译文：关于云反病毒技术的一些争议

jason_jiang

译自Panda Research Blog，有改动
文中的客观事实与数据仅适用于Panda，主观立场与评论仅代表原作者
诅咒一切剽窃行为，特别是那些改一下厂商名就拿去发的，嗯

关于云反病毒技术的一些争议
佩德罗·布斯塔曼特（熊猫安全高级研究顾问）
2009年12月1日

科技的进步总是伴随着批评。人们会本能地反对变革。这样的历史已经一再重演过。
反病毒业界也不例外。2004年，当我们推出行为分析技术时，遇到了很多阻力。但现在，这已经成为主流技术。而最近我们推出的Panda Cloud Antivirus也有同样的遭遇。

在这篇文章里，我列举了一些对云反病毒技术的普遍争议。我们来看看这些反对意见，然后分析一下，为什么说这些争议不是基于认识误区、就是因为对相关技术缺乏了解。

“恶意软件可能切断网络连接，使云杀软形同虚设”
这种事也能发生在传统杀软上。如果一个恶意软件突破了传统的特征库防线，切断了你的网络连接，那么你就无法更新特征库，从而无法抵御新的威胁。于是，你的传统杀软形同虚设。

“云杀软需要在云端扫描所有文件，更耗时间”
实际上并不是“所有”。至少，在Panda实践的云扫描技术中，是有安装在本地的组件的，如启发引擎、云扫描缓存、白名单缓存等。有了这些，就已经能检测到为数不少的恶意软件和已知干净文件。这些文件不会在云端扫描。想一想，自从你安装云杀软以来，你每天在电脑上装了多少新程序呢？没你想象的那么多，对不对？云杀软安装后，只有新进入系统或新试图运行的程序无法被本地组件判明时，才进行云端检查。投入公测以来，我们已经看到，Panda Cloud Antivirus平均每天只消耗很少的带宽，比传统的特征库更新少得多。

“这会侵犯隐私！我可不想把我的重要文件泄漏出去”
可能是由于某些厂商对云扫描技术的糟糕实践，这是现在最普遍的认识误区之一。至少，在Panda实践的云扫描技术中，当对一个文件进行云扫描时，并不将其上传到我们的集群智能（CI）服务器。Panda Cloud Antivirus会创建一个逆向指纹，将其传送到云端进行扫描。而且，Panda Cloud Antivirus只对可执行文件进行云扫描，不会扫描你的Office文档之类的东西。仅当Panda Cloud Antivirus认为一个可执行文件可疑、且CI服务器没有它的副本时，才会上传这个文件以进行进一步分析。即使如此，用户也可以通过关闭软件里的相应选项来退出这个集群。

“云杀软一断网就不能工作”
至少对Panda Cloud Antivirus来说不是这样。Panda Cloud Antivirus会在本地保存一份CI服务器的缓存。即使断网，也可以用这个本地缓存来检测流行恶意软件、非PE恶意软件等多种威胁。不同于传统的特征库更新，这个本地缓存会根据CI观测到的最新疫情而更新。这足以抵御多数重大威胁。当然，它不能抵御Win9x病毒、DOS病毒等已不能发作或不再流行的威胁。这就是Panda Cloud Antivirus的集群性如此重要的原因：用的人越多，提供的防护能力越强。

“也就是说断网时防护能力确实会下降？”
我们先来看看实际情况：经过公测和正式发布，Panda Cloud Antivirus已经拥有7百万以上的用户，但我们没有记录表明有哪个用户在断网时中了毒。“防护能力=媒体评测的百万数量级样本查杀率”是一个普遍误区。那些东西可能含有不再流行的病毒，可能含有根本不能在你的系统上发作的病毒，如古老的Win9x病毒和DOS病毒。如果我们把“防护”定义为“抵御现实环境中流行的恶意软件”，那么Panda Cloud Antivirus的断网防护能力已经足够。

“那么如果我遇到老病毒，同时又断了网，我会中毒吗？”
当然会。如果你跑到你城市周边的一个穷地方到处晒你的金表和金项链，当然很容易被抢劫。如果你开车冲下200米高的悬崖，你能指望安全带和气囊救你一命吗？记住，Panda Cloud Antivirus是为现实环境中的现实用户设计的，你在平时用电脑的过程中完全没必要担心那种小概率事件。

“我担心响应速度不够快”
当一个杀软的监控需要与云端同步工作时，这种担忧确实很有道理。就目前来说，Panda Cloud Antivirus有两个延时，一是向用户报警的延时，二是在没收到响应时拦截可疑程序执行的延时。但从我们过去几个月的统计来看，98%以上的案例中，监控的响应时间都少于1秒。想一想，扫描一个文件时只发送并接收一点点数据，所以实际的影响非常小。

“云扫描只是个炒作噱头”
的确，这个概念在当今似乎越来越成为一个噱头。但这并不是说它没有好处。不光是安全产品，许多产品都在把它们的“智慧”搬到云端，抛弃那些陈旧的、超负荷的、慢吞吞的应用，换来高速运行、始终最新的客户端。好处显而易见：开发者可以大大减轻PC机能的束缚，用户可以大大减少资源消耗，从而获得更好的计算体验。

“云扫描只是厂商降低特征库更新成本的权宜之计”
也许你应该和我们的财务官谈谈这个。你看，在我们公司的高管中，他是唯一一位头发花白的，因为运营成本的高昂让他非常操心，呵呵。说真的，与多花上亿资金建立一套用于云扫描的基础设施相比，固守已有的传统特征库更新要省钱得多。“云”不仅需要庞大的初始投资，还需要不菲的后续维护成本，而这还不包括产品研发与质检环节需要的额外开销。

“云扫描只能作为备选方案”
对在线扫描器等最早的云反病毒实践来说，这个说法可能是对的，但现在情况不同了。至少，Panda Cloud Antivirus可以完全替代传统杀软。无论断网还是联网，Panda Cloud Antivirus都能提供强有力的防护。当其他厂商只是在现有产品中添加一点云扫描机能作为补充时，Panda Cloud Antivirus已经从图纸上的构想发展成能与云端同步工作的成品。实践证明，它已经成为传统特征码方案的有力替代。（完）

寒山竹语

受益匪浅那。

65222960

一个石头有可能会砸死一个人 或者两个人但不会把所有人砸死

不懂哪有那么多能断网的病毒，“云”毕竟有云的好处，“云”也不是万能

杀毒软件也不是完全靠云安全，人家也有病毒库

就算发现一个能断网的病毒，不是非要云安全才能搞定

云安全只不过配合病毒库能更快更好的对付病毒（不能不说云的速度是发现病毒上报然后等分析在升级查杀能比得了的）

不能完全依靠杀软，更不要说完全区依靠云安全

这只不过是我们对付病毒依靠的武器而已

（技术俺不懂，只能表面分析，仅代表个人意见）

Dirk

thank you

bbs2811125

不知该说什么好，不过联网查杀或者说云的确是应对最新威胁的一个很有效的手段

wty

云查杀也是一种趋势

留侯

在我看来，云安全的确是一个很好的技术，它大大缩短了病毒的发作时期，提高了反病毒软件公司侦测和处理未知病毒的速度，也极大地减少了用户感染新病毒的可能性。应该说，云安全是未来反病毒领域发展的其中一个方向。

皇柝

好想给你加个人妻，但是现在还没有权限

107

学习了，云

zll518zll

一项新的技术出来，都是为了帮助我们更好的保护我们的机子