據(jù)統(tǒng)計(jì)，2014年全球開(kāi)發(fā)出的惡意軟件，包括計(jì)算機(jī)病毒和其他惡意軟件的數(shù)量超過(guò)了3.17億種。也就是說(shuō)，每天新出現(xiàn)的安全威脅接近百萬(wàn)種。受存儲(chǔ)容量和檢測(cè)效率的限制，傳統(tǒng)防病毒軟件的病毒庫(kù)通常在百萬(wàn)、千萬(wàn)級(jí)別，很難覆蓋到快速變化的惡意樣本及其變種。山石云影位于云端的海量惡意樣本庫(kù)可到十億級(jí)別，可以更好的覆蓋病毒及其變種。

山石云影采用沙箱技術(shù)來(lái)偵測(cè)未知威脅。沙箱在仿真環(huán)境中打開(kāi)文件，動(dòng)態(tài)監(jiān)控和全面分析文件的執(zhí)行行為。如果文件啟動(dòng)攻擊行為，沙箱可以捕獲這些行為從而判斷該文件為惡意軟件。雖然免殺技術(shù)可以改變惡意軟件的靜態(tài)特性，但是不會(huì)改變惡意軟件的動(dòng)態(tài)行為特征，所以沙箱技術(shù)可以有效對(duì)抗最新的免殺技術(shù)，有效檢測(cè)出未知威脅。

隨著SSL加密技術(shù)的普及，越來(lái)越多的應(yīng)用采用HTTPS方式部署，同時(shí)惡意軟件也借助加密技術(shù)來(lái)躲避檢測(cè)。山石云影可以對(duì)SSL加密流量進(jìn)行解密及深度檢測(cè)，精確還原出加密流量中的各種文件并進(jìn)行行為分析，使惡意軟件無(wú)所遁形。

通過(guò)隱藏沙箱運(yùn)行的相關(guān)信息，包括內(nèi)核模塊、進(jìn)程名稱(chēng)、注冊(cè)表中的相關(guān)信息等，山石云影能夠最大程度模擬真實(shí)的運(yùn)行環(huán)境，避免被惡意軟件檢測(cè)到自己運(yùn)行在沙箱環(huán)境中。對(duì)于惡意軟件的躲避措施，山石云影通過(guò)模擬人工操作、交互操作、接管API等措施，可以最大程度的觸發(fā)惡意軟件的各種動(dòng)作，確保檢測(cè)的精確性。

在檢測(cè)到惡意軟件和未知威脅后，山石云影會(huì)及時(shí)給出安全警報(bào)，這些警報(bào)會(huì)第一時(shí)間通過(guò)防火墻的管理界面在用戶(hù)端呈現(xiàn)。同時(shí)，山石云影可提供惡意文件的詳細(xì)行為報(bào)告，包括網(wǎng)絡(luò)行為、進(jìn)程行為、文件行為、文件關(guān)鍵信息等，并通過(guò)Kill Chain分析來(lái)還原攻擊過(guò)程，為安全管理員提供威脅處理建議。

發(fā)現(xiàn)未知威脅后，山石云影會(huì)將惡意文件信息更新到山石網(wǎng)科的云智能分析中心。云智能分析中心可以提取惡意文件的特征行為，包括惡意軟件特征碼、釣魚(yú)網(wǎng)站信息等，并實(shí)時(shí)更新山石網(wǎng)科防御設(shè)備如智能防火墻、入侵防御系統(tǒng)的威脅特征庫(kù)，使其具備最新的安全防御能力。