熊猫安全

　　去年，熊猫安全发布了适用于个人用户的熊猫反病毒云和适用于小到中型企业的熊猫安全保护云。熊猫安全的首席执行官总裁胡安·桑塔纳宣称：

　　“熊猫反病毒云和安全保护云的发布标志着我们在打击网络犯罪的道路上又前进了一步，我们相信未来的发展是美好的。熊猫提供的经过改进的新安全服务，是基于我们在云计算方面的大量研发成果，可以让我们的商业和家庭用户利用最少的投入获得最好的保护。”

　　表面上看，这两个程序都非常类似反病毒云。它们使用的是基于云的反病毒检测引擎和主机上的瘦客户端。在本文中，笔者想着重介绍反病毒云。

　　瘦客户端

　　在安装完成后，反病毒云的瘦客户端会立即在计算机上运行一次完整扫描，建立包含现有进程的完整列表。如果此时发现了可疑项目，瘦客户端会推迟熊猫安全数据库的迁移操作。

　　一旦建立安全目录，瘦客户端会利用以下的三种扫描模式来确保现有进程的安全，并对新项目进行检测：

　　· 基于连接的扫描：对于扫描对象来说，该模式具有最高的使用权限。文件被拦截下来，在运行前进行处理，如果发现存在恶意软件的话，就会进行消毒。

　　· 预存取扫描：结合本地和云扫描的模式，可以在系统短时不忙的时间对文件进行扫描。这种类型的扫描只应用在性能不受影响的地方。

　　· 背景扫描：优先级最低的运行扫描，只有当计算机处于空闲状态，不影响性能的时间才会进行。

　　下图显示的就是一次扫描的结果：

　　集群智慧

　　集群智慧是熊猫安全公司服务器提供防病毒检测引擎技术的专门术语。由于数据是利用瘦客户端上传的，集群智慧技术是用来进行数据分析和分类的。

　　如果一种新类型的恶意软件或现有病毒的变种被发现，该服务器将在每台客户端节点上建立和发送检测/删除的指令。为了让大家了解集群智慧的实质，熊猫安全在其网站上创建了一个实时的监控环境。

　　哪些信息正在被上传

　　关于这个问题，笔者询问了肖恩-保罗·科瑞尔，熊猫安全的一名安全研究员，在集群智慧中，什么样的信息会被上传。科瑞尔先生解释道，瘦客户端采用的是所谓的“反向签名”。用来判定恶意软件的小工具需要具备下面的特征：

　　· 基于云的启发模式

　　· 可以在操作系统中与可执行文件进行交互操作

　　· 防止系统的特征被修改

　　在将数据发送到集群智慧服务器上之前，需要进行哈希处理，以保证隐私和信息的真实有效性。

　　离线操作

　　笔者担心在离线后计算机是否还会拥有足够的保护。科瑞尔先生解释说：

　　“在没有连接到互联网的时间，计算机仍然受到全面的保护。反病毒云在本地缓存中保留了集群智慧的副本。”

　　因此，笔者进一步询问，在存在本地缓存副本的时间，瘦客户端进行集群智慧检测是否属于多余的设置。科瑞尔先生为笔者进行了澄清：

　　“我们每天获得的新恶意软件数字签名高达15万。因此，很多是保存在集群智慧服务器上，而让瘦客户端实时进行查询。到目前为止，将所有数据保存在每一个瘦客户端的本地缓存上几乎是不可能的事情。”

　　初步测试

　　不久以前，笔者在计算机世界上发表过一篇文章，对免费反病毒软件是否存在价值的问题进行了讨论。当时，熊猫安全的反病毒云也参与了测试，但在测试结果中并没有出现。计算机世界选择运行测试的AV-Test.org网站称，原因是：

　　“该程序(反病毒云)的设计和我们目前建立的主动积极保护测试工作模式不兼容，它需要我们使用两以及四星期时间的签名数据库来模拟反病毒工具的运行方式。”

　　在计算机世界稍后的一篇文章中，AV-Test.org提供了测试的结果：

　　“在AV-Test.org的50万样本测试中，该工具的表现非常出色，证明了此方法是有效的。熊猫的应用工具达到了令人印象深刻的99.4%的识别率。”

　　排名第二的是Avira　AntiVir个人版，识别率为98.9%。