Сетевой сервис, улавливающий больше, чем отдельная антивирусная программа, может стать новым оружием борьбы с вредоносными программами, распространяемыми по Internet.
Исследователи из Мичиганского университета, разработавшие сервис CloudAV, утверждают, что антивирусные программы не в состоянии обнаружить значительную часть вредоносных программ. К тому же, с того момента, когда возникает угроза, и до появления обновления антивирусной программы, способного обнаружить эту угрозу, проходит определенное время.
Эксперты по безопасности предупреждают, что необходимо использовать антивирусные продукты, но эффективность программ неуклонно снижается на фоне постоянного увеличения количества опасного кода.
Метод, предложенный учеными, опирается на концепцию «вычислений в облаке» (cloud computing), в соответствии с которой задача выполняется на удаленных серверах, а результаты передаются обратно на ПК или мобильное устройство. Подобный подход позволяет объединить в одном сервисе целый спектр защитных инструментов.
CloudAV использует принцип «напряжения сил», объединяя в одном сервисе десять различных антивирусных механизмов и два инструмента, выявляющие отклонения в поведении программ. Его создатели воспользовались идеей «N-вариантного программирования», согласно которой используется несколько программных реализаций, для того чтобы гарантировать надежность таких сервисов, как файловые системы.
«Антивирусные механизмы имеют дополняющие друг друга возможности обнаружения, и сочетание множества различных механизмов может повысить общую эффективность выявления вредоносных и нежелательных программ, — утверждают создательи CloudAV. — Эта модель помогает выявлять вредоносное и нежелательное программное обеспечение, параллельно применяя нескольких гетерогенных механизмов обнаружения. Этот метод мы называем N-вариантной защитой».
Для того чтобы использовать CloudAV, на ПК с операционной системой Windows, Linux или FreeBSD устанавливается агент; также его можно установить и на мобильном устройстве.
Агент выполняет мониторинг новых файлов и программ, которые записываются на диск. Создается кэш ранее проанализированных файлов, что позволяет снизить нагрузку на сеть. Новые файлы, не найденные в локальной кэш-памяти, посылаются по сети. CloudAV может сравнить их со своим кэшем или запустить процедуру анализа, которая занимает примерно 1,3 секунды.
За шесть месяцев тестирования CloudAV обнаружил 98% из почти 7220 образцов вредоносных программ, которые запускали ученые. По данным исследователей, отдельный механизм обнаружения выявляет только 83% таких программ.
Исследовали предупреждают, что сетевые сервисы, такие как CloudAV, не могут заменить «обычное» антивирусное программное обеспечение или средства выявления вторжений, но могут применяться в сочетании с ними для создания более надежной защиты от вредоносных программ.