为什么云查杀不是解决办法（Why "In-the-cloud" scanning is not a solution）

will

这篇文章是由就职于德国AV-Test GmbH的Maik Morgenstern和Andreas Marx所写的，原文为英文，发表于VB2009年会上。
看这两天有卡饭对云查杀讨论的较为激烈，现将此文的主旨进行翻译，与各位卡饭一同分享，让我们一起来看看反病毒测试业内人士是如何来看待云查杀("In-the-cloud" Scanning)的。
声明两点：
1.如无特殊说明，下文中的 "云"查杀、"云"扫描均翻译自英文词组 "In-the-cloud" Scanning；"云"皆翻译自英文词组"In-the-cloud"。
2.本文只是本人翻译，非本人原创；发表本帖只为了给大家引入其他视角和观点，不代表本人赞成其中观点，谢绝跨省追捕。
                                                  ——写在前面

摘要

目前，”云”服务被誉为特征码扫描的圣杯和未来。毫无疑问的是，这个建立在白名单和黑名单双重机制上的系统，能增加对新恶意软件的检测率和减少识别新恶意软件的响应时间。但现行的此类系统仍然存在的较多限制：

1.现有”云”扫描系统的实现并不是主动的，相反，实际上它仍是被动的，尽管它的确缩短了对新威胁的响应时间。
2.随着检出率的不断提高（从结果上看起来是这样），误报的风险也随之增加。
3.“云”扫描检出的结果依赖于传入的大量干净文件和恶意软件的数据，因此，对客户端、网络和服务端（即”云”端），”云”扫描都会带来额外的性能影响。
4.由于”云”扫描响应需要时间，因此只有手动扫描（或“按需扫描”，On-demand Scan）和被执行的文件才会被”云”检测，而不是所有被访问的文件（而“传统”的实时监视会检测所有被访问的文件）。

除此之外，”云”查杀的实现还可能受制于其他因素，例如有限的结果缓存、数据的传送方式（通过HTTP/HTTPS或DNS请求）、隐私保护（例如：什么样的文件才会被提交？）、安全性（例如：响应结果是否能被人为操纵？）、可靠性，以及容错问题（例如：如果没有Internet连接会发生什么？）。

摘要中主要描述了现有"云"查杀所面临的四个主要限制因素，下面是从理论上对这些因素的详细分析和质疑：

1."云"查杀仍然属于静态扫描：常规的静态扫描所碰到的问题并没有被"云"所彻底解决，而只是将这些问题从客户端移到了"云"端。也就是说，病毒特征码数据库仍然在不断增长，直到最后大到"云"端也无法承受。根据摩尔定理，计算机的处理性能每十八个月翻一番，而恶意软件总数每十到十二个月就会翻一番（甚至有更快的趋势），那么到最后怎么办呢？除此之外，既然是静态扫描，那么反病毒厂商的"云"端就必须要有东西可扫，也就是说需要客户端将文件或文件信息上传（哈希值、大小、文件类型、文件结构等），这个过程和常规的静态扫描一样，仍然还是被动的。

2.提供更新仍然需要花费时间：尽管不必把病毒库更新向用户部署，只需要在"云"端更新，但从"云"端开始分析未知文件到定义检出再把检出添加到"云"端，这个过程仍然需要花费时间，所以"即时保护"在这里是说不通的。

3.即时更新所带来的影响：一旦更新的检出数据被加入"云"，那么就会在客户端立即生效。一旦一个错误的特征定义被加入"云"时，那么会对客户端造成即时的影响，例如误报或漏报。因此客户端毫无质量保证(原文:QA)可言，因为客户端无法选择是否应用"云"端的更新。

4.性能问题并没有消失：尽管有些性能问题被"云"查杀所解决，但同时也带来了新的问题：客户端仍然需要消耗部分计算性能去决定哪些对象需要进行"云"端检测，以及在"云"端应答到达之前，该如何处理这些对象。

5.网络问题：如果网络连接出错，那么会对客户端造成什么样的影响？在网络连接速度很慢时，如何有力的实现响应？又如何保证响应不被欺骗（原文:What about spoofed answers）？如果恶意程序干扰连接那又怎么办呢？除此之外，"云"端能同时处理多少请求呢？而是不是可以很容易的使用相应产品或针对性手段对"云"端进行DDoS攻击？

6.单点故障（原文为：Single point of failure）：对于每一单点客户端来说，如果"云"不可用或反馈了矛盾的结果，那么客户端会发生什么？此时客户端是不是变得易于被攻击？那么是不是还应该有其他的保护方式？

7.隐私保护和信息泄露：发送给"云"端的数据可能会包括个人信息，如何保证不被滥用或泄漏？除此之外，不同的国家不同的法律所允许传送的数据都有不同的规定，那么怎样决定哪些数据传送给"云"端？

8."云"端漏洞：在VB2005大会上，我们就指出了大量安全软件本身就存在漏洞，因此"云"端也可能存在漏洞。尽管"云"端或许不必处理真实的恶意软件，只用处理传入的数据就可以了，但不能排除这些数据可能出自不可信的来源。（译者注：也就是说"云"端漏洞可能被利用而对"云"端进行攻击）

9.结果缓存：每次访问相同对象时都在"云"端进行查询是不可行的，因此可能在本地存在某种类型的缓存。如果误报或漏报恰好被存储在了缓存中，那么修正误报和漏报恐怕就成为了一个问题，因为缓存都有一定的保存期。

10.声誉系统的人为操纵：大的僵尸网络是可以被利用来操纵某些声誉系统的（或至少是歪曲声誉系统），因此"云"系统可能由此产生错误的判断。

在从理论上分析了"云"查杀所存在的制约因素后，AV-Test的专家又列举了McAfee等厂商在实际应用"云"时所遇到的现实问题，在此不做翻译。
结合理论上的制约因素和不确定性以及实际应用中所碰到的问题，AV-Test的两位专家得出了他们的结论：

"云"安全服务为用户提供了一层额外的保护，但是它不应该是当今反病毒产品的唯一保护机制。面对海量的恶意软件，任何一种单一技术都难以成为反病毒的"圣杯"，只有将各种方法加以结合，才能有效的保护用户。在"动态"和"静态"、"本地"和"远程"的技术结合时，"云"计算服务将成为一种富有价值的补充。

PS.
再扯点别的东西，这次VB2009年会，瑞星和金山都赞助了不少，可惜两家公司都木有人做技术演讲，真是杯具了。。
但欣慰的是VB2009年会上有参与技术演讲的华人还是很多的。。
需要此文英文原文的卡饭可以PM我留下Email地址



[ 本帖最后由 will 于 2009-10-31 11:38 编辑 ]

will

   搞定，手动置顶顶上去，顺便占沙发吧~
技术讨论，谢绝口水。。

angir

鄙视自沙！
看你编辑好久了，以为是原创的呢……
学习一下外国人的理论……

[ 本帖最后由 angir 于 2009-10-31 11:05 编辑 ]

嘁。不稀罕~

看完，“云计算”被“云安全”狭隘化了……

will

本身说的就是"云"安全或者更准确的说是"云"查杀

黑白君

前排插入~

原帖由 will 于 2009-10-30 16:02 发表
... AV-Test的专家又列举了McAfee等厂商在实际应用"云"时所遇到的现实问题 ...

让人想起了siteadvisor

下面是我昨天写的，有几分共鸣

原帖由 朝闻道 于 2009-10-30 13:48 发表
又在讨论云的问题了～
简单谈一下自己的观点
首先，即使是没有主防的Panda Cloud Antivirus断网后也有启发和部分本地库，仅靠云查杀来做“事后诸葛亮”还是有风险的，没有一款安全软件会这么做(贝壳之类的只能算是扫描器)
其次，云查杀只是云安全的一种或一部分
不同厂商的云安全思路也不同
趋势的云安全则更像云防御或云拦截，拦截病毒入口，让大部分病毒在下载之前就被拦截，此时，即使断网也不必担心
最后，云查杀的响应速度必须足够快，不需要加载本地库并且不需要把文件全部上传到服务器就能作出辨别，但这样就免不了会产生误报，无论是云查杀还是云主防，这里面除了客观因素还有一些是人为因素，这是需要考虑的一个问题。
云安全可能会泄露隐私，如何保证上传到云中的数据不被恶意利用也是一个问题。

[ 本帖最后由 朝闻道 于 2009-10-31 11:31 编辑 ]

jason_jiang

好文，云安全确实是被炒作过度了

cocplay

看好主动防御

主动防御

单纯依靠云查杀不实际，不过依靠云安全来加快样本搜集速度是很好的，如果有一天杀毒软件不再需要特征码，那么也可以将云安全与启发，主动防御等技术结合起来更为有效（PS：云查杀≠云安全）

will

有些翻译不太好拿捏  
比如说："In-the-Cloud" Service   
作者使用这个词的本意既不是说云计算，也不是特指"云"查杀
所以依据国内环境的称谓，将其翻译为"云"安全