ZT “金山可信云安全”—— 解析金山毒霸2011核心技术体系

装蒜

金山毒霸2011是世界首款应用“可信云安全”技术的杀毒软件，颠覆杀毒软件20年传统技术，将业界推崇的主动防御等行为识别技术置于云端，在云端完成样本的快速鉴定，辅以本地正常文件白名单库，保障客户端的安全性、提高检出率与整体响应速度。
金山毒霸2011产品具有以下特点，并与传统杀软产生鲜明对比：
◎ 轻巧、资源占用少
◎ 查杀速度快
◎ 查杀准确度高
◎ 响应速度快
◎ 未知病毒查杀能力强
金山毒霸2011 传统杀软
安装包大小 20MB 50-100MB
扫描时CPU占用 约10% >60%
内存占用 20MB >30MB
完整扫描200GB数据用时 小于50分钟 数小时
鉴定速度 秒级 分钟级，每天常规升级分发升级包


金山毒霸2011如此神奇的防杀效果，是如何依仗“可信云安全平台”这款新核心技术实现的呢？本文试图向读者揭开这个秘。


1、用户端非正常（未知）文件查询
2、服务器端查询结果响应
3、文件属性未知则上报样本
4、后台快速鉴定
5、鉴定结果发布到云端
6、鉴定结果反馈到客户端
7、对仍然未知的样本进行社会工程学评估
下面为读者详解金山毒霸2011采用的“可信云安全平台”里，三项核心技术：
    可信云安全：云端人工智能自动鉴定，一分钟识别95%未知样本
云安全这个技术名词自问世以来，存在诸多争议，多家安全公司宣称自己的产品具备云安全技术。但这些早期的云安全技术，只是在利用客户端收集上传样本，再把更新后的病毒库分发到客户端，更象一个放大了的网络版杀毒软件，远不是金山所倡导的可信云安全体系。
金山倡导的可信云安全体系包含互联网可信认证；人工智能自动分析；样本的极速匹配算法；在客户端每天上亿次查询请求时，能够瞬间响应。金山毒霸2011的“可信云安全平台”，是由一系列收集、鉴定、发布等技术体系组成。


金山毒霸安全实验室每天通过这个云安全服务器收集约30万个样本，这样巨大的样本量，不可能依靠人工来解决。工程师们在服务端部署了超过20种以上的人工智能自动分析鉴定器，这些鉴定器包含启发式分析、沙盒技术、行为分析、API序列、虚拟化技术等等，随着病毒木马作者花招不断，还需要不断开发出新的鉴定技术。并且，这些人工智能鉴定器对病毒木马作者来说是完全不可见的，他们无法象对付传统杀毒软件那样容易找到绕过、对抗或反制的方法。目前，95%的样本可以在1分钟内被这些鉴定器判别为正常文件或病毒，金山云安全库收集的样本总量已达2.3亿个。
    蓝芯II云引擎（BlueChipIICLOUD）——实现精准快速查杀
蓝芯II云引擎，是将金山毒霸蓝芯II引擎和云安全紧密结合的版本。杀毒引擎历来是杀毒软件最核心的技术，金山毒霸蓝芯II引擎的扫描速度是老版本的3倍。在引入可信云安全技术之后，将客户端非正常文件的微特征发送到云安全服务器查询，服务器瞬间返回查询结果（响应时间以毫秒计）。采用蓝芯II云引擎（BlueChipIICLOUD）技术，能大大提升病毒扫描的性能。据网友实际测试，联网时进行病毒扫描的速度大约是断网扫描的两倍。
    白名单优先技术——不错抓一个“好人”，不放过一个“坏人”
杀毒软件这个行业存在了20多年，传统杀毒软件都是以识别文件是不是病毒为出发点，实际上这已经把杀毒行业带入死胡同。因每天出现的新病毒实在太多，2009年，金山毒霸捕获到的新病毒数量已经超过2000万个。无休止的升级病毒库，只会令杀毒软件的运行速度变得越来越慢，用户如果不及时升级，就有可能受害。并且，这种传统的病毒识别方法难免会出现误报（将正常文件报告为病毒）和漏报（病毒文件未被测试到而使系统仍处于危险之中）。
金山毒霸试图扭转这种看不到希望的升级大赛，金山反其道而行之，改为识别正常文件，因为对一个普通的电脑用户来说，系统一旦配置好，再安装新软件的机会并不是很多，99%用户电脑上的正常文件是可以被完全收集到的，只有正常文件之外的其它程序才会真的对系统有威胁。简单的逻辑分析可以得出一个结论，这种白名单优先的鉴定方法可以将危险程序100%排除。
在金山毒霸2011中，内含了一个本地正常文件白名单库，我们知道正常文件只要不被修改，是不必每次都做病毒扫描的，我们只需要重点防范在正常文件白名单之外的程序就可以了。金山毒霸2011内置蓝芯II代云引擎的强大性能，依靠三个重要的特征库：本地正常文件白名单库+本地流行病毒特征库+云端海量特征库，可以高效快速的完成病毒程序的鉴定和清除，同时尽可能消除误报或漏报。