|
||||
所謂分層防護,首先,廠商將安全威脅定義為兩大類,一、文件類威脅;二、以URL、域名為表現形式的非文件類威脅。傳統防病毒軟件一直在做的其實是在防御第一種威脅,無論是基於文件特征的方式還是基於行為特征的方式,它們的工作『地點』都是在操作系統的上面,對特定文件采取『攔截』或『放行』操作。
對於第二種威脅方式,安全廠商試圖建立一個龐大的數據庫,在這個數據庫中存放的不再是文件特征信息,而是URL信息。軟件廠商對INTERNET上海量的URL進行風險評級,貼上標簽。簡單的講,安全的被歸入『白名單』,存在風險的被歸入『黑名單』,這一機制被稱為『信譽評級』。當用戶試圖訪問某一URL時,客戶電腦中的防病毒軟件會去『雲』端『詢問』這一URL是否安全,如果安全,URL將被打開,反之,這一URL將被攔截。
分層安全防護機制 圖片來源:趨勢科技
這種基於URL的攔截方式比傳統的基於文件特征的攔截方式有兩個很明顯的好處,一、它可以判斷非文件類型的威脅,比如釣魚網站、臭名昭著的掛馬網站等;二、它可以在惡意文件到達電腦前就攔截掉威脅,因為URL評級不僅包括『.html』類的網頁對象,還包括『.exe、.rar』類的下載對象。
打個比方,當一個陌生人在您房間裡翻箱倒櫃時,我們可以認定此人是個小偷,因為他符合小偷的認定條件。但不幸的是,這人小偷已經進到你的房間來了,正所謂請神容易送神難,你往往會發現,對於已經中毒的計算機,安全軟件往往是靠不住的。而『信譽評級』技術要做的是,在小偷還沒進來之前,就認定此人為小偷,比如有人正在爬上您家的窗臺,雖然他還沒有進到房間裡,但幾乎可以肯定,此人定有問題。
趨勢科技的技術人員向我們強調Tunnel(隧道)這一概念,所謂隧道指的是安全威脅到達用戶電腦的途徑。在互聯網與用戶的電腦之間,會存在多條隧道,隧道是否安全?這點應該首先被檢查,就像前面那個比喻,一個人正試圖從窗戶進到屋子中,這個『隧道』顯然是存在風險的,我們沒必要等其進到屋中後再問他姓甚名誰,而是應該直接將他從窗臺上『推下去』。
要提供URL風險判斷服務,URL數據庫是必不可少的,數據庫的建立也非一朝一夕,而且URL是否安全,存在很強的時效性。比如一個網頁今天是有本馬的,被廠商發現並歸入了『黑名單』中,但第二天,網站管理員修復了這一問題,那麼這一URL就是安全的了,廠商是否有足夠的技術實力在很短的時間內跟上這一變化,動態維護對海量URL的正確判斷,想來應該也不是件容易事,但這卻是未來安全軟件的發展方向。
最後說一下產品,據筆者了解,一些安全軟件知名廠商都已推出了相關產品,比如像趨勢科技推出的防毒牆網絡版10(OfficeScan 10),諾頓2010系列產品、熊貓安全衛士2010系列產品等。