最近，筆者發(fā)現(xiàn)了一個(gè)密歇根大學(xué)的項(xiàng)目，它被稱作反病毒云架構(gòu)：基于N版本的殺毒軟件。就像我們中的大多數(shù)人，密歇根大學(xué)的研究人員認(rèn)識(shí)到傳統(tǒng)的反病毒軟件不能阻止病毒的傳播。下面，就讓我們來(lái)看看原因是什么。

基于本地計(jì)算機(jī)的反病毒工具

駐留在本地計(jì)算機(jī)上的典型殺毒軟件由兩部分組成，一個(gè)攔截工具和一個(gè)檢測(cè)引擎。攔截工具采用簽名文件、啟發(fā)式和行為分析等方式來(lái)對(duì)目標(biāo)進(jìn)行檢驗(yàn)。如果發(fā)現(xiàn)問(wèn)題，攔截工具就會(huì)把相關(guān)信息發(fā)送到檢測(cè)引擎中，在簽名數(shù)據(jù)庫(kù)中進(jìn)行搜索以獲得匹配信息。

在整個(gè)處理過(guò)程中，簽名數(shù)據(jù)庫(kù)屬于薄弱環(huán)節(jié)。檢測(cè)引擎是否可以獲得匹配信息取決于數(shù)據(jù)庫(kù)的更新情況。對(duì)于安全研究人員來(lái)說(shuō)，最重要的就是怎樣快速得獲得數(shù)字簽名文件并及時(shí)更新到數(shù)據(jù)庫(kù)中。

在線反病毒掃描工具

在線反病毒掃描工具宣稱比單機(jī)殺毒軟件的效果更好。不過(guò)，它們也存在一些問(wèn)題：

· 不能提供實(shí)時(shí)保護(hù)，只能進(jìn)行按需掃描。

· 如果計(jì)算機(jī)從互聯(lián)網(wǎng)上斷開(kāi)的話，就不能獲得保護(hù)。

· 仍然在使用半靜態(tài)的簽名數(shù)據(jù)庫(kù)，其準(zhǔn)確性取決于上一次更新的情況。

反病毒云

在了解了單機(jī)和在線模式中存在的問(wèn)題后，密歇根大學(xué)研究團(tuán)隊(duì)認(rèn)識(shí)到建立一種新的模式是必須的。為什么不將反病毒應(yīng)用作為一種服務(wù)(SaaS)呢?它會(huì)帶來(lái)下面的好處：

改進(jìn)的惡意軟件檢測(cè)機(jī)制：因?yàn)榭梢允褂貌⑿泄ぷ鞯亩喾N檢測(cè)引擎，這個(gè)模型提高了惡意軟件被發(fā)現(xiàn)的可能性。

本地殺毒軟件的漏洞不再成為問(wèn)題：移動(dòng)中的反病毒引擎云消除了惡意軟件操縱客戶端防病毒應(yīng)用程序的能力。

簽名定義實(shí)現(xiàn)了實(shí)時(shí)更新：來(lái)自客戶端計(jì)算機(jī)的數(shù)據(jù)不斷上載到檢測(cè)引擎的數(shù)據(jù)庫(kù)中，為可能遭遇同樣惡意軟件的其他計(jì)算機(jī)提供實(shí)時(shí)的答復(fù)。

降低了主機(jī)的資源耗費(fèi)：將客戶端中的惡意軟件檢測(cè)工具關(guān)閉，并遷移到云中，簡(jiǎn)化了客戶端軟件的配置，對(duì)于處理能力有限的(智能手機(jī))設(shè)備來(lái)說(shuō)，提高了反病毒保護(hù)的效果。

除了不同于傳統(tǒng)的反病毒軟件外，反病毒云也并不是基于云的反病毒掃描工具。不同于掃描工具，反病毒云通過(guò)檢測(cè)引擎在客戶端計(jì)算機(jī)和服務(wù)器之間建立了積極有效的持續(xù)保護(hù)模式。

這一理論聽(tīng)起來(lái)不錯(cuò)，但筆者不能對(duì)它進(jìn)行實(shí)際測(cè)試。因?yàn)榭雌饋?lái)反病毒云目前僅僅在密歇根大學(xué)校園內(nèi)使用。

熊貓安全

去年，熊貓安全發(fā)布了適用于個(gè)人用戶的熊貓反病毒云和適用于小到中型企業(yè)的熊貓安全保護(hù)云。熊貓安全的首席執(zhí)行官總裁胡安·桑塔納宣稱：

“熊貓反病毒云和安全保護(hù)云的發(fā)布標(biāo)志著我們?cè)诖驌艟W(wǎng)絡(luò)犯罪的道路上又前進(jìn)了一步，我們相信未來(lái)的發(fā)展是美好的。熊貓?zhí)峁┑慕?jīng)過(guò)改進(jìn)的新安全服務(wù)，是基于我們?cè)谠朴?jì)算方面的大量研發(fā)成果，可以讓我們的商業(yè)和家庭用戶利用最少的投入獲得最好的保護(hù)。”

表面上看，這兩個(gè)程序都非常類似反病毒云。它們使用的是基于云的反病毒檢測(cè)引擎和主機(jī)上的瘦客戶端。在本文中，筆者想著重介紹反病毒云。

瘦客戶端

在安裝完成后，反病毒云的瘦客戶端會(huì)立即在計(jì)算機(jī)上運(yùn)行一次完整掃描，建立包含現(xiàn)有進(jìn)程的完整列表。如果此時(shí)發(fā)現(xiàn)了可疑項(xiàng)目，瘦客戶端會(huì)推遲熊貓安全數(shù)據(jù)庫(kù)的遷移操作。

一旦建立安全目錄，瘦客戶端會(huì)利用以下的三種掃描模式來(lái)確?，F(xiàn)有進(jìn)程的安全，并對(duì)新項(xiàng)目進(jìn)行檢測(cè)：

· 基于連接的掃描：對(duì)于掃描對(duì)象來(lái)說(shuō)，該模式具有最高的使用權(quán)限。文件被攔截下來(lái)，在運(yùn)行前進(jìn)行處理，如果發(fā)現(xiàn)存在惡意軟件的話，就會(huì)進(jìn)行消毒。

· 預(yù)存取掃描：結(jié)合本地和云掃描的模式，可以在系統(tǒng)短時(shí)不忙的時(shí)間對(duì)文件進(jìn)行掃描。這種類型的掃描只應(yīng)用在性能不受影響的地方。

· 背景掃描：優(yōu)先級(jí)最低的運(yùn)行掃描，只有當(dāng)計(jì)算機(jī)處于空閑狀態(tài)，不影響性能的時(shí)間才會(huì)進(jìn)行。

下圖顯示的就是一次掃描的結(jié)果：

集群智慧

集群智慧是熊貓安全公司服務(wù)器提供防病毒檢測(cè)引擎技術(shù)的專門術(shù)語(yǔ)。由于數(shù)據(jù)是利用瘦客戶端上傳的，集群智慧技術(shù)是用來(lái)進(jìn)行數(shù)據(jù)分析和分類的。

如果一種新類型的惡意軟件或現(xiàn)有病毒的變種被發(fā)現(xiàn)，該服務(wù)器將在每臺(tái)客戶端節(jié)點(diǎn)上建立和發(fā)送檢測(cè)/刪除的指令。為了讓大家了解集群智慧的實(shí)質(zhì)，熊貓安全在其網(wǎng)站上創(chuàng)建了一個(gè)實(shí)時(shí)的監(jiān)控環(huán)境。

哪些信息正在被上傳

關(guān)于這個(gè)問(wèn)題，筆者詢問(wèn)了肖恩-保羅·科瑞爾，熊貓安全的一名安全研究員，在集群智慧中，什么樣的信息會(huì)被上傳?？迫馉栂壬忉尩溃菘蛻舳瞬捎玫氖撬^的“反向簽名”。用來(lái)判定惡意軟件的小工具需要具備下面的特征：

· 基于云的啟發(fā)模式

· 可以在操作系統(tǒng)中與可執(zhí)行文件進(jìn)行交互操作

· 防止系統(tǒng)的特征被修改

在將數(shù)據(jù)發(fā)送到集群智慧服務(wù)器上之前，需要進(jìn)行哈希處理，以保證隱私和信息的真實(shí)有效性。

離線操作

筆者擔(dān)心在離線后計(jì)算機(jī)是否還會(huì)擁有足夠的保護(hù)?？迫馉栂壬忉屨f(shuō)：

“在沒(méi)有連接到互聯(lián)網(wǎng)的時(shí)間，計(jì)算機(jī)仍然受到全面的保護(hù)。反病毒云在本地緩存中保留了集群智慧的副本?！?/P>

因此，筆者進(jìn)一步詢問(wèn)，在存在本地緩存副本的時(shí)間，瘦客戶端進(jìn)行集群智慧檢測(cè)是否屬于多余的設(shè)置?？迫馉栂壬鸀楣P者進(jìn)行了澄清：

“我們每天獲得的新惡意軟件數(shù)字簽名高達(dá)15萬(wàn)。因此，很多是保存在集群智慧服務(wù)器上，而讓瘦客戶端實(shí)時(shí)進(jìn)行查詢。到目前為止，將所有數(shù)據(jù)保存在每一個(gè)瘦客戶端的本地緩存上幾乎是不可能的事情?！?/P>

初步測(cè)試

不久以前，筆者在計(jì)算機(jī)世界上發(fā)表過(guò)一篇文章，對(duì)免費(fèi)反病毒軟件是否存在價(jià)值的問(wèn)題進(jìn)行了討論。當(dāng)時(shí)，熊貓安全的反病毒云也參與了測(cè)試，但在測(cè)試結(jié)果中并沒(méi)有出現(xiàn)。計(jì)算機(jī)世界選擇運(yùn)行測(cè)試的AV-Test.org網(wǎng)站稱，原因是：

“該程序(反病毒云)的設(shè)計(jì)和我們目前建立的主動(dòng)積極保護(hù)測(cè)試工作模式不兼容，它需要我們使用兩以及四星期時(shí)間的簽名數(shù)據(jù)庫(kù)來(lái)模擬反病毒工具的運(yùn)行方式?！?/P>

在計(jì)算機(jī)世界稍后的一篇文章中，AV-Test.org提供了測(cè)試的結(jié)果：

“在AV-Test.org的50萬(wàn)樣本測(cè)試中，該工具的表現(xiàn)非常出色，證明了此方法是有效的。熊貓的應(yīng)用工具達(dá)到了令人印象深刻的99.4%的識(shí)別率?！?/P>

排名第二的是Avira　AntiVir個(gè)人版，識(shí)別率為98.9%。

總 結(jié)

看起來(lái)似乎使用集群智慧技術(shù)可以讓反病毒工具更好地處理惡意軟件。我們希望這樣的趨勢(shì)會(huì)持續(xù)下去。

在這里，筆者要感謝貝特曼集團(tuán)的艾米女士和熊貓安全的肖恩-保羅·科瑞爾先生在本文寫作過(guò)程中給予的幫助。
 

【編輯推薦】

1. 年度回顧：云火墻與云安全
2. 安全主流發(fā)展之各大“云安全”技術(shù)詳解
3. 關(guān)于云安全定義的六種見(jiàn)解