互联网可信认证 说白了就是本地特征库/误报库在网络端的延续
因为本地储存空间和检索性能的限制 使得本地缓存地球上所有文件的安全信息变得完全不可能
由此才会出现互联网可信认证这么一个东西
很多人觉得可信认证没有太大的实际意义 因为他还是基于传统的先分析后查杀方式 无法抵御小规模爆发的潜在威胁
首先必须要说明 这个认识是正确的 因为即便采用机分析的手段 仍然会存在因为分析而导致的窗口期从而导致安全隐患
但同时 这个认识其实是从一个相反的方向考虑了互联网可信认证
依照金山毒霸为例 在它的设置页面里我们可以看到这么一个选项
从这个选项中我们可以看到一点 也是可信认证技术的本质 那就是 安全
我们知道目前的一些智能型主动防御 包括 微点 ThreatFire 以及 Kaspersky 的 PDM 都不可避免的存在一定的误报
这是基于行为分析和危险函数调用监测的主动防御系统一直在面对的问题
执行类似操作的程序 有些可能是后门 而有些则可能是商业远程控制软件
虽然本地白名单始终在不断的强化 但是毕竟本地的增量是有限的
这时候就是互联网可信认证发挥功效的地方了 同样还是以 金山毒霸 为例
恶意行为拦截当发现一个程序具备恶意行为的时候 首先他将挂起嫌疑进程并且查询远端的可信认证
当可信认证返回的信息是安全的时候 就唤醒被挂起进程并且弹出窗口予以提示
当可信认证返回的信息是 不安全/分析中/未知 的时候 就弹出窗口提示用户恶意行为拦截发现可疑程序 是否删除
从这个过程里我们可以发现 可信认证充当的其实不是 辩黑 而是 认白 的角色
同样我们都知道互联网中每天未知的新文件以不可计的数量在增加 即便只筛选出 PE 文件却也是数目惊人的
但是 这其中绝大部分用户常用的无危害文件增长的速度却没有想象中的那么快
所以实际上我们在观察一款可信认证系统分析速度的时候
重点考察的并不应该是对威胁的处理速度 而是对安全文件的反应速度
而实际上对于安全厂商而言 可信认证系统中确认是病毒的文件他们都会通过升级特征码进行查杀
而这其中的时间差一般都不会超过一天
所以可信认证并不需要知道哪些文件是坏人 他只需要记住哪些人是好人便可以了
或许还是有人觉得这和本地白名单有什么差别 只要需要一段时间的累积那本地的白名单库也可以做的很好
的确 但就像我之前所说的 受制于储存容量和检索能力的限制 你不可能缓存所有文件的白名单信息到本地
说一些量化的概念
如果说配合本地白名单主动防御可以讲误报率控制在 10% 以下的话
那么结合互联网可信认证的主动防御则可以做到 1% 甚至更低的水平
==================================
关于安全文件搜集的说明:
安全文件的搜集过程很大程度上不同于对威胁文件的搜集过程
因为安全文件的判断可以依靠 "商誉"
比如腾讯新出的一个 QQ 版本其所有 PE 文件便可以直接入库为安全而不需要逐一分析 这就是对腾讯商誉的认同
==================================
实际上可信认证并不是针对新威胁的一种快速处置办法 它对于提升查杀率并没有直接的帮助作用
顶多只是因为建设可信认证系统后拓展了样本的收集渠道而提高了反应能力而已
这种 IT 界的户籍制度到底会不会成为一项经典的信息安全必备技术 还需要时间的检验
外话: 互联网可信认证的好处相比常用金山清理专家替他人手工处理病毒的同学是最深有体会得了
隐藏语: 所以对可信认证技术而言宁可入库慢点也要确保信息的准确性 绝不可将不安全的文件错标为安全 因为一旦如此后期想要更正是十分费时费力的, 而从这个角度讲, 金山毒霸做的并不十分好, 所以我感觉此项制度有鸡肋化的可能. 至于瑞星那个云安全个人觉得就不用指望了, 到现在都把卡卡自己的进程都标注成 文件诊所已收录 (类似金山的 分析中) 而不是 安全... 这种东西真的能信么?
