“云安全”檢測已成為病毒查殺領(lǐng)域發(fā)展的新趨勢，為對其在病毒檢測過程中的安全性有進(jìn)一步了解，研究了“云安全”檢測體系結(jié)構(gòu)以及主流“云安全”策略，針對某“云安全”檢測軟件的文件樣本提取方式和網(wǎng)絡(luò)傳輸數(shù)據(jù)的特點，分析了檢測流程中存在的安全隱患，基于這些安全隱患設(shè)計并實現(xiàn)了“云安全”檢測的規(guī)避方案，針對規(guī)避方案提出了防護(hù)建議。實驗結(jié)果表明，“云安全”檢測在實際應(yīng)用過程中仍可能被惡意程序繞過。

　　引言

　　傳統(tǒng)病毒查殺機制主要通過目標(biāo)文件特征碼鑒定方式查殺木馬病毒。這種方式主要是通過將目標(biāo)文件的特征碼和本地病毒特征庫內(nèi)病毒特征進(jìn)行比對，若匹配特征庫中某病毒特征則判定此文件為病毒文件，判斷的準(zhǔn)確性取決于特征庫是否全面。然而新病毒不斷涌現(xiàn)，用戶需要不斷更新病毒庫才能保證病毒庫的升級全面，這必然使得病毒庫越來越龐大，占用用戶內(nèi)存和系統(tǒng)資源越來越多，導(dǎo)致殺毒軟件的掃描效率不斷下降，系統(tǒng)性能也受到極大影響?！度鹦腔ヂ?lián)網(wǎng)安全報告》顯示2011年上半年中國互聯(lián)網(wǎng)安全領(lǐng)域病毒總量比去年同期上升25．2％。病毒數(shù)量呈爆炸式增長使得傳統(tǒng)殺毒軟件面臨嚴(yán)重的困境，因此殺毒軟件必須要建立一種全新的病毒查殺機制?！霸瓢踩崩没ヂ?lián)網(wǎng)的傳輸及計算功能，將原來放在客戶端的分析計算能力轉(zhuǎn)移到了服務(wù)器端，很大程度上彌補了傳統(tǒng)病毒查殺機制的不足。目前對“云安全”檢測技術(shù)的研究著重于檢測性能的提升和服務(wù)器集群的防攻擊保護(hù)方面，而本文針對“云安全”檢測系統(tǒng)的客戶端，對“云安全”結(jié)構(gòu)和主流“云安全”策略進(jìn)行了介紹，同時對某“云安全”檢測流程及其檢測流程中存在的安全隱患進(jìn)行了分析，設(shè)計并驗證了規(guī)避檢測的方案，為“云安全”檢測系統(tǒng)提供防護(hù)建議。

　　1 “云安全”檢測結(jié)構(gòu)分析及主流策略

　　1．1 “云安全”檢測結(jié)構(gòu)分析

　　“云安全”是“云計算”理論在安全領(lǐng)域的應(yīng)用，融合諸多新興技術(shù)，如網(wǎng)格計算、并行處理技術(shù)、未知病毒行為判斷技術(shù)等，通過互聯(lián)網(wǎng)將用戶和殺毒軟件廠商的服務(wù)器集群進(jìn)行連接，形成一個龐大的防毒殺毒系統(tǒng)，對用戶機器中軟件的異常行為進(jìn)行監(jiān)測，從中獲取病毒木馬的特征信息并向服務(wù)器端傳送，服務(wù)器端對其進(jìn)行分析處理后再向各個客戶端發(fā)送該病毒木馬的解決方案?！霸瓢踩睓z測系統(tǒng)結(jié)構(gòu)組成如圖1所示。

　　“云安全”將原先客戶端的分析計算工作轉(zhuǎn)移到了服務(wù)器端，這要求服務(wù)器端必須擁有快速響應(yīng)客戶端請求與快速分析處理可疑文件的能力。為提高分析查殺的準(zhǔn)確率，服務(wù)器端擁有多個快速分析引擎、龐大的病毒特征庫以及行為分析等多個分析技術(shù)。當(dāng)用戶訪問網(wǎng)絡(luò)信息時，“云安全”客戶端首先將用戶訪問信息提交服務(wù)器進(jìn)行安全評估，服務(wù)器快速響應(yīng)分析后迅速將解決方案發(fā)送至客戶端，客戶端再根據(jù)解決方案提示用戶該網(wǎng)絡(luò)信息是否安全；當(dāng)用戶執(zhí)行本地掃描時，客戶端將可疑文件樣本提交至服務(wù)器進(jìn)行分析得到解決方案。

圖1 “云安全”系統(tǒng)結(jié)構(gòu)組成

　　1．2主流“云安全”策略

　　目前“云安全”的技術(shù)標(biāo)準(zhǔn)并不統(tǒng)一，各個殺毒軟件廠商對“云安全”的理解各不相同，主要分為偏主動防御型和偏被動防御型兩類“云安全”策略。

　　偏主動防御型“云安全”以趨勢科技為代表，其“云安全”使用大量的服務(wù)器構(gòu)成一個具有龐大的黑白名單的“云”，通過Web信譽服務(wù)（web reputation services，WRS）、郵件信譽服務(wù)（email reputation services，ERS）和文件信譽服務(wù)（file reputation services，F(xiàn)RS）等核心技術(shù)，對網(wǎng)絡(luò)訪問信息進(jìn)行安全評估，并攔截阻止Web威脅進(jìn)人用戶機器。該“云安全”系統(tǒng)的服務(wù)器數(shù)據(jù)庫中存有大量的網(wǎng)絡(luò)威脅特征值，客戶端僅保存有少量的病毒特征碼文件和web信譽評級等數(shù)據(jù)用于本地驗證。趨勢云安全技術(shù)強調(diào)對Web威脅的攔截，通過動態(tài)分析，對網(wǎng)絡(luò)訪問信息進(jìn)行安全等級評估，極大地降低了病毒對下載傳染的依賴性，但是這種主動防御對本機上已經(jīng)存在的未知威脅的有效感知能力相對較弱。

　　偏被動防御型“云安全”以瑞星為代表，其“云安全”擁有大量的客戶端，每個客戶端都通過已安裝的“云安全的探針”對用戶計算機進(jìn)行掃描，截獲、提取可能是惡意程序的文件樣本，并將其上傳至“云安全”服務(wù)器，服務(wù)器在自動分析和處理后再向每個客戶端分發(fā)解決方案。這種被動防御模式能夠?qū)Ρ镜匾呀?jīng)存在的未知病毒進(jìn)行有效偵測和查殺，但對網(wǎng)絡(luò)病毒的主動防御能力相對較弱。

　　1．3 “云安全”的安全防護(hù)

　　“云安全”檢測采用輕客戶端的策略，將分析計算工作以及病毒特征庫等全部轉(zhuǎn)移至服務(wù)器端，一旦云端服務(wù)器遭受攻擊，比如篡改數(shù)據(jù)庫等，“云安全”系統(tǒng)就無法對木馬病毒進(jìn)行正確判斷，甚至無法正常運行，因此目前對于“云安全”的安全防護(hù)研究集中于對服務(wù)器集群的保護(hù)，對客戶端的安全防護(hù)研究比較薄弱。 2 “云安全”檢測流程及安全隱患分析

　　2．1 “云安全”檢測流程

　　以某“云查殺”（即“云安全”檢測）軟件為例分析其檢測流程。該“云查殺”主要通過文件hash比對、文件樣本啟發(fā)式分析和行為分析三大檢測技術(shù)對可疑文件進(jìn)行分析判斷。如圖2所示，客戶端軟件首先查找可疑文件并上傳該文件hash值至服務(wù)器集群，服務(wù)器端對該文件hash值進(jìn)行黑白名單比對，發(fā)現(xiàn)異常則生成解決方案發(fā)送至客戶端，未發(fā)現(xiàn)異?？蛻舳藙t提取文件樣本，經(jīng)過服務(wù)器端對該文件樣本的啟發(fā)式分析檢測后，發(fā)現(xiàn)異常則生成解決方案；若仍未發(fā)現(xiàn)異常，客戶端軟件則搜集該文件運行過程中的行為特征上傳至服務(wù)器進(jìn)行行為分析，服務(wù)器最終判定該文件是否可信并向客戶端發(fā)送解決方案。

圖2 某“云查殺”系統(tǒng)檢測流程

　　2．2 “云查殺”檢測流程安全隱患分析

　　該“云查殺”系統(tǒng)依靠客戶端上傳的文件hash觸發(fā)服務(wù)器端一系列的檢測分析，在如圖2所示的檢測流程中，攻擊任何一個環(huán)節(jié)都會影響最終解決方案的生成。但黑白名單比對、啟發(fā)式分析和行為分析3個環(huán)節(jié)處于服務(wù)器端，由于“云安全”系統(tǒng)對服務(wù)器嚴(yán)密的安全防護(hù)，針對這3個環(huán)節(jié)的攻擊相對比較困難，因此對處于客戶端的各個環(huán)節(jié)進(jìn)行分析發(fā)現(xiàn)，客戶端查找文件和提取文件hash上傳兩個環(huán)節(jié)存在安全缺陷，極易遭受文件路徑欺騙、通信欺騙和斷網(wǎng)攻擊。

　　2．2．1 文件路徑欺騙安全隱患分析

　　“云查殺”客戶端對用戶計算機進(jìn)行實時監(jiān)控，當(dāng)有程序啟動運行時．客戶端將立即檢查該程序的合法性，但客戶端只是簡單的根據(jù)啟動項、系統(tǒng)服務(wù)等特定信息查找該程序位置并提取文件樣本，惡意軟件可以通過隱藏其真實文件路徑來輕易地躲過客戶端的查找。