网络安全 频道

揭秘杀毒软件的救星:云安全解决方案

  【IT168 技术】最近,笔者发现了一个密歇根大学的项目,它被称作反病毒云架构:基于N版本的杀毒软件。就像我们中的大多数人,密歇根大学的研究人员认识到传统的反病毒软件不能阻止病毒的传播。下面,就让我们来看看原因是什么。

  基于本地计算机的反病毒工具

  驻留在本地计算机上的典型杀毒软件由两部分组成,一个拦截工具和一个检测引擎。拦截工具采用签名文件、启发式和行为分析等方式来对目标进行检验。如果发现问题,拦截工具就会把相关信息发送到检测引擎中,在签名数据库中进行搜索以获得匹配信息。

  在整个处理过程中,签名数据库属于薄弱环节。检测引擎是否可以获得匹配信息取决于数据库的更新情况。对于安全研究人员来说,最重要的就是怎样快速得获得数字签名文件并及时更新到数据库中。

  在线反病毒扫描工具

  在线反病毒扫描工具宣称比单机杀毒软件的效果更好。不过,它们也存在一些问题:

  · 不能提供实时保护,只能进行按需扫描。

  · 如果计算机从互联网上断开的话,就不能获得保护。

  · 仍然在使用半静态的签名数据库,其准确性取决于上一次更新的情况。

  反病毒云

  在了解了单机和在线模式中存在的问题后,密歇根大学研究团队认识到建立一种新的模式是必须的。为什么不将反病毒应用作为一种服务(SaaS)呢?它会带来下面的好处:

  · 改进的恶意软件检测机制:因为可以使用并行工作的多种检测引擎,这个模型提高了恶意软件被发现的可能性。

  · 本地杀毒软件的漏洞不再成为问题:移动中的反病毒引擎云消除了恶意软件操纵客户端防病毒应用程序的能力。

  · 签名定义实现了实时更新:来自客户端计算机的数据不断上载到检测引擎的数据库中,为可能遭遇同样恶意软件的其他计算机提供实时的答复。

  · 降低了主机的资源耗费:将客户端中的恶意软件检测工具关闭,并迁移到云中,简化了客户端软件的配置,对于处理能力有限的(智能手机)设备来说,提高了反病毒保护的效果。

  除了不同于传统的反病毒软件外,反病毒云也并不是基于云的反病毒扫描工具。不同于扫描工具,反病毒云通过检测引擎在客户端计算机和服务器之间建立了积极有效的持续保护模式。

  这一理论听起来不错,但笔者不能对它进行实际测试。因为看起来反病毒云目前仅仅在密歇根大学校园内使用。

  熊猫安全

  去年,熊猫安全发布了适用于个人用户的熊猫反病毒云和适用于小到中型企业的熊猫安全保护云。熊猫安全的首席执行官总裁胡安·桑塔纳宣称:

  “熊猫反病毒云和安全保护云的发布标志着我们在打击网络犯罪的道路上又前进了一步,我们相信未来的发展是美好的。熊猫提供的经过改进的新安全服务,是基于我们在云计算方面的大量研发成果,可以让我们的商业和家庭用户利用最少的投入获得最好的保护。”

  表面上看,这两个程序都非常类似反病毒云。它们使用的是基于云的反病毒检测引擎和主机上的瘦客户端。在本文中,笔者想着重介绍反病毒云。

  瘦客户端

  在安装完成后,反病毒云的瘦客户端会立即在计算机上运行一次完整扫描,建立包含现有进程的完整列表。如果此时发现了可疑项目,瘦客户端会推迟熊猫安全数据库的迁移操作。

  一旦建立安全目录,瘦客户端会利用以下的三种扫描模式来确保现有进程的安全,并对新项目进行检测:

  · 基于连接的扫描:对于扫描对象来说,该模式具有最高的使用权限。文件被拦截下来,在运行前进行处理,如果发现存在恶意软件的话,就会进行消毒。

  · 预存取扫描:结合本地和云扫描的模式,可以在系统短时不忙的时间对文件进行扫描。这种类型的扫描只应用在性能不受影响的地方。

  · 背景扫描:优先级最低的运行扫描,只有当计算机处于空闲状态,不影响性能的时间才会进行。

  下图显示的就是一次扫描的结果:

  集群智慧

  集群智慧是熊猫安全公司服务器提供防病毒检测引擎技术的专门术语。由于数据是利用瘦客户端上传的,集群智慧技术是用来进行数据分析和分类的。

  如果一种新类型的恶意软件或现有病毒的变种被发现,该服务器将在每台客户端节点上建立和发送检测/删除的指令。为了让大家了解集群智慧的实质,熊猫安全在其网站上创建了一个实时的监控环境。

  哪些信息正在被上传

  关于这个问题,笔者询问了肖恩-保罗·科瑞尔,熊猫安全的一名安全研究员,在集群智慧中,什么样的信息会被上传。科瑞尔先生解释道,瘦客户端采用的是所谓的“反向签名”。用来判定恶意软件的小工具需要具备下面的特征:

  · 基于云的启发模式

  · 可以在操作系统中与可执行文件进行交互操作

  · 防止系统的特征被修改

  在将数据发送到集群智慧服务器上之前,需要进行哈希处理,以保证隐私和信息的真实有效性。

0
相关文章