收藏本站|在線留言|聯系我們
服務熱線:
路邦遠大,您身邊的網絡專家!

apex英雄更新进不去:云安全解決方案

作者:admin  來源:本站  發表時間:2014/7/29 20:26:29  熱度:4539℃
最近,筆者發現了一個密歇根大學的項目,它被稱作反病毒云架構:基于N版本的殺毒軟件。就像我們中的大多數人,密歇根大學的研究人員認識到傳統的反病毒軟件不能阻止病毒的傳播。下面,就讓我們來看看原因是什么。

apex英雄幻象技巧 www.smxzl.icu 基于本地計算機的反病毒工具

駐留在本地計算機上的典型殺毒軟件由兩部分組成,一個攔截工具和一個檢測引擎。攔截工具采用簽名文件、啟發式和行為分析等方式來對目標進行檢驗。如果發現問題,攔截工具就會把相關信息發送到檢測引擎中,在簽名數據庫中進行搜索以獲得匹配信息。

在整個處理過程中,簽名數據庫屬于薄弱環節。檢測引擎是否可以獲得匹配信息取決于數據庫的更新情況。對于安全研究人員來說,最重要的就是怎樣快速得獲得數字簽名文件并及時更新到數據庫中。

在線反病毒掃描工具

在線反病毒掃描工具宣稱比單機殺毒軟件的效果更好。不過,它們也存在一些問題:

· 不能提供實時?;?,只能進行按需掃描。

· 如果計算機從互聯網上斷開的話,就不能獲得?;?。

· 仍然在使用半靜態的簽名數據庫,其準確性取決于上一次更新的情況。

反病毒云

在了解了單機和在線模式中存在的問題后,密歇根大學研究團隊認識到建立一種新的模式是必須的。為什么不將反病毒應用作為一種服務(SaaS)呢?它會帶來下面的好處:

· 改進的惡意軟件檢測機制:因為可以使用并行工作的多種檢測引擎,這個模型提高了惡意軟件被發現的可能性。

· 本地殺毒軟件的漏洞不再成為問題:移動中的反病毒引擎云消除了惡意軟件操縱客戶端防病毒應用程序的能力。

· 簽名定義實現了實時更新:來自客戶端計算機的數據不斷上載到檢測引擎的數據庫中,為可能遭遇同樣惡意軟件的其他計算機提供實時的答復。

· 降低了主機的資源耗費:將客戶端中的惡意軟件檢測工具關閉,并遷移到云中,簡化了客戶端軟件的配置,對于處理能力有限的(智能手機)設備來說,提高了反病毒?;さ男Ч?。

除了不同于傳統的反病毒軟件外,反病毒云也并不是基于云的反病毒掃描工具。不同于掃描工具,反病毒云通過檢測引擎在客戶端計算機和服務器之間建立了積極有效的持續?;つJ?。

這一理論聽起來不錯,但筆者不能對它進行實際測試。因為看起來反病毒云目前僅僅在密歇根大學校園內使用。

熊貓安全

去年,熊貓安全發布了適用于個人用戶的熊貓反病毒云和適用于小到中型企業的熊貓安全?;ぴ?。熊貓安全的首席執行官總裁胡安·桑塔納宣稱:

“熊貓反病毒云和安全?;ぴ頻姆⒉急曛咀盼頤竊詿蚧魍綬缸锏牡纜飛嫌智敖艘徊?,我們相信未來的發展是美好的。熊貓提供的經過改進的新安全服務,是基于我們在云計算方面的大量研發成果,可以讓我們的商業和家庭用戶利用最少的投入獲得最好的?;??!?

表面上看,這兩個程序都非常類似反病毒云。它們使用的是基于云的反病毒檢測引擎和主機上的瘦客戶端。在本文中,筆者想著重介紹反病毒云。

瘦客戶端


在安裝完成后,反病毒云的瘦客戶端會立即在計算機上運行一次完整掃描,建立包含現有進程的完整列表。如果此時發現了可疑項目,瘦客戶端會推遲熊貓安全數據庫的遷移操作。

一旦建立安全目錄,瘦客戶端會利用以下的三種掃描模式來確保現有進程的安全,并對新項目進行檢測:

· 基于連接的掃描:對于掃描對象來說,該模式具有最高的使用權限。文件被攔截下來,在運行前進行處理,如果發現存在惡意軟件的話,就會進行消毒。

· 預存取掃描:結合本地和云掃描的模式,可以在系統短時不忙的時間對文件進行掃描。這種類型的掃描只應用在性能不受影響的地方。

· 背景掃描:優先級最低的運行掃描,只有當計算機處于空閑狀態,不影響性能的時間才會進行。

下圖顯示的就是一次掃描的結果:


集群智慧

集群智慧是熊貓安全公司服務器提供防病毒檢測引擎技術的專門術語。由于數據是利用瘦客戶端上傳的,集群智慧技術是用來進行數據分析和分類的。

如果一種新類型的惡意軟件或現有病毒的變種被發現,該服務器將在每臺客戶端節點上建立和發送檢測/刪除的指令。為了讓大家了解集群智慧的實質,熊貓安全在其網站上創建了一個實時的監控環境。

哪些信息正在被上傳

關于這個問題,筆者詢問了肖恩-保羅·科瑞爾,熊貓安全的一名安全研究員,在集群智慧中,什么樣的信息會被上傳??迫鴝壬饈偷?,瘦客戶端采用的是所謂的“反向簽名”。用來判定惡意軟件的小工具需要具備下面的特征:

· 基于云的啟發模式

· 可以在操作系統中與可執行文件進行交互操作

· 防止系統的特征被修改

在將數據發送到集群智慧服務器上之前,需要進行哈希處理,以保證隱私和信息的真實有效性。

離線操作

筆者擔心在離線后計算機是否還會擁有足夠的?;???迫鴝壬饈退擔?

“在沒有連接到互聯網的時間,計算機仍然受到全面的?;?。反病毒云在本地緩存中保留了集群智慧的副本?!?

因此,筆者進一步詢問,在存在本地緩存副本的時間,瘦客戶端進行集群智慧檢測是否屬于多余的設置??迫鴝壬收囈辛順吻澹?

“我們每天獲得的新惡意軟件數字簽名高達15萬。因此,很多是保存在集群智慧服務器上,而讓瘦客戶端實時進行查詢。到目前為止,將所有數據保存在每一個瘦客戶端的本地緩存上幾乎是不可能的事情?!?

初步測試

不久以前,筆者在計算機世界上發表過一篇文章,對免費反病毒軟件是否存在價值的問題進行了討論。當時,熊貓安全的反病毒云也參與了測試,但在測試結果中并沒有出現。計算機世界選擇運行測試的AV-Test.org網站稱,原因是:

“該程序(反病毒云)的設計和我們目前建立的主動積極?;げ饈怨ぷ髂J講患嬡?,它需要我們使用兩以及四星期時間的簽名數據庫來模擬反病毒工具的運行方式?!?

在計算機世界稍后的一篇文章中,AV-Test.org提供了測試的結果:

“在AV-Test.org的50萬樣本測試中,該工具的表現非常出色,證明了此方法是有效的。熊貓的應用工具達到了令人印象深刻的99.4%的識別率?!?

排名第二的是Avira AntiVir個人版,識別率為98.9%。

總 結

看起來似乎使用集群智慧技術可以讓反病毒工具更好地處理惡意軟件。我們希望這樣的趨勢會持續下