揭秘殺毒軟件的救星:云安全解決方案
最近,筆者發(fā)現(xiàn)了一個密歇根大學(xué)的項目,它被稱作反病毒云架構(gòu):基于N版本的殺毒軟件。就像我們中的大多數(shù)人,密歇根大學(xué)的研究人員認(rèn)識到傳統(tǒng)的反病毒軟件不能阻止病毒的傳播。下面,就讓我們來看看原因是什么。
基于本地計算機(jī)的反病毒工具
駐留在本地計算機(jī)上的典型殺毒軟件由兩部分組成,一個攔截工具和一個檢測引擎。攔截工具采用簽名文件、啟發(fā)式和行為分析等方式來對目標(biāo)進(jìn)行檢驗。如果發(fā)現(xiàn)問題,攔截工具就會把相關(guān)信息發(fā)送到檢測引擎中,在簽名數(shù)據(jù)庫中進(jìn)行搜索以獲得匹配信息。
在整個處理過程中,簽名數(shù)據(jù)庫屬于薄弱環(huán)節(jié)。檢測引擎是否可以獲得匹配信息取決于數(shù)據(jù)庫的更新情況。對于安全研究人員來說,最重要的就是怎樣快速得獲得數(shù)字簽名文件并及時更新到數(shù)據(jù)庫中。
在線反病毒掃描工具
在線反病毒掃描工具宣稱比單機(jī)殺毒軟件的效果更好。不過,它們也存在一些問題:
· 不能提供實時保護(hù),只能進(jìn)行按需掃描。
· 如果計算機(jī)從互聯(lián)網(wǎng)上斷開的話,就不能獲得保護(hù)。
· 仍然在使用半靜態(tài)的簽名數(shù)據(jù)庫,其準(zhǔn)確性取決于上一次更新的情況。
反病毒云
在了解了單機(jī)和在線模式中存在的問題后,密歇根大學(xué)研究團(tuán)隊認(rèn)識到建立一種新的模式是必須的。為什么不將反病毒應(yīng)用作為一種服務(wù)(SaaS)呢?它會帶來下面的好處:
改進(jìn)的惡意軟件檢測機(jī)制:因為可以使用并行工作的多種檢測引擎,這個模型提高了惡意軟件被發(fā)現(xiàn)的可能性。
本地殺毒軟件的漏洞不再成為問題:移動中的反病毒引擎云消除了惡意軟件操縱客戶端防病毒應(yīng)用程序的能力。
簽名定義實現(xiàn)了實時更新:來自客戶端計算機(jī)的數(shù)據(jù)不斷上載到檢測引擎的數(shù)據(jù)庫中,為可能遭遇同樣惡意軟件的其他計算機(jī)提供實時的答復(fù)。
降低了主機(jī)的資源耗費:將客戶端中的惡意軟件檢測工具關(guān)閉,并遷移到云中,簡化了客戶端軟件的配置,對于處理能力有限的(智能手機(jī))設(shè)備來說,提高了反病毒保護(hù)的效果。
除了不同于傳統(tǒng)的反病毒軟件外,反病毒云也并不是基于云的反病毒掃描工具。不同于掃描工具,反病毒云通過檢測引擎在客戶端計算機(jī)和服務(wù)器之間建立了積極有效的持續(xù)保護(hù)模式。
這一理論聽起來不錯,但筆者不能對它進(jìn)行實際測試。因為看起來反病毒云目前僅僅在密歇根大學(xué)校園內(nèi)使用。
熊貓安全
去年,熊貓安全發(fā)布了適用于個人用戶的熊貓反病毒云和適用于小到中型企業(yè)的熊貓安全保護(hù)云。熊貓安全的首席執(zhí)行官總裁胡安·桑塔納宣稱:
“熊貓反病毒云和安全保護(hù)云的發(fā)布標(biāo)志著我們在打擊網(wǎng)絡(luò)犯罪的道路上又前進(jìn)了一步,我們相信未來的發(fā)展是美好的。熊貓?zhí)峁┑慕?jīng)過改進(jìn)的新安全服務(wù),是基于我們在云計算方面的大量研發(fā)成果,可以讓我們的商業(yè)和家庭用戶利用最少的投入獲得最好的保護(hù)。”
表面上看,這兩個程序都非常類似反病毒云。它們使用的是基于云的反病毒檢測引擎和主機(jī)上的瘦客戶端。在本文中,筆者想著重介紹反病毒云。
瘦客戶端
在安裝完成后,反病毒云的瘦客戶端會立即在計算機(jī)上運行一次完整掃描,建立包含現(xiàn)有進(jìn)程的完整列表。如果此時發(fā)現(xiàn)了可疑項目,瘦客戶端會推遲熊貓安全數(shù)據(jù)庫的遷移操作。
一旦建立安全目錄,瘦客戶端會利用以下的三種掃描模式來確保現(xiàn)有進(jìn)程的安全,并對新項目進(jìn)行檢測:
· 基于連接的掃描:對于掃描對象來說,該模式具有最高的使用權(quán)限。文件被攔截下來,在運行前進(jìn)行處理,如果發(fā)現(xiàn)存在惡意軟件的話,就會進(jìn)行消毒。
· 預(yù)存取掃描:結(jié)合本地和云掃描的模式,可以在系統(tǒng)短時不忙的時間對文件進(jìn)行掃描。這種類型的掃描只應(yīng)用在性能不受影響的地方。
· 背景掃描:優(yōu)先級最低的運行掃描,只有當(dāng)計算機(jī)處于空閑狀態(tài),不影響性能的時間才會進(jìn)行。
下圖顯示的就是一次掃描的結(jié)果:
集群智慧
集群智慧是熊貓安全公司服務(wù)器提供防病毒檢測引擎技術(shù)的專門術(shù)語。由于數(shù)據(jù)是利用瘦客戶端上傳的,集群智慧技術(shù)是用來進(jìn)行數(shù)據(jù)分析和分類的。
如果一種新類型的惡意軟件或現(xiàn)有病毒的變種被發(fā)現(xiàn),該服務(wù)器將在每臺客戶端節(jié)點上建立和發(fā)送檢測/刪除的指令。為了讓大家了解集群智慧的實質(zhì),熊貓安全在其網(wǎng)站上創(chuàng)建了一個實時的監(jiān)控環(huán)境。
哪些信息正在被上傳
關(guān)于這個問題,筆者詢問了肖恩-保羅·科瑞爾,熊貓安全的一名安全研究員,在集群智慧中,什么樣的信息會被上傳。科瑞爾先生解釋道,瘦客戶端采用的是所謂的“反向簽名”。用來判定惡意軟件的小工具需要具備下面的特征:
· 基于云的啟發(fā)模式
· 可以在操作系統(tǒng)中與可執(zhí)行文件進(jìn)行交互操作
· 防止系統(tǒng)的特征被修改
在將數(shù)據(jù)發(fā)送到集群智慧服務(wù)器上之前,需要進(jìn)行哈希處理,以保證隱私和信息的真實有效性。
離線操作
筆者擔(dān)心在離線后計算機(jī)是否還會擁有足夠的保護(hù)。科瑞爾先生解釋說:
“在沒有連接到互聯(lián)網(wǎng)的時間,計算機(jī)仍然受到全面的保護(hù)。反病毒云在本地緩存中保留了集群智慧的副本。”
因此,筆者進(jìn)一步詢問,在存在本地緩存副本的時間,瘦客戶端進(jìn)行集群智慧檢測是否屬于多余的設(shè)置。科瑞爾先生為筆者進(jìn)行了澄清:
“我們每天獲得的新惡意軟件數(shù)字簽名高達(dá)15萬。因此,很多是保存在集群智慧服務(wù)器上,而讓瘦客戶端實時進(jìn)行查詢。到目前為止,將所有數(shù)據(jù)保存在每一個瘦客戶端的本地緩存上幾乎是不可能的事情。”
初步測試
不久以前,筆者在計算機(jī)世界上發(fā)表過一篇文章,對免費反病毒軟件是否存在價值的問題進(jìn)行了討論。當(dāng)時,熊貓安全的反病毒云也參與了測試,但在測試結(jié)果中并沒有出現(xiàn)。計算機(jī)世界選擇運行測試的AV-Test.org網(wǎng)站稱,原因是:
“該程序(反病毒云)的設(shè)計和我們目前建立的主動積極保護(hù)測試工作模式不兼容,它需要我們使用兩以及四星期時間的簽名數(shù)據(jù)庫來模擬反病毒工具的運行方式。”
在計算機(jī)世界稍后的一篇文章中,AV-Test.org提供了測試的結(jié)果:
“在AV-Test.org的50萬樣本測試中,該工具的表現(xiàn)非常出色,證明了此方法是有效的。熊貓的應(yīng)用工具達(dá)到了令人印象深刻的99.4%的識別率。”
排名第二的是Avira AntiVir個人版,識別率為98.9%。
總 結(jié)
看起來似乎使用集群智慧技術(shù)可以讓反病毒工具更好地處理惡意軟件。我們希望這樣的趨勢會持續(xù)下去。
在這里,筆者要感謝貝特曼集團(tuán)的艾米女士和熊貓安全的肖恩-保羅·科瑞爾先生在本文寫作過程中給予的幫助。
【編輯推薦】
