漫步云端的美丽与哀愁——浅谈“云计算”对反病毒软件发展的影响！

嘁。不稀罕~

前言：卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛
　　这篇帖子源于与“buycard”关于PIS2009beta扫描中Collective Intelligence的讨论，让我想到了“袋鼠吱吱”之前提及的McAfee的Artemis。而这类技术都算是“云计算”在杀软中的运用。卡饭论坛
卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛
　　“云”就是基于网络的拥有大量的分布式计算机的计算机群。“云计算”是“网格计算”的发展，区别于“网格”利用各客户端的空闲计算能力运算，“云计算”则是由统一的计算机群完成计算，而客户端只要能收发信息就行。也就是将所有的数据和计算通过网络让庞大的计算机群完成，而自己只需要屏幕和键盘输入指令和获得结果。卡饭论坛
卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛
优点：容量无限大，计算能力超强，对客户端要求很低，不管硬件、软件都不需要维护更新等。（还有很多现在凭空想象不到的优点。）卡饭论坛
卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛
缺点：对网络太依赖，“云”如果发生问题，影响会很严重，而且客户端与“云”之间的数据传输也容易受到威胁。（这些都是我凭空能够想到的。）很奇怪，目前为止网上对云计算的评价大多是正面的，我很不解！当然目前云计算只是刚刚开始，等云计算时代正真到来，我能想到的那些“问题”一定已经被“专家”解决了！
卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛
言归正传谈杀软：
　　由于与“云计算”的定义不符，所以现在反病毒厂商所称的“云计算”，更应该称作“云-端计算”，就是“反病毒厂商的计算机群”与”客户端（用户电脑）”之间的互动。
　　其实这种互动很早就开始了，反病毒厂商的病毒分布地图，以及病毒流行排行榜，就是通过反病毒软件上报的。卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛
　　而后发展成为白名单的比对，如金山和趋势的互联网认证技术。当然联网认证不算是“云-端计算”只能算是“云存储”的一种应用，也就是白名单太大，更新太快，不方便加入客户端，于是在“云”中存放而已。卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛
　　这里不得不提PC Tools的行为判别，当对PC Tools的提示做出选择后，软件会将这个行为传回数据库，作为他人判断同样行为的参考，虽然由于使用者本身认知的误差，容易造成误判，但就技术而言，实现了“云”与“端”的互动。
　　目前熊猫2009beta与McAfee8.7ibeat标榜使用“云计算”技术，不过他们都没有脱离特征码比对以及本地病毒库的升级，因此仍然算是“云-端计算”。就效果而言，不管是我自己使用熊猫2009的感受，还是AV-C对McAfee新技术的测试，查杀率都有明显提高（算是启发），当然误判也相应增加不少，且耗时惊人。（不过都还在只是测试版）卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛　　
　　造成这种状况的原因是这个技术的实现方式。由于没有找到官方正面的说明，因此以下是我个人对熊猫与McAfee目前使用“云-端计算”模式的揣测：
　　当前不可能把每个扫描的文件都传去“云”中分析，所以仍是传统的扫描方式，只是尽可能的提高引擎的启发或是直接报壳，然后发送可疑的文件去"云"中分析，把判定结果回传。（以下纯猜测）小型可疑文件方便传送分析，如果是大型可疑文件，以目前的网络与技术，几乎不可能实现，所以能做“云-端计算”的文件应该有一些过滤。而大型可疑文件的安全性，则需要通过他们的HIPS进行防护。这方面熊猫与McAfee的实力都不错。（商业角度的假设）他们急于使用这项尚未成熟的技术，是由于当前在特征码扫描为主的环境下，病毒样本的收集一直处于劣势，所以急需加入新的技术提高产品的性能，以增加竞争力。
卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛
　　最后说一下很多网络安全套装都配备的反钓鱼与web分级功能，因为他们才是真正的“云计算”。在访问网页的时候，软件把URL传去服务器核对黑白名单，如果名单中没有资料，立即进行威胁扫描然后把结果传回客户端。这就是一整套的“云计算”，而用户端只是需要发送URL和接收结果。（不是每款软件黑白名单中无资料的都会立即处理）卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛

总结：“云计算”始终是发展趋势，而“云计算”时代真正到来后，客户端也许就不需要反病毒软件了。但在这漫长的过渡期，反病毒厂商使用“云计算”既是被逼无奈，也是发展方向。由于“云计算”基于互联网，所以对网络的要求相当高，而这也就成为现阶段反病毒厂商除“云计算”技术以外的一个瓶颈。不过目前这项技术才刚刚起步，相信正式商用的时候，即使技术本身未完善，也应该会找到一个安全与效率的平衡点，因为这项技术暂时还是辅助传统杀软扫描的一个手段。
卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛
ps：虽然字不多，但写了很久，这个帖子没图片，怕太枯燥没人看，所以想写的有趣一些，修改时删了一些专业的术语和数据，毕竟是帖子不是论文，不能让人看了晕。不过事与愿违，写完后发现仍然枯燥而且相当空洞……哎……
卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛
本帖主要谈论涉及反病毒部分的“云计算”并尽量用口语替代了专业术语，方便阅读。如果对“云计算”感兴趣，请自行搜索更多详细内容！
卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛
注：因此文不少内容未得到证实，因此拒绝转载，以免误导他人。欢迎讨论并跟帖指正错误！谢谢！
卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛
为了梦，向前冲！祝水星的兄弟们有一个愉快的夏天！祝卡饭们幸福健康！
卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛 卡饭论坛

lanvin

先把沙发占了
我先琢磨一下
明天跟帖

xuange

先占楼，再学习

卡饭-知名人士

占个位置先。版主成天这么想来想去的累不累啊[:26:]

caolizhen

   其实说白了云技术就是扫描文件的时候利用服务器的一部分性能来搞定，也就是说类似于NOD32的扫描上传？也不错，如果监控，扫描的时候能直接而将可疑性高的文件（那么杀软必须要有很好的启发模块），上报，然后在扫描完成之前确定，也不失为一个好方法

pippo0423

其实我觉得杀毒软件厂商应该联合起来成立一个公共在线多引擎多病毒库的扫描系统。。。类似VIRUS TOTAL这一类的在线扫描系统集成到各个杀软中，加入专用上传通道加快传送和回馈速度。。。这样可以最大限度弥补杀软之间地域样本来源差异，平衡下杀软之间差距。。。

caolizhen

版权啊。版权啊。。。。。

袋鼠吱吱

写得非常好。学习，收藏。。。

我记得趋势科技某某人有说过一句话，原文是英文我记不住了，大意是

扫弗死放弃个人版市场，也即放弃个人版av的信息搜集能力，将被证明是一项不明智的决定。。。

哈哈。其实各大AV的个人版，从来都承担着一项作为云中节点的功能。。。有时候是告诉用户的——您愿意加入客户体验计划么？有时候是不告诉的，偷偷联网传递。

我还以为这个技术要等n久才能使用呢，昨天看了a大的Panda 2008和2009对比，又看了咖啡区的8.7i截图才知道已经不远了。。。

袋鼠吱吱

  其实我觉得杀毒软件厂商应该联合起来成立一个公共在线多引擎多病毒库的扫描系统。。。类似VIRUS TOTAL这一类的在线扫描系统集成到各个杀软中，加入专用上传通道加快传送和回馈速度。。。这样可以最大限度弥补杀软之间地域样本来源差异，平衡下杀软之间差距。。。

本回复综合了5，6两楼，不算侵权。。。

沙加

看到这个帖子一直都是255权限，唉，先占个位置吧