03_Cloud @ Kingsoft A Different Way of Thinking to Cloud Security

《03_Cloud @ Kingsoft A Different Way of Thinking to Cloud Security》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、Agenda云@金山金山云体系--一种不同的思路做云安全演讲人:CardMagic(孙明焱)金山网络金山云防御金山云查杀关于演讲者金山云体系-信息安全问题的源头孙明焱ID:CardMagic-现任金山网络产品总监，负责金山毒霸相关开发-曾任奇虎360云查杀产品负责人病毒杀毒软件-曾任TrendMicro技术经理病毒作者+产业链反病毒厂商-曾任NEC开发工程师对抗病毒技术反病毒技术-Antirootkit工具DarkSpy的作者(被趋势科技收购）……-精通各类安全开发，曾负责开发过各类云安全产品金山云体系-云端智能鉴定技术

2、金山云体系-常规云安全云防住啦用户2海量样本样本相关信息放个木马放个木马，放个木马，，，赚钱罗赚钱罗互联网数据挖掘技术特征自动发布病毒作者后台自动系统10年病毒技术跟进和积累的经验中毒啦中毒啦用户1金山云体系-黑色产业链解决(1)金山云体系-黑色产业链解决(2)•为什么要产业链：小子小子，小子，，，一直盯着你呢一直盯着你呢-产业链做为直接鉴定器，鉴定文件与URL放个木马放个木马，放个木马，，，赚钱罗赚钱罗鹰眼系统互联网3-在病毒还没有大规模传播时，就可以根据病毒集团的运营能力了解病毒可能传播的范围，提前做好准备病毒作者特

3、征自动发布5后台自动系统-产业链聚类后病毒传播特征明显，便于做方案，只需针已病毒集为单位验证即可哦哦哦，哦，，，有个木马有个木马有个木马，有个木马，，，有有有有金山云支持金山云支持，金山云支持，，，我不怕我不怕用户金山云体系-黑色产业链解决(3)金山云体系-普通指纹云后台快撑爆啦后台快撑爆啦，后台快撑爆啦，，，成本成本成本成本！！成本成本！！•金山黑产业链积累：指纹1指纹2指纹3-独特的产业链归类系统云安全从业者云端-产业链特征自动提取系统客户端-专门团队运营与监控A.exeA.exeA.exe软件又更新软件又更新，软件

4、又更新，，，又被误报了又被误报了!!V1V2V3用户金山云体系-金山微特征云金山云体系-关于金山云体系的一些成果•通过鹰眼系统以及金山对产业链的积累，在大陆微征特1地区首家披露了十大病毒集团云端•金山云后台拥有30多款各类鉴定器，涵盖各类启发式与智能鉴定技术客户端•金山云后台每天发布约30万特征，其中：A.exeA.exeA.exe白特征约25万V1V2V3黑特征约5万金山云防御金山云防御-什么是边界防御金山云防御-为什么要边界防御(1)金山云防御-为什么要边界防御(2)•传统主动防御的痛处•边界防御的优势–病毒执行后行

5、为变化方法太多–只做文件对抗–既需要应对文件变化，又需要应对行为变化–只有极少情况会触发边界防御逻辑–随着各种安全策略的增加，不断拖耗系统性能–轻量级高兼容性实现–兼容性不好–不用根据病毒的行为变化不停改变–驱动级更新对抗，稍有不慎便蓝屏崩溃–进程执行时文件太多后台无法完全鉴定金山云防御-为什么要边界防御(3)金山云防御-边界防御V.S.下载保护(1)•边界防御可行么•最本质的区别–每日边界防御的新增文件数量是有限的（可运营）–边界防御是一个整体的解决方案以保证恶意文件不进入系统。–边界防御中遇到的威胁是容易定性的（可做

6、解决方案）–下载保护只是一个具体的产品功能金山云防御-边界防御V.S.下载保护(2)金山云防御-金山边界防御的优势和积累具体差异表现在如下几点：金山做边界防御有如下优势和积累：–边界防御是全面的，不光包含下载，并且会不断覆盖新渠道–基于特征的云，保证在边界的文件特征数量极其收敛–投入精英和最优资源参与边界防御–后台30多种自主开发鉴定器（各种启发式以及专项鉴–对各种入口进入的各类文件有完善的解决方案和相关定）的专门开发和产品运营团队投入–云端有专门团队和专门流程应对处理边界防御文件，–金山长期积累各种鉴定器以及分析人才包

7、括：鉴定黑白，运营外挂色播等。力保边界所有文件均有鉴定结果–从上到下对边界防御的深刻认识–由于对边界防御概念的深刻理解，会不断关注并挖掘边界防御安全新动向，并开发解决方案金山云防御-边界防御方案(1)金山云防御-边界防御方案(2)金山云防御-边界防御方案(3)金山云防御-金山系统防御构成自我保护进程防御注册表防御金山主动防御文件防御核心防御云保护金山云防御-全面基于云金山云查杀-反思查杀遇到的问题写关键启动项进程a.exe对对对a.exe进行云查询•为什么每次扫描要那么长时间返回安全返回恶意或未知•为什么要那么多种扫描:

8、全盘扫描/快速扫描....a.exe启动项写入b.dll弹窗•检出率为什么这么低对对对b.dll进行云查询返回安全返回恶意或未知放行弹窗金山云查杀-解决方案金山云查杀-一键云查杀启动项扫描运行中程序扫描活体查杀系统文件和易感染位置扫描一键云查杀系统修复与脚全盘感染全盘感染，全盘感染，，，全盘劫持等触发条件全盘劫持等触