首先是病毒特征码从客户端采集向云端采集的迁移。为了解决文件数据不断膨胀,恶意代码不断增加给用户带来的内存、硬盘、IO等负担,云安全技术首先利用云计算实现了特征存储在云端,用户需要检测的时候在本地提取特征送往云端检测,进一步在云端取得相关的处置方法。应用此类技术的软件可以被称作云安全软件。
其次云安全引入了更加丰富的样本采集手段。从传统的用户上报、厂商主动获取(下载站点、爬虫、光盘采购等),转向了由所有用户共同组成的一个网络在这个网络的基础上进行采集,而采集的样本变得异常丰富:
1)可以通过数字签名进行可信文件和非可信文件采集。对于授信证书签署的文件可以对其进行采集,配合后端分析减少恶意代码特征的误报。
2)可以通过文件的分布信息进行基于分布的流行文件采集,对发现流行恶意代码、传播迅速的恶意代码可以更快地发现。
3)可以通过文件的来源可信程度进行采集,对于易被感染的计算机终端(或传播恶意代码的站点),新发现的文件可疑程度也就更高,及时的采集则可以更快地发现恶意程序。
4)通过API监控技术和沙箱技术进行特定行为触发的采集。此方式对于账号信息盗取,敏感信息窃取的木马类采集异常有效。而云技术则可以对敏感位置和敏感数据提供时时更新。
再者云安全技术引入了新的恶意代码分析方式。恶意程序可以基于文件的分布广度、文件的数字签名、文件在计算机终端的实际行为进行分析检测。云将这种检测由原来的后置分析变成了在用户现场进行的实际环境的采集和记录,对于云端来说需要的是对这些采集获取的数据进行更多的计算和分析,来判别文件的黑白。而无论是采取虚拟机、沙箱、API监控还是网络数据抓取等任意技术为云安全提供数据的终端设备,都可以被称作是云安全设备。
最后云安全设备提供了按需采集数据的能力,这些数据构成了分析提取恶意代码特征的基础。云安全软件提供了按特征进行恶意代码检测和处置的能力。云安全设备和云安全软件为厂商提供了用户需求,厂商可以为用户提供定制的安全服务,而厂商需要采集哪些恶意程序样本并安装客户端需经用户允许才可进行。这两种按需提供的安全服务构成了现有的云安全技术体系。但这个围绕着发现恶意代码建立的安全体系在面对新安全威胁时存在着明显的弱点。