Ловушка в "облаках"
Ловушка в




Для борьбы с вредоносными программами предлагается использовать сервисы, основанные на идеях cloud computing

14:45 19.08.2008   |  Джереми Кирк |

Рубрика Технологии |   365 прочтений



 

Сетевой сервис, улавливающий больше, чем отдельная антивирусная программа, может стать новым оружием борьбы с вредоносными программами, распространяемыми по Internet.

Исследователи из Мичиганского университета, разработавшие сервис CloudAV, утверждают, что антивирусные программы не в состоянии обнаружить значительную часть вредоносных программ. К тому же, с того момента, когда возникает угроза, и до появления обновления антивирусной программы, способного обнаружить эту угрозу, проходит определенное время.

Опора на идеи cloud computing позволила объединить в сервисе CloudAV целый спектр защитных инструментов

Эксперты по безопасности предупреждают, что необходимо использовать антивирусные продукты, но эффективность программ неуклонно снижается на фоне постоянного увеличения количества опасного кода.

Метод, предложенный учеными, опирается на концепцию "вычислений в облаке" (cloud computing), в соответствии с которой задача выполняется на удаленных серверах, а результаты передаются обратно на ПК или мобильное устройство. Подобный подход позволяет объединить в одном сервисе целый спектр защитных инструментов.

CloudAV использует принцип "напряжения сил", объединяя в одном сервисе десять различных антивирусных механизмов и два инструмента, выявляющие отклонения в поведении программ. Его создатели воспользовались идеей "N-вариантного программирования", согласно которой используется несколько программных реализаций, для того чтобы гарантировать надежность таких сервисов, как файловые системы.

"Антивирусные механизмы имеют дополняющие друг друга возможности обнаружения, и сочетание множества различных механизмов может повысить общую эффективность выявления вредоносных и нежелательных программ, - утверждают создательи CloudAV. – Эта модель помогает выявлять вредоносное и нежелательное программное обеспечение, параллельно применяя нескольких гетерогенных механизмов обнаружения. Этот метод мы называем N-вариантной защитой".

Для того чтобы использовать CloudAV, на ПК с операционной системой Windows, Linux или FreeBSD устанавливается агент; также его можно установить и на мобильном устройстве.

Агент выполняет мониторинг новых файлов и программ, которые записываются на диск. Создается кэш ранее проанализированных файлов, что позволяет снизить нагрузку на сеть. Новые файлы, не найденные в локальной кэш-памяти, посылаются по сети. CloudAV может сравнить их со своим кэшем или запустить процедуру анализа, которая занимает примерно 1,3 секунды.

За шесть месяцев тестирования CloudAV обнаружил 98% из почти 7220 образцов вредоносных программ, которые запускали ученые. По данным исследователей, отдельный механизм обнаружения выявляет только 83% таких программ.

В CloudAV применяются следующие антивирусные механизмы: Avast, AVG, BitDefender, ClamAV, F-Prot, F-Secure, Kaspersky, McAfee, Symantec и Trend Micro, а также два инструмента, выявляющие аномалии в поведении, Sandbox компании Norman Solutions и CWSandbox компании Sunbelt Software.

Исследовали предупреждают, что сетевые сервисы, такие как CloudAV, не могут заменить "обычное" антивирусное программное обеспечение или средства выявления вторжений, но могут применяться в сочетании с ними для создания более надежной защиты от вредоносных программ.

Сервис CloudAV разработан коллективом во главе с Джоном Оберхайде, Иваном Куком и Фарнамом Джаханьяном с факультета электротехники и компьютерных наук Мичиганского университета.


Теги: