“边界防御”是国内知名安全企业
金山率先提出的
防病毒技术理念,该技术在
金山毒霸2012中第一次应用。与传统的
防病毒技术理念最大的不同在于,“边界防御”强调“不中毒才是最佳
安全解决方案”,通过对外界
程序进入电脑的监控,在病毒尚未被运行时即可被判定为安全或不安全,从而最大限度地保障对本地计算机的安全防护。
工作流程
A:一个文件通过下载/传输/复制粘贴/
插件安装等方式进入个人电脑
B:在进入电脑的过程中触发边界防御
C:边界防御判断这个文件是否为白文件
D:如果是白文件则通过边界 如果是黑文件则直接禁止文件运行如果是未知文件则上传云端进行云鉴定
E:云鉴定中有强大的
主动防御,高启发扫描,及多款鉴定器对文件进行扫描
F:如无法判定则转人工
G:最终返回鉴定结果为通过边界或者禁止运行
如边界防御被冒充正常软件的病毒骗过,但是在系统运行时发现文件有病毒行为则启动系统防御:
A:查杀病毒
B:修复系统*/
背景
杀毒厂商发明了很多方法来对付病毒,比如特征码查杀、
启发式分析、
虚拟机、
主动防御、多引擎,其目的都在识别病毒,治疗感染病毒的计算机。
病毒自诞生一来,也从来没有放弃和
杀毒软件的对抗。病毒木马越来越常见,病毒的传播方法也在不断变换花招。病毒种类从几年前累计的5,6万种,迅速增加到每年上千万种。
杀毒软件继续走马后炮的老路?防毒于未然,这是可以做到的。分析病毒的传播通道,会发现只有这么几个:
1.欺骗下载,是绝对主流的病毒传播方式。病毒通过一些软件下载站,电子书下载站,小说下载站传播,误点广告,就可能下载一个捆绑了病毒的程序。最直接的载体是
浏览器和各类
下载工具。
2.通过QQ、MSN、旺旺、YY等聊天工具传播。
网购木马都是通过QQ、旺旺来点对点传播的。
3.U盘传播,这是学校,打印店,数码冲印店的病毒传播方式。
4.局域网传播(共享、内部网下载、蠕虫式的攻击传播)。
1.越来越多的方法可以绕过传统
杀毒软件的防御:加壳加花
免杀、过主防、利用正常软件的
漏洞加载,XP差不多有无限多个可以被利用,同时又处于杀毒软件防御盲点的特殊加载点。
2.只要可疑程序成功运行,
杀毒软件就会成为待宰羔羊,无论杀毒软件号称有多强的防御能力。
提出
最好的方法莫过于,阻止可疑程序的运行,让病毒没有机会在用户的电脑上执行,不中毒才是最佳解决方案,这就是
金山毒霸2012的边界防御——在外界程序传入点严密设防。
外界程序进入电脑的途径是有限的,容易实现监控。就电脑的整个运行时间来讲,外界程序进入本地计算机的时间也是很有限的。
传统
杀毒软件没有采取这种方式进行防御,传统杀毒软件的作法是监控所有的磁盘文件读写操作,在系统运行的任何时刻进行
安全检查。比如,浏览磁盘文件时扫描、打开office文档时扫描、任何应用程序在本地硬盘创建的文件都会被检查。因此,传统
杀毒软件对系统性能的负面影响一直在增强。
实现的结果
病毒尚未被运行,即被鉴定为
安全或不安全,病毒程序得不到执行的机会,只能以静态文件的方式存在于电脑上,病毒程序的对抗功能完全没有展示机会。
基础
边界防御之所以可以有效拦截风险,是依赖
云安全准确快速的鉴定结果,金山早在2006年即投入到
云安全技术的研发。
云安全不是简单的样本收集,核心竞争力是海量样本的快速鉴定和海量查询的高速响应。
优势
1.未知文件快速鉴别,99%的文件在99秒内完成鉴定,一半的文件在1秒钟内完成鉴定。
安全就放行,不安全就禁止。
2.避免传统
杀毒软件对
系统资源的不合理占用,解放系统资源。最直接的好处是,电脑不会因为安装
杀毒软件就损失性能。
3.低成本实现有效防御:传统
杀毒软件是重
客户端轻
服务端,客户端承载太多功能和压力,和
病毒对抗的成本高昂。比如病毒很多方法绕过
杀毒软件的
主动防御,破坏杀毒软件的自保护,杀毒软件要想反过来强化自身,新功能的开发测试周期比病毒程序更新慢得多,更新的风险也要大得多。