|
||||
所谓分层防护,首先,厂商将安全威胁定义为两大类,一、文件类威胁;二、以URL、域名为表现形式的非文件类威胁。传统防病毒软件一直在做的其实是在防御第一种威胁,无论是基于文件特征的方式还是基于行为特征的方式,它们的工作“地点”都是在操作系统的上面,对特定文件采取“拦截”或“放行”操作。
对于第二种威胁方式,安全厂商试图建立一个庞大的数据库,在这个数据库中存放的不再是文件特征信息,而是URL信息。软件厂商对INTERNET上海量的URL进行风险评级,贴上标签。简单的讲,安全的被归入“白名单”,存在风险的被归入“黑名单”,这一机制被称为“信誉评级”。当用户试图访问某一URL时,客户电脑中的防病毒软件会去“云”端“询问”这一URL是否安全,如果安全,URL将被打开,反之,这一URL将被拦截。
分层安全防护机制 图片来源:趋势科技
这种基于URL的拦截方式比传统的基于文件特征的拦截方式有两个很明显的好处,一、它可以判断非文件类型的威胁,比如钓鱼网站、臭名昭著的挂马网站等;二、它可以在恶意文件到达电脑前就拦截掉威胁,因为URL评级不仅包括“.html”类的网页对象,还包括“.exe、.rar”类的下载对象。
打个比方,当一个陌生人在您房间里翻箱倒柜时,我们可以认定此人是个小偷,因为他符合小偷的认定条件。但不幸的是,这人小偷已经进到你的房间来了,正所谓请神容易送神难,你往往会发现,对于已经中毒的计算机,安全软件往往是靠不住的。而“信誉评级”技术要做的是,在小偷还没进来之前,就认定此人为小偷,比如有人正在爬上您家的窗台,虽然他还没有进到房间里,但几乎可以肯定,此人定有问题。
趋势科技的技术人员向我们强调Tunnel(隧道)这一概念,所谓隧道指的是安全威胁到达用户电脑的途径。在互联网与用户的电脑之间,会存在多条隧道,隧道是否安全?这点应该首先被检查,就像前面那个比喻,一个人正试图从窗户进到屋子中,这个“隧道”显然是存在风险的,我们没必要等其进到屋中后再问他姓甚名谁,而是应该直接将他从窗台上“推下去”。
要提供URL风险判断服务,URL数据库是必不可少的,数据库的建立也非一朝一夕,而且URL是否安全,存在很强的时效性。比如一个网页今天是有本马的,被厂商发现并归入了“黑名单”中,但第二天,网站管理员修复了这一问题,那么这一URL就是安全的了,厂商是否有足够的技术实力在很短的时间内跟上这一变化,动态维护对海量URL的正确判断,想来应该也不是件容易事,但这却是未来安全软件的发展方向。
最后说一下产品,据笔者了解,一些安全软件知名厂商都已推出了相关产品,比如像趋势科技推出的防毒墙网络版10(OfficeScan 10),诺顿2010系列产品、熊猫安全卫士2010系列产品等。