云安全概述难点问题及现状.doc

云安全概述难点问题及现状1.1 云安全概述在百度里，以“云安全”为关键词，可以搜索到大约2,600,000篇文章；在Google里，以“云安全”为关键词，可以搜索到大约715,000 条结果；以“云安全技术”为关键词，可以搜索到大约213,000篇文章。在这些海量的文章中，有各安全厂商对“云安全”和“云安全技术”的理解，也有安全厂商对云安全的技术构成的诠释。当然，更少不了安全厂商之间的争论。毫无疑问云安全已经成为各大安全厂商的又一个战略高地。如今各大杀毒软件都宣称自己是云杀毒，就可见一斑。1-1 云安全示意图“云安全（Cloud Security）”计划是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。而中国企业创造的“云安全”概念，在国际云计算领域独树一帜。云安全通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。整个互联网，变成了一个超级大的杀毒软件，这就是云安全计划的宏伟目标。1.2 云安全的先进之处云安全网络防护解决方案是一种下一代云客户端内容安全基础设施，和传统方式相比，它可以在最新威胁到达用户计算机或公司网络之前对其予以拦截，从而让安全变得更加智能。云安全的核心在于超越了拦截Web威胁的传统方法，旨在降低对客户端耗时的特征码下载的依赖性，转而借助威胁信息汇总的全球网络，该网络采用了趋势科技的云安全技术，在web威胁到达网络或计算机之前即可通过云端计算对其予以拦截。云安全是一群探针的结果上报、专业处理结果的分享，云安全好处是理论上可以把病毒的传播范围控制在一定区域内！和探针的数量、存活、及病毒处理的速度有关。 传统的上报是人为的手动的，而云安全是系统内自动快捷几秒钟内就完成的，这一种上报是最及时的，人工上报就做不到这一点。理想状态下，从一个盗号木马从攻击某台电脑，到整个“云安全”（Cloud Security）网络对其拥有免疫、查杀能力，仅需几秒的时间。1.3 云安全思想来源云安全技术是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果。 值得一提的是，云安全的核心思想，与刘鹏早在2003年就提出的反垃圾邮件网格非常接近。刘鹏当时认为，垃圾邮件泛滥而无法用技术手段很好地自动过滤，是因为所依赖的人工智能方法不是成熟技术。垃圾邮件的最大的特征是：它会将相同的内容发送给数以百万计的接收者。为此，可以建立一个分布式统计和学习平台，以大规模用户的协同计算来过滤垃圾邮件：首先，用户安装客户端，为收到的每一封邮件计算出一个唯一的“指纹”，通过比对“指纹”可以统计相似邮件的副本数，当副本数达到一定数量，就可以判定邮件是垃圾邮件；其次，由于互联网上多台计算机比一台计算机掌握的信息更多，因而可以采用分布式贝叶斯学习算法，在成百上千的客户端机器上实现协同学习过程，收集、分析并共享最新的信息。反垃圾邮件网格体现了真正的网格思想，每个加入系统的用户既是服务的对象，也是完成分布式统计功能的一个信息节点，随着系统规模的不断扩大，系统过滤垃圾邮件的准确性也会随之提高。用大规模统计方法来过滤垃圾邮件的做法比用人工智能的方法更成熟，不容易出现误判假阳性的情况，实用性很强。反垃圾邮件网格就是利用分布互联网里的千百万台主机的协同工作，来构建一道拦截垃圾邮件的“天网”。反垃圾邮件网格思想提出后，被IEEE Cluster 2003国际会议选为杰出网格项目在香港作了现场演示，在2004年网格计算国际研讨会上作了专题报告和现场演示，引起较为广泛的关注，受到了中国最大邮件服务提供商网易公司创办人丁磊等的重视。既然垃圾邮件可以如此处理，病毒、木马等亦然，这与云安全的思想就相去不远了。2 国内外研究现状2.1 起步直到现在，“云安全”也没有一个明确的概念和严格的定义，国内外的各安全厂商对于云安全的理解基本上趋于相同，他们对云安全技术的构成与解释也基本一致。如果一定要找出不同，归根结底也就是因利益的不同产生的理念的不同。简单直接的说，“理念的不同”就是有的安全厂商是将云安全当工具，赚钱搞噱头；有的安全厂商则是将云安全当技术，投钱搞研发。对于云安全，比较被普遍认可的说法是，云安全是在云计算、云存储之后出现的一种新概念，是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，传送到服务器端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。云安全的概念在刚刚推出时，持反对意见的人认为这是“无意义的伪命题”，属于拉动内需的“噱头推销”，但事实证明，这样的认识很无知。不过，无法否认的是，云安全确实是“被发展”。在互联网普的前期，电脑病毒的传播方式有限，危害方式也有限。在那种情况下，针对病毒的侦测与查杀的方式采用的是“特征库”的方式是一种可靠并完全的。但现在，互联网的普及和带宽快速的扩容，识别、侦测和查杀病毒的手段仅仅依靠下载到本地硬盘的病毒库显然是落后了。最直接的体现就是，特征库的更新还没有病毒更新的快。在这样的实际情况下，用户需要反应灵敏的新技术来保障安全，安全厂商就不得不“被发展”新技术，以满足用户的需求。2.2 成果尽管各安全厂商在对云安全的解释和运作上存在差别，但在云安全技术的发展和架构搭建方面仍是趋同的。在特征库查杀方式已经“被证明”是落伍的实际情况下，未来的安全产品需要具备两个基本条件：反应速度快和查杀能力强，而云安全很大程度上，就是在体现并比拼安全产品的“反应速度”。木马病毒依附在互联网的速度在快速传播，安全厂商同样可以利用互联网作出快速反应。云安全就是依托互联网，实时的对木马病毒进行采集、分析以及处理工作这其实也就是云安全的基本工作原理。当某一个客户端出现病毒后，通过云安全技术，在云端服务的分析和处理，迅速将这一病毒文件扼杀，将病毒的传播源卡住，给每一个客户端进行免疫。更直接的说，云安全其实就是依靠互联网，将每一个用户都连接起来，当其中一个用户（机器）受到攻击时，服务器在侦测信息将其上传，然后把分析结果返回给网络中的所有客户端，最终实现让整个网络可以在最短之间内获取对某一病毒免疫能力。从国内外安全厂商公布的一些数据来看，基于云安全策略截获的木马病毒，每天都是数以百万计、千万计。2.3 发展趋势未来杀毒软件将无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马，在这样的情况下，采用的特征库判别法显然已经过时。云安全技术应用后，识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库，而是依靠庞大的网络服务，实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”，参与者越多，每个参与者就越安全，整个互联网就会更安全。 云安全的概念提出后，曾引起了广泛的争议，许多人认为它是伪命题。但事实胜于雄辩，云安全的发展像一阵风1，瑞星、趋势、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全卫士等都推出了云安全解决方案。瑞星基于云安全策略开发的2009新品，每天拦截数百万次木马攻击，其中1月8日更是达到了765万余次。趋势科技云安全已经在全球建立了5大数据中心，几万部在线服务器。据悉，云安全可以支持平均每天55亿条点击查询，每天收集分析2.5亿个样本，资料库第一次命中率就可以达到99%。借助云安全，趋势科技现在每天阻断的病毒感染最高达1000万次。3 云安全的难点及问题要想建立“云安全”系统，并使之正常运行，需要解决四大问题：第一，需要海量的客户端（云安全探针）；第二，需要专业的反病毒技术和经验；第三，需要大量的资金和技术投入；第四，必须是开放的系统，而且需要大量合作伙伴的加入。3.1需要海量的客户端（云安全探针）需要海量的客户端（云安全探针）。只有拥有海量的客户端，才能对互联网上出现的恶意程序，危险网站有最灵敏的感知能力。一般而言安全厂商的产品使用率越高，反映应当越快，最终应当能够实现无论哪个网民中毒、访问挂马网页，都能在第一时间做出反应。3.2需要专业的反病毒技术和经验需要专业的反病毒技术和经验。发现的恶意程序被探测到，应当在尽量短的时间内被分析，这需要安全厂商具有过硬的技术，否则容易造成样本的堆积，使云