,开出针对这群病毒的疫苗。这些疫苗不仅可以防范已有的病毒,还能防范将来出现的同类病毒。

  这就是为什么微软视频控件漏洞出现后,瑞星用户无需升级即可将其拦截。

第五节 畅想未来的“云安全”

  云安全的客户个性化体验

  随着云安全的不断发展,用户的客户端防御系统也将变的更加的智能化、个性化。我们甚至可以针对每个用户制定不同的病毒库,制定不同的主动防御策略,提供个性化的安全威胁预警信息。

  云安全融入互联网

  客户端的安全功能协作化将深入到不同类型的上网设备上。例如:手机、上网本,甚至嵌入智能冰箱、智能电视中。威胁从互联网上来就应该从互联网上进行防御。未来的互联网本身就是一个杀毒软件。

  更小的体积,查杀能力更强

  在云安全系统的支持下,未来将出现所有功能都运行在服务器端的杀毒软件,用户电脑上只需要安装几百K的客户端,查杀、升级、监控等所有功能都通过互联网实时提供,真正达到体积小、查毒能力强的超级杀毒软件。

  查杀一切未知病毒,使用户彻底安全

未来的杀毒软件将可以提前预知用户遇到的安全威胁,事先将病毒码、行为特征等加入服务器中,不会再有杀毒软件杀不掉、认不出的病毒,从而使用户得到真正的安全,完全摆脱“中毒”的困扰。
打印本文 打印本文  关闭窗口 关闭窗口