云技术时代，防病毒程序可以省省吗？

云技术时代，防病毒程序可以省省吗？

 

作者: Michael Kassner
翻译：endurer，2009-12-14第2版

 

　　我一直都在关注着密西根大学的一个名为“CloudAV Architecture: N-Version Anti-Virus（云技术防病毒程序架构：N-版本防病毒程序）”的项目。像我们大多数人一样，密西根大学的研究人员认为传统防病毒应用程序不是很奏效。让我们一起来探究一下原因。

基于电脑的防病毒程序

 

　　传统防病毒程序常驻在电脑中，由两个部分组成，一个拦截驱动程序和一个检测引擎。拦截驱动程序使用特征码文件、启发式和行为分析来检测对象。如果发现可疑的对象，驱动程序会将有关的信息发送到检测引擎，检测引擎随即在特征库中检索匹配的信息。

 

　　特征库是薄弱环节。检测引擎是否能找到匹配的信息依赖于建立最新特征数据库的方法。这取决于威胁研究人员如何快速产生特征码文件以及应用程序更新时间。

 

在线防病毒扫描程序

　　在线防病毒扫描程序被誉为常驻型防病毒软件的改进。但是，它们也存在几个问题：

 

没有实时保护，只有按需扫描。
电脑一旦断开与互联网的连接就失去保护。
仍然使用一个半静态特征数据库，精确度依赖于它最后一次升级的时间。

 

云技术防病毒程序

 

　　明白了传统方法和在线扫描程序的问题，密西根大学研究团队认为需要寻找一种新方法。为什么不把一个反病毒程序作成SaaS（软件即服务）那样的智能软件呢？从而获得下列好处：

　　●　恶意软件检测增强：这种模式增加了发现恶意软件的可能性，因为可以使用多检测引擎并行工作。

　　●　本地防病毒程序漏洞不成问题：把防病毒引擎转移到云端消除了恶意软件利用客户端防病毒程序的能力。

　　●　实时特征码定义：数据从客户端电脑实时上传到检测引擎的数据库，为其它可能遇到相同恶意软件的主机电脑提供实时应答。

　　●　主机设备小型化：关闭客户端恶意软件检测，转移到云端，简化了客户端软件，将防病毒保护扩大到具有一定处理能力的设备（如智能手机）。

　　除开与传统防病毒软件的不同外，云技术防病毒程序也不是基于云技术的防病毒扫描器。与那些扫描器不同，云技术防病毒程序在客户端电脑和云技术防病毒程序检测引擎所在的服务器之间创建一个活动的、持续的关联。

　　这种理论听起来不错，但我不能做测试，因为这种云技术防病毒程序似乎只在密西根大学校内使用。

 

Panda Security（熊猫安全）

 

　　上周，熊猫安全公司推出了熊猫云防病毒消费者版和熊猫云保护中小企业版。熊猫安全公司CEO胡安·桑塔纳提到：

　　“熊猫云保护软件和熊猫云防病毒软件的面世表明我们打击网络犯罪能力持续增强，而且我们对这个即将到来的行业充满信心。熊猫新推出的以及改进的安全服务，利用了我们在云计算上的广泛研发成果，用尽可能少的精力和投资让我们的企业和家庭用户受到保护。”

　　从表面上看，这两个程序类似云技术防病毒程序。他们使用基于云技术的防病毒检测引擎，并在客户机上使用瘦客户端。在本文中，我想着重于熊猫云防病毒软件。

瘦客户端

 

　　熊猫云防病毒软件安装完成后立即对电脑作一次完整扫描，创建一个现有进程的详细目录。如果发现可疑的对象，瘦客户端会遵循熊猫安全数据库的清除指令来处理。

　　详细目录创建好后，瘦客户端使用下列三种类型的扫描来维护精确的详细目录并检测新的对象：

 

　　按访问扫描（On-access scan）：具有最高优先适用权的扫描，会在对象执行前进行。如果发现对象有恶意，相关的文件会被拦截，阻止，并消毒。

　　预取扫描（Pre-fetch scan）：对当前闲置的文件做本地和云端的联合扫描，预计可在短期内执行。这种类型的扫描只出现在性能不受影响的地方。

　　后台扫描（Background Scan）：最低优先级的扫描，只有当计算机处于空闲状态时进行，这样不会影响性能。

 

 

下图显示了扫描的结果。

 

汇智（Collective Intelligence）

 

　　“汇智”，是熊猫安全公司为提供防病毒检测引擎的服务器定义的术语。当信息从瘦客户端上传后，会被汇智作技术分析和分类。

　　如果发现新恶意软件家族或现有家族的变种，服务器会创建一个检测/清除指令集并发送到每个客户节点。为了解汇智的工作情况，熊猫安全公司在他们的网站上创建了一个实时监视器。

上传的是什么信息？

 

　　我向熊猫安全公司的威胁研究员肖恩-保罗·科雷尔（Sean-Paul Correll）打听，上传到汇智的确切信息是什么。科雷尔先生解释说，瘦客户端创建了一个由识别恶意软件特征所需数据组成的小文件，他们称之为“回复特征码”，特别是：

 

云启发式记录
该可执行文件如何与与操作系统相互作用
替换系统的详细目录中的指纹

 

数据在发送到汇智前，会用散列（Hash）算法加密，从而确保隐私和信息的真实性。

 

离线操作

　　我担心电脑处于离线状态时是否能得到充分的保护。科雷尔先生解释说：

 

　　电脑在未连接到互联网的时候仍然受到保护。熊猫云防病毒程序会在本地为离线操作保存一个汇智缓存拷贝。

　　随后，我问他如果本机拥有了一个汇智的缓存拷贝，再让瘦客户端到汇智服务器检索是不是多余的？克瑞尔先生向我澄清：

　　“每天的新恶意软件特征码数量约为15万条。其中有很多可以由汇智服务器进行分析整理，供瘦客户端实时查询。但是，要让每一个瘦客户端的本地缓存总是保持为最新的，这几乎是不可能的。”

初步测试

　　不久前，我贴了一篇《计算机世界（ComputerWorld）》的文章，该文章试图确定免费防病毒软件是否值得使用。当时熊猫安全公司的云防病毒软件也参加了测试，但没有记录报道。由《计算机世界》选择负责测试的AV-Test.org公司披露的原因是：

　　“该程序（熊猫云防病毒软件）的设计也意味着它不适合用我们当前的积极主动保护测试方法，即使用2-4周内的特征数据库来进行模拟测试，进而判断防病毒工具的性能如何。”

　　在后来的《计算机世界》的文章中，AV-Test.org提供了这些结果：

　　“如果对AV-Test.org的约50万个恶意软件样本的优异检测表现可以看作该方法有效的证据，那么熊猫公司的这个应用程序产生了令人印象深刻的99.4％综合检测率。”

　　第二好成绩是Avira AntiVir个人版创造的98.9%。

 

最后总结

 

　　看来，汇智的应用将为与恶意软件作斗争的防病毒应用程序提供更好的工具。但愿如此。

　　我要感谢贝特曼集团（Bateman Group）的Amy Ziari女士和熊猫安全公司的威胁研究员肖恩-保罗·科雷尔为撰写这篇文章提供的帮助。

 

http://blogs.techrepublic.com.com/security/?p=2677&tag=content;col1