邊界防禦
邊界防禦
“邊界防禦”是國內知名安全企業金山率先提出的防病毒技術理念,該技術在金山毒霸2012中第一次應用。與傳統的防病毒技術理念最大的不同在於,“邊界防禦”強調“不中毒才是最佳安全解決方案”,通過對外界程序進入電腦的監控,在病毒尚未被運行時即可被判定為安全或不安全,從而最大限度地保障對本地計算機的安全防護。
A:一個文件通過下載/傳輸/複製粘貼/插件安裝等方式進入個人電腦
B:在進入電腦的過程中觸發邊界防禦
C:邊界防禦判斷這個文件是否為白文件
D:如果是白文件則通過邊界 如果是黑文件則直接禁止文件運行如果是未知文件則上傳雲端進行雲鑒定
E:雲鑒定中有強大的主動防禦,高啟發掃描,及多款鑒定器對文件進行掃描
F:如無法判定則轉人工
G:最終返回鑒定結果為通過邊界或者禁止運行
如邊界防禦被冒充正常軟體的病毒騙過,但是在系統運行時發現文件有病毒行為則啟動系統防禦:
A:查殺病毒
B:修復系統*/
殺毒廠商發明了很多方法來對付病毒,比如特徵碼查殺、啟髮式分析、虛擬機、主動防禦、多引擎,其目的都在識別病毒,治療感染病毒的計算機。
病毒自誕生一來,也從來沒有放棄和殺毒軟體的對抗。病毒木馬越來越常見,病毒的傳播方法也在不斷變換花招。病毒種類從幾年前累計的5,6萬種,迅速增加到現在的每年上千萬種。
殺毒軟體繼續走馬後炮的老路?防毒於未然,這是可以做到的。分析病毒的傳播通道,會發現只有這麼幾個:
1.欺騙下載,是絕對主流的病毒傳播方式。病毒通過一些軟體下載站,電子書下載站,小說下載站傳播,誤點廣告,就可能下載一個捆綁了病毒的程序。最直接的載體是瀏覽器和各類下載工具。
3.U盤傳播,這是學校,列印店,數碼沖印店的病毒傳播方式。
4.區域網傳播(共享、內部網下載、蠕蟲式的攻擊傳播)。
而在病毒和殺毒軟體的對抗方面,現狀如此:
1.越來越多的方法可以繞過傳統殺毒軟體的防禦:加殼加花免殺、過主防、利用正常軟體的漏洞載入,XP差不多有無限多個可以被利用,同時又處於殺毒軟體防禦盲點的特殊載入點。
2.只要可疑程序成功運行,殺毒軟體就會成為待宰羔羊,無論殺毒軟體號稱有多強的防禦能力。
最好的方法莫過於,阻止可疑程序的運行,讓病毒沒有機會在用戶的電腦上執行,不中毒才是最佳解決方案,這就是金山毒霸2012的邊界防禦——在外界程序傳入點嚴密設防。
外界程序進入電腦的途徑是有限的,容易實現監控。就電腦的整個運行時間來講,外界程序進入本地計算機的時間也是很有限的。
傳統殺毒軟體沒有採取這種方式進行防禦,傳統殺毒軟體的作法是監控所有的磁碟文件讀寫操作,在系統運行的任何時刻進行安全檢查。比如,瀏覽磁碟文件時掃描、打開office文檔時掃描、任何應用程序在本地硬碟創建的文件都會被檢查。因此,傳統殺毒軟體對系統性能的負面影響一直在增強。
一個簡單的實驗可以判斷殺毒軟體的監控對系統性能的影響有多大:試著將C:\windows目錄下的文件複製到其他位置,在安裝了殺毒軟體或未安裝殺毒軟體時,分別記錄下複製所需要的時間,你會發現未安裝殺毒軟體需要的時間明顯要少。
病毒尚未被運行,即被鑒定為安全或不安全,病毒程序得不到執行的機會,只能以靜態文件的方式存在於電腦上,病毒程序的對抗功能完全沒有展示機會。
邊界防禦之所以可以有效攔截風險,是依賴雲安全準確快速的鑒定結果,金山早在2006年即投入到雲安全技術的研發。雲安全不是簡單的樣本收集,核心競爭力是海量樣本的快速鑒定和海量查詢的高速響應。
1.未知文件快速鑒別,99%的文件在99秒內完成鑒定,一半的文件在1秒鐘內完成鑒定。安全就放行,不安全就禁止。
2.避免傳統殺毒軟體對系統資源的不合理佔用,解放系統資源。最直接的好處是,電腦不會因為安裝殺毒軟體就損失性能。
3.低成本實現有效防禦:傳統殺毒軟體是重客戶端輕服務端,客戶端承載太多功能和壓力,和病毒對抗的成本高昂。比如病毒很多方法繞過殺毒軟體的主動防禦,破壞殺毒軟體的自保護,殺毒軟體要想反過來強化自身,新功能的開發測試周期比病毒程序更新慢得多,更新的風險也要大得多。