作者HYL (@EVERYWHERE)
看板Soft_Job
標題Re: [請益] 雲端科技的運用--防毒軟體??
時間Sat Sep 11 23:09:46 2010
※ 引述《ggg12345 (ggg)》之銘言:
: ============================================================================
: 很多下載專用軟體都會提供對下載軟體的病毒檢測, 闢如消除影片中崁入的
: 網頁跳轉下載, 但下載軟體通常也很令人討厭地會蹦出廣告圖框, 而且都是
: 開機就常駐執行. 有的還會當中繼轉運站.
: 如果是對下載的資訊先導到 server 端掃毒後再下載進來, 引發的問題就是
: "隱私權" 及機密資料的洩漏問題.
: 若是整座硬碟都送上 雲端server 去掃毒, 那頻寬與時間就是問題.
: 現在又流行節能省電, 非上班時間都得關機, 非上班時間自動下載掃毒也變
: 得不可行.
: 底下這個報導都持續好幾天了.
: 總不會只針對開機時, 暫時不下載病毒碼更新, 暫時不掃瞄, 拖到發呆再幹活 ?
: 請知道的侃侃, 讓大家拜服 !
我對 blacklist式的雲端掃毒有些意件,以下是我以前寫過的
過去 FRS的工作是在本機上完成,單機上的掃毒程式可以存取整個檔案,尋
找疑似病毒碼的區塊,這個動作,依病毒資料庫的大小而定,我猜測應該可
在200 ms內完成。雖然說需要比對的病毒數一直在成長中,但是由於新的 CPU
多核的設計,可同時進行多個比對程緒,在未來,病毒庫成長的速度應該仍
是比不上 CPU核心數增長的速度。
把 FRS的工作放到雲端上,碰上的第一個問題就是網路速度的問題,在單機
上可完整讀取某一檔案,現在反而變成不可能,只能夠上傳檔頭檔尾及特徵
碼(Hash Code),然而此種方式,反而無法防止一種古老的病毒技術 - 變種
病毒;此種病毒,會將病毒碼加在不定的位址,造成無法使用比對特徵碼的
方式來比對病毒。
此外,在網路緩漫的地方,將無法使用 FRS,而且還將令使用者開啟檔案的
速度變慢(假設開個word要循續開10個DLL,掃一次毒要 10 * network timeout ms)
在我的想法中,雲端掃毒,比較適合的是被動的搜集檔案變更的歷程,然後
用這些資料來改進單機版的病毒庫,而且此種被動法,反而對未知病毒的防
護性更佳。例如,Word的昇級例程在某群機器上是 (HashCode) A -> B-> C,
在另一群機器上是A-> C,然後某一天只有少數幾台機器,突然從 B -> D ,
那麼我們就可以合理懷疑 D是疑似被感染的檔案。又或者,某程式開 DLL的
流程是 (DLL)A -> B-> C -> D -> E ,今天中間突然插進了某 Z 步驟,那
麼該檔案可能也有問題。
這種靠著搜級大量使用者檔案行為分析的掃毒方式,才是雲端掃毒較好的做法
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 118.160.105.62
推 luciferii:其實惡意程式的增長速度比CPU汰換速度快很多,一般人不 09/11 23:18
→ luciferii:會每年都在換版子和處理器,而變種每秒鐘都在誕生或自動 09/11 23:19
→ luciferii:產生。 09/11 23:22
→ luciferii:你講的行為掃瞄,防毒公司叫啟發式掃瞄(針對病毒行為)或 09/11 23:23
→ luciferii:端點防護(針對程式行為),但如果這個要雲端,你會丟上網 09/11 23:23
→ luciferii:的資料量會比純傳hash還多卻還更要求即時。這種作法反而 09/11 23:24
→ luciferii:適合單機agent作掉。 09/11 23:24
推 ledia:whitelist 已經夠處理絕大多數的執行檔/DLL 等檔案了 09/11 23:48
→ ledia:可以把這些防守下來, 再把心力拿去處理其他的部份 09/11 23:49
→ ledia:之後還可以去抓誰意圖去動這些被保護的檔案... XD 09/11 23:51
推 luciferii:系統還原要作得好不容易,尤其在M$ Windows上。系統還原 09/12 00:21
→ luciferii:就是whitelist作不好,反而變成惡意程式最愛利用的點。 09/12 00:21
→ luciferii:whitelist要作得好不容易 (更正第一句) 09/12 00:22
推 CPython:靠雲端做行為式的防護,好處是縱始是小群眾用的軟體,也可 09/12 18:16
→ CPython:以收到數千數萬筆資料,來做變更管理,抓出惡意程式> 09/12 18:16
→ iincho:Whitelist有人搞過,不過各大廠商都是怕被病毒惡搞所以不做 09/12 21:30
→ iincho:至於你講的大量使用者的行為分析,我只能說想太多.... 09/12 21:31
→ iincho:光一個false alarm就會讓公司的Support滿線到爆炸... 09/12 21:31
推 allyal:如果病毒阻擋本機端和雲端的連線,雲端防毒不曉得能不能 09/13 20:57
→ allyal:避免這個問題 09/13 20:57
→ iincho:local端還是有cache一部分病毒碼..... 09/13 22:51