“云安全”檢測(cè)已成為病毒查殺領(lǐng)域發(fā)展的新趨勢(shì)，為對(duì)其在病毒檢測(cè)過(guò)程中的安全性有進(jìn)一步了解，研究了“云安全”檢測(cè)體系結(jié)構(gòu)以及主流“云安全”策略，針對(duì)某“云安全”檢測(cè)軟件的文件樣本提取方式和網(wǎng)絡(luò)傳輸數(shù)據(jù)的特點(diǎn)，分析了檢測(cè)流程中存在的安全隱患，基于這些安全隱患設(shè)計(jì)并實(shí)現(xiàn)了“云安全”檢測(cè)的規(guī)避方案，針對(duì)規(guī)避方案提出了防護(hù)建議。實(shí)驗(yàn)結(jié)果表明，“云安全”檢測(cè)在實(shí)際應(yīng)用過(guò)程中仍可能被惡意程序繞過(guò)。

　　引言

　　傳統(tǒng)病毒查殺機(jī)制主要通過(guò)目標(biāo)文件特征碼鑒定方式查殺木馬病毒。這種方式主要是通過(guò)將目標(biāo)文件的特征碼和本地病毒特征庫(kù)內(nèi)病毒特征進(jìn)行比對(duì)，若匹配特征庫(kù)中某病毒特征則判定此文件為病毒文件，判斷的準(zhǔn)確性取決于特征庫(kù)是否全面。然而新病毒不斷涌現(xiàn)，用戶(hù)需要不斷更新病毒庫(kù)才能保證病毒庫(kù)的升級(jí)全面，這必然使得病毒庫(kù)越來(lái)越龐大，占用用戶(hù)內(nèi)存和系統(tǒng)資源越來(lái)越多，導(dǎo)致殺毒軟件的掃描效率不斷下降，系統(tǒng)性能也受到極大影響?！度鹦腔ヂ?lián)網(wǎng)安全報(bào)告》顯示2011年上半年中國(guó)互聯(lián)網(wǎng)安全領(lǐng)域病毒總量比去年同期上升25．2％。病毒數(shù)量呈爆炸式增長(zhǎng)使得傳統(tǒng)殺毒軟件面臨嚴(yán)重的困境，因此殺毒軟件必須要建立一種全新的病毒查殺機(jī)制?！霸瓢踩崩没ヂ?lián)網(wǎng)的傳輸及計(jì)算功能，將原來(lái)放在客戶(hù)端的分析計(jì)算能力轉(zhuǎn)移到了服務(wù)器端，很大程度上彌補(bǔ)了傳統(tǒng)病毒查殺機(jī)制的不足。目前對(duì)“云安全”檢測(cè)技術(shù)的研究著重于檢測(cè)性能的提升和服務(wù)器集群的防攻擊保護(hù)方面，而本文針對(duì)“云安全”檢測(cè)系統(tǒng)的客戶(hù)端，對(duì)“云安全”結(jié)構(gòu)和主流“云安全”策略進(jìn)行了介紹，同時(shí)對(duì)某“云安全”檢測(cè)流程及其檢測(cè)流程中存在的安全隱患進(jìn)行了分析，設(shè)計(jì)并驗(yàn)證了規(guī)避檢測(cè)的方案，為“云安全”檢測(cè)系統(tǒng)提供防護(hù)建議。

　　1 “云安全”檢測(cè)結(jié)構(gòu)分析及主流策略

　　1．1 “云安全”檢測(cè)結(jié)構(gòu)分析

　　“云安全”是“云計(jì)算”理論在安全領(lǐng)域的應(yīng)用，融合諸多新興技術(shù)，如網(wǎng)格計(jì)算、并行處理技術(shù)、未知病毒行為判斷技術(shù)等，通過(guò)互聯(lián)網(wǎng)將用戶(hù)和殺毒軟件廠(chǎng)商的服務(wù)器集群進(jìn)行連接，形成一個(gè)龐大的防毒殺毒系統(tǒng)，對(duì)用戶(hù)機(jī)器中軟件的異常行為進(jìn)行監(jiān)測(cè)，從中獲取病毒木馬的特征信息并向服務(wù)器端傳送，服務(wù)器端對(duì)其進(jìn)行分析處理后再向各個(gè)客戶(hù)端發(fā)送該病毒木馬的解決方案。“云安全”檢測(cè)系統(tǒng)結(jié)構(gòu)組成如圖1所示。

　　“云安全”將原先客戶(hù)端的分析計(jì)算工作轉(zhuǎn)移到了服務(wù)器端，這要求服務(wù)器端必須擁有快速響應(yīng)客戶(hù)端請(qǐng)求與快速分析處理可疑文件的能力。為提高分析查殺的準(zhǔn)確率，服務(wù)器端擁有多個(gè)快速分析引擎、龐大的病毒特征庫(kù)以及行為分析等多個(gè)分析技術(shù)。當(dāng)用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)信息時(shí)，“云安全”客戶(hù)端首先將用戶(hù)訪(fǎng)問(wèn)信息提交服務(wù)器進(jìn)行安全評(píng)估，服務(wù)器快速響應(yīng)分析后迅速將解決方案發(fā)送至客戶(hù)端，客戶(hù)端再根據(jù)解決方案提示用戶(hù)該網(wǎng)絡(luò)信息是否安全；當(dāng)用戶(hù)執(zhí)行本地掃描時(shí)，客戶(hù)端將可疑文件樣本提交至服務(wù)器進(jìn)行分析得到解決方案。

圖1 “云安全”系統(tǒng)結(jié)構(gòu)組成

　　1．2主流“云安全”策略

　　目前“云安全”的技術(shù)標(biāo)準(zhǔn)并不統(tǒng)一，各個(gè)殺毒軟件廠(chǎng)商對(duì)“云安全”的理解各不相同，主要分為偏主動(dòng)防御型和偏被動(dòng)防御型兩類(lèi)“云安全”策略。

　　偏主動(dòng)防御型“云安全”以趨勢(shì)科技為代表，其“云安全”使用大量的服務(wù)器構(gòu)成一個(gè)具有龐大的黑白名單的“云”，通過(guò)Web信譽(yù)服務(wù)（web reputation services，WRS）、郵件信譽(yù)服務(wù)（email reputation services，ERS）和文件信譽(yù)服務(wù)（file reputation services，F(xiàn)RS）等核心技術(shù)，對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)信息進(jìn)行安全評(píng)估，并攔截阻止Web威脅進(jìn)人用戶(hù)機(jī)器。該“云安全”系統(tǒng)的服務(wù)器數(shù)據(jù)庫(kù)中存有大量的網(wǎng)絡(luò)威脅特征值，客戶(hù)端僅保存有少量的病毒特征碼文件和web信譽(yù)評(píng)級(jí)等數(shù)據(jù)用于本地驗(yàn)證。趨勢(shì)云安全技術(shù)強(qiáng)調(diào)對(duì)Web威脅的攔截，通過(guò)動(dòng)態(tài)分析，對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)信息進(jìn)行安全等級(jí)評(píng)估，極大地降低了病毒對(duì)下載傳染的依賴(lài)性，但是這種主動(dòng)防御對(duì)本機(jī)上已經(jīng)存在的未知威脅的有效感知能力相對(duì)較弱。

　　偏被動(dòng)防御型“云安全”以瑞星為代表，其“云安全”擁有大量的客戶(hù)端，每個(gè)客戶(hù)端都通過(guò)已安裝的“云安全的探針”對(duì)用戶(hù)計(jì)算機(jī)進(jìn)行掃描，截獲、提取可能是惡意程序的文件樣本，并將其上傳至“云安全”服務(wù)器，服務(wù)器在自動(dòng)分析和處理后再向每個(gè)客戶(hù)端分發(fā)解決方案。這種被動(dòng)防御模式能夠?qū)Ρ镜匾呀?jīng)存在的未知病毒進(jìn)行有效偵測(cè)和查殺，但對(duì)網(wǎng)絡(luò)病毒的主動(dòng)防御能力相對(duì)較弱。

　　1．3 “云安全”的安全防護(hù)

　　“云安全”檢測(cè)采用輕客戶(hù)端的策略，將分析計(jì)算工作以及病毒特征庫(kù)等全部轉(zhuǎn)移至服務(wù)器端，一旦云端服務(wù)器遭受攻擊，比如篡改數(shù)據(jù)庫(kù)等，“云安全”系統(tǒng)就無(wú)法對(duì)木馬病毒進(jìn)行正確判斷，甚至無(wú)法正常運(yùn)行，因此目前對(duì)于“云安全”的安全防護(hù)研究集中于對(duì)服務(wù)器集群的保護(hù)，對(duì)客戶(hù)端的安全防護(hù)研究比較薄弱。 2 “云安全”檢測(cè)流程及安全隱患分析

　　2．1 “云安全”檢測(cè)流程

　　以某“云查殺”（即“云安全”檢測(cè)）軟件為例分析其檢測(cè)流程。該“云查殺”主要通過(guò)文件hash比對(duì)、文件樣本啟發(fā)式分析和行為分析三大檢測(cè)技術(shù)對(duì)可疑文件進(jìn)行分析判斷。如圖2所示，客戶(hù)端軟件首先查找可疑文件并上傳該文件hash值至服務(wù)器集群，服務(wù)器端對(duì)該文件hash值進(jìn)行黑白名單比對(duì)，發(fā)現(xiàn)異常則生成解決方案發(fā)送至客戶(hù)端，未發(fā)現(xiàn)異?？蛻?hù)端則提取文件樣本，經(jīng)過(guò)服務(wù)器端對(duì)該文件樣本的啟發(fā)式分析檢測(cè)后，發(fā)現(xiàn)異常則生成解決方案；若仍未發(fā)現(xiàn)異常，客戶(hù)端軟件則搜集該文件運(yùn)行過(guò)程中的行為特征上傳至服務(wù)器進(jìn)行行為分析，服務(wù)器最終判定該文件是否可信并向客戶(hù)端發(fā)送解決方案。

圖2 某“云查殺”系統(tǒng)檢測(cè)流程

　　2．2 “云查殺”檢測(cè)流程安全隱患分析

　　該“云查殺”系統(tǒng)依靠客戶(hù)端上傳的文件hash觸發(fā)服務(wù)器端一系列的檢測(cè)分析，在如圖2所示的檢測(cè)流程中，攻擊任何一個(gè)環(huán)節(jié)都會(huì)影響最終解決方案的生成。但黑白名單比對(duì)、啟發(fā)式分析和行為分析3個(gè)環(huán)節(jié)處于服務(wù)器端，由于“云安全”系統(tǒng)對(duì)服務(wù)器嚴(yán)密的安全防護(hù)，針對(duì)這3個(gè)環(huán)節(jié)的攻擊相對(duì)比較困難，因此對(duì)處于客戶(hù)端的各個(gè)環(huán)節(jié)進(jìn)行分析發(fā)現(xiàn)，客戶(hù)端查找文件和提取文件hash上傳兩個(gè)環(huán)節(jié)存在安全缺陷，極易遭受文件路徑欺騙、通信欺騙和斷網(wǎng)攻擊。

　　2．2．1 文件路徑欺騙安全隱患分析

　　“云查殺”客戶(hù)端對(duì)用戶(hù)計(jì)算機(jī)進(jìn)行實(shí)時(shí)監(jiān)控，當(dāng)有程序啟動(dòng)運(yùn)行時(shí)．客戶(hù)端將立即檢查該程序的合法性，但客戶(hù)端只是簡(jiǎn)單的根據(jù)啟動(dòng)項(xiàng)、系統(tǒng)服務(wù)等特定信息查找該程序位置并提取文件樣本，惡意軟件可以通過(guò)隱藏其真實(shí)文件路徑來(lái)輕易地躲過(guò)客戶(hù)端的查找。