最近,笔者发现了一个密歇根大学的项目,它被称作反病毒云架构:基于N版本的杀毒软件。就像我们中的大多数人,密歇根大学的研究人员认识到传统的反病毒软件不能阻止病毒的传播。下面,就让我们来看看原因是什么。
基于本地计算机的反病毒工具
驻留在本地计算机上的典型杀毒软件由两部分组成,一个拦截工具和一个检测引擎。拦截工具采用签名文件、启发式和行为分析等方式来对目标进行检验。如果发现问题,拦截工具就会把相关信息发送到检测引擎中,在签名数据库中进行搜索以获得匹配信息。
在整个处理过程中,签名数据库属于薄弱环节。检测引擎是否可以获得匹配信息取决于数据库的更新情况。对于安全研究人员来说,最重要的就是怎样快速得获得数字签名文件并及时更新到数据库中。
在线反病毒扫描工具
在线反病毒扫描工具宣称比单机杀毒软件的效果更好。不过,它们也存在一些问题:
· 不能提供实时保护,只能进行按需扫描。
· 如果计算机从互联网上断开的话,就不能获得保护。
· 仍然在使用半静态的签名数据库,其准确性取决于上一次更新的情况。
反病毒云
在了解了单机和在线模式中存在的问题后,密歇根大学研究团队认识到建立一种新的模式是必须的。为什么不将反病毒应用作为一种服务(SaaS)呢?它会带来下面的好处:
改进的恶意软件检测机制:因为可以使用并行工作的多种检测引擎,这个模型提高了恶意软件被发现的可能性。
本地杀毒软件的漏洞不再成为问题:移动中的反病毒引擎云消除了恶意软件操纵客户端防病毒应用程序的能力。
签名定义实现了实时更新:来自客户端计算机的数据不断上载到检测引擎的数据库中,为可能遭遇同样恶意软件的其他计算机提供实时的答复。
降低了主机的资源耗费:将客户端中的恶意软件检测工具关闭,并迁移到云中,简化了客户端软件的配置,对于处理能力有限的(智能手机)设备来说,提高了反病毒保护的效果。
除了不同于传统的反病毒软件外,反病毒云也并不是基于云的反病毒扫描工具。不同于扫描工具,反病毒云通过检测引擎在客户端计算机和服务器之间建立了积极有效的持续保护模式。
这一理论听起来不错,但笔者不能对它进行实际测试。因为看起来反病毒云目前仅仅在密歇根大学校园内使用。
熊猫安全
去年,熊猫安全发布了适用于个人用户的熊猫反病毒云和适用于小到中型企业的熊猫安全保护云。熊猫安全的首席执行官总裁胡安·桑塔纳宣称:
“熊猫反病毒云和安全保护云的发布标志着我们在打击网络犯罪的道路上又前进了一步,我们相信未来的发展是美好的。熊猫提供的经过改进的新安全服务,是基于我们在云计算方面的大量研发成果,可以让我们的商业和家庭用户利用最少的投入获得最好的保护。”
表面上看,这两个程序都非常类似反病毒云。它们使用的是基于云的反病毒检测引擎和主机上的瘦客户端。在本文中,笔者想着重介绍反病毒云。
瘦客户端
在安装完成后,反病毒云的瘦客户端会立即在计算机上运行一次完整扫描,建立包含现有进程的完整列表。如果此时发现了可疑项目,瘦客户端会推迟熊猫安全数据库的迁移操作。
一旦建立安全目录,瘦客户端会利用以下的三种扫描模式来确保现有进程的安全,并对新项目进行检测:
· 基于连接的扫描:对于扫描对象来说,该模式具有最高的使用权限。文件被拦截下来,在运行前进行处理,如果发现存在恶意软件的话,就会进行消毒。
· 预存取扫描:结合本地和云扫描的模式,可以在系统短时不忙的时间对文件进行扫描。这种类型的扫描只应用在性能不受影响的地方。
· 背景扫描:优先级最低的运行扫描,只有当计算机处于空闲状态,不影响性能的时间才会进行。
下图显示的就是一次扫描的结果:
集群智慧
集群智慧是熊猫安全公司服务器提供防病毒检测引擎技术的专门术语。由于数据是利用瘦客户端上传的,集群智慧技术是用来进行数据分析和分类的。
如果一种新类型的恶意软件或现有病毒的变种被发现,该服务器将在每台客户端节点上建立和发送检测/删除的指令。为了让大家了解集群智慧的实质,熊猫安全在其网站上创建了一个实时的监控环境。
哪些信息正在被上传
关于这个问题,笔者询问了肖恩-保罗·科瑞尔,熊猫安全的一名安全研究员,在集群智慧中,什么样的信息会被上传。科瑞尔先生解释道,瘦客户端采用的是所谓的“反向签名”。用来判定恶意软件的小工具需要具备下面的特征:
· 基于云的启发模式
· 可以在操作系统中与可执行文件进行交互操作
· 防止系统的特征被修改
在将数据发送到集群智慧服务器上之前,需要进行哈希处理,以保证隐私和信息的真实有效性。
离线操作
笔者担心在离线后计算机是否还会拥有足够的保护。科瑞尔先生解释说:
“在没有连接到互联网的时间,计算机仍然受到全面的保护。反病毒云在本地缓存中保留了集群智慧的副本。”
因此,笔者进一步询问,在存在本地缓存副本的时间,瘦客户端进行集群智慧检测是否属于多余的设置。科瑞尔先生为笔者进行了澄清:
“我们每天获得的新恶意软件数字签名高达15万。因此,很多是保存在集群智慧服务器上,而让瘦客户端实时进行查询。到目前为止,将所有数据保存在每一个瘦客户端的本地缓存上几乎是不可能的事情。”
初步测试
不久以前,笔者在计算机世界上发表过一篇文章,对免费反病毒软件是否存在价值的问题进行了讨论。当时,熊猫安全的反病毒云也参与了测试,但在测试结果中并没有出现。计算机世界选择运行测试的AV-Test.org网站称,原因是:
“该程序(反病毒云)的设计和我们目前建立的主动积极保护测试工作模式不兼容,它需要我们使用两以及四星期时间的签名数据库来模拟反病毒工具的运行方式。”
在计算机世界稍后的一篇文章中,AV-Test.org提供了测试的结果:
“在AV-Test.org的50万样本测试中,该工具的表现非常出色,证明了此方法是有效的。熊猫的应用工具达到了令人印象深刻的99.4%的识别率。”
排名第二的是Avira AntiVir个人版,识别率为98.9%。
总 结
看起来似乎使用集群智慧技术可以让反病毒工具更好地处理恶意软件。我们希望这样的趋势会持续下去。
在这里,笔者要感谢贝特曼集团的艾米女士和熊猫安全的肖恩-保罗·科瑞尔先生在本文写作过程中给予的帮助。
【编辑推荐】
- 年度回顾:云火墙与云安全
- 安全主流发展之各大“云安全”技术详解
- 关于云安全定义的六种见解
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/143549.html<
