邊界防禦

“邊界防禦”是國內知名安全企業金山率先提出的防病毒技術理念,該技術在金山毒霸2012中第一次套用。與傳統的防病毒技術理念最大的不同在於,“邊界防禦”強調“不中毒才是最佳安全解決方案”,通過對外界程式進入電腦的監控,在病毒尚未被運行時即可被判定為安全或不安全,從而最大限度地保障對本地計算機的安全防護。

基本介紹

  • 中文名:邊界防禦
  • 工作流程:一個檔案通過下載
  • 背景:發明了很多方法來對付病毒
  • 提出:阻止可疑程式的運行
邊界防禦工作流程,邊界防禦誕生的背景,提出,邊界防禦可以實現的結果,邊界防禦實現的基礎,優勢,

邊界防禦工作流程

A:一個檔案通過下載/傳輸/複製貼上/外掛程式安裝等方式進入個人電腦
B:在進入電腦的過程中觸發邊界防禦
C:邊界防禦判斷這個檔案是否為白檔案
D:如果是白檔案則通過邊界 如果是黑檔案則直接禁止檔案運行如果是未知檔案則上傳雲端進行雲鑑定
E:雲鑑定中有強大的主動防禦,高啟發掃描,及多款鑑定器對檔案進行掃描
F:如無法判定則轉人工
G:最終返回鑑定結果為通過邊界或者禁止運行
如邊界防禦被冒充正常軟體的病毒騙過,但是在系統運行時發現檔案有病毒行為則啟動系統防禦:
A:查殺病毒
B:修復系統*/

邊界防禦誕生的背景

防毒廠商發明了很多方法來對付病毒,比如特徵碼查殺、啟發式分析、虛擬機主動防禦、多引擎,其目的都在識別病毒,治療感染病毒的計算機。
病毒自誕生一來,也從來沒有放棄和防毒軟體的對抗。病毒木馬越來越常見,病毒的傳播方法也在不斷變換花招。病毒種類從幾年前累計的5,6萬種,迅速增加到現在的每年上千萬種。
防毒軟體繼續走馬後炮的老路?防毒於未然,這是可以做到的。分析病毒的傳播通道,會發現只有這么幾個:
1.欺騙下載,是絕對主流的病毒傳播方式。病毒通過一些軟體下載站,電子書下載站,小說下載站傳播,誤點廣告,就可能下載一個捆綁了病毒的程式。最直接的載體是瀏覽器和各類下載工具
2.通過QQ、MSN、旺旺、YY等聊天工具傳播。網購木馬都是通過QQ、旺旺來點對點傳播的。
3.隨身碟傳播,這是學校,列印店,數碼沖印店的病毒傳播方式。
4.區域網路傳播(共享、內部網下載、蠕蟲式的攻擊傳播)。
而在病毒和防毒軟體的對抗方面,現狀如此:
1.越來越多的方法可以繞過傳統防毒軟體的防禦:加殼加花免殺、過主防、利用正常軟體的漏洞載入,XP差不多有無限多個可以被利用,同時又處於防毒軟體防禦盲點的特殊載入點。
2.只要可疑程式成功運行,防毒軟體就會成為待宰羔羊,無論防毒軟體號稱有多強的防禦能力。

提出

最好的方法莫過於,阻止可疑程式的運行,讓病毒沒有機會在用戶的電腦上執行,不中毒才是最佳解決方案,這就是金山毒霸2012的邊界防禦——在外界程式傳入點嚴密設防。
外界程式進入電腦的途徑是有限的,容易實現監控。就電腦的整個運行時間來講,外界程式進入本地計算機的時間也是很有限的。
傳統防毒軟體沒有採取這種方式進行防禦,傳統防毒軟體的作法是監控所有的磁碟檔案讀寫操作,在系統運行的任何時刻進行安全檢查。比如,瀏覽磁碟檔案時掃描、打開office文檔時掃描、任何應用程式在本地硬碟創建的檔案都會被檢查。因此,傳統防毒軟體對系統性能的負面影響一直在增強。
一個簡單的實驗可以判斷防毒軟體的監控對系統性能的影響有多大:試著將C:\windows目錄下的檔案複製到其他位置,在安裝了防毒軟體或未安裝防毒軟體時,分別記錄下複製所需要的時間,你會發現未安裝防毒軟體需要的時間明顯要少。

邊界防禦可以實現的結果

病毒尚未被運行,即被鑑定為安全或不安全,病毒程式得不到執行的機會,只能以靜態檔案的方式存在於電腦上,病毒程式的對抗功能完全沒有展示機會。

邊界防禦實現的基礎

邊界防禦之所以可以有效攔截風險,是依賴雲安全準確快速的鑑定結果,金山早在2006年即投入到雲安全技術的研發。雲安全不是簡單的樣本收集,核心競爭力是海量樣本的快速鑑定和海量查詢的高速回響。

優勢

1.未知檔案快速鑑別,99%的檔案在99秒內完成鑑定,一半的檔案在1秒鐘內完成鑑定。安全就放行,不安全就禁止。
2.避免傳統防毒軟體系統資源的不合理占用,解放系統資源。最直接的好處是,電腦不會因為安裝防毒軟體就損失性能。
3.低成本實現有效防禦:傳統防毒軟體是重客戶端服務端,客戶端承載太多功能和壓力,和病毒對抗的成本高昂。比如病毒很多方法繞過防毒軟體主動防禦,破壞防毒軟體的自保護,防毒軟體要想反過來強化自身,新功能的開發測試周期比病毒程式更新慢得多,更新的風險也要大得多。

熱門詞條

聯絡我們