Cloud antivirus (”Облачный” антивирус)

Опубликовано: 01.09.2018

видео Cloud antivirus (”Облачный” антивирус)

Panda Cloud Antivirus Free Edition Review

Антивирусная индустрия давно уже пытается бороться с проблемой числа новых вирусов, растущего в геометрической прогрессии. Всего 28 лет назад, в 1990 году, было известно не более 500 вирусов. В 1992 году их было уже до 2300. В 1994 — до 7500. В 1996 — больше 10000. В 1998 — 20000, а в 2000 году их было уже больше 50000. Сейчас их уже несколько десятков миллионов.



Любому технически подкованному человеку, глядя на эти цифры и прогрессию, становится понятно, что битва для “классических” антивирусов проиграна — в какой-то момент число вирусов станет просто слишком большим и станет невозможно хранить их сигнатуры в памяти. Например, даже если сигнатура одного вируса занимает всего 20 байт, то 3 млн вирусов — это уже 60 мегабайт. А через пару лет их будет 10 млн — уже 200 мегабайт. А через 5 лет — гигабайт? Только для антивируса? Слишком много.


Comodo Cloud Antivirus Review

А еще надо учесть, что антивирусные базы приходят каждый день несколько раз из интернета — разве кто-то захочет скачивать каждый день десятки и сотни мегабайт новых антивирусных баз? Слишком много.

А ведь сигнатуры надо не просто хранить, но еще и сканировать их для каждого нового файла и находить — вирус это или нет. Сканировать базу из 5-10млн. вирусов на не очень мощной машине? Слишком долго и будет съедать слишком много CPU.


McAfee free cloud antivirus review (beta)

Так что, битва проиграна?

Конечно же нет.

Сначала появились всяческие проактивные защиты, поведенческие анализаторы и песочницы (фактически скрытые виртуальные машины, в которых запускался файл и проверялось, что он делал), системы предотвращения вторжений (HIPS) и другое.

Но проблема всех этих методов была в том, что они не давали хорошего процента обнаружения вирусов. В основном они защищали от какого-то процента Zero-hour вирусов (новые вирусы, которые только-только появились и еще не добавлены в базу сигнатур), но основная защита все равно возлагалась на базу с сигнатурами вирусов — надежнее этого нет ничего.

В итоге антивирусы становились все сложнее и сложнее и содержат сейчас в себе множество фич — базы сигнатур, HIPS-ы, песочницы и т.п. Все это, естественно, плохо сказывается на производительности компьютера. А пользователи жуть как не любят тормоза…

К тому же даже вся эта комплексная защита не дает возможности защищаться от вирусов мгновенно — если ты ловишь Zero-hour вирус, то с достаточно большой вероятностью он тебя заразит, т.к. его еще может не быть в базе сигнатур, а HIPS-ами и т.п. вирусы далеко не всегда ловятся.

Нужно что-то, что позволит защитить пользователя мгновенно — уже через минуту после появления нового вируса. И при этом не будет тормозить. И не будет занимать много памяти и других ресурсов компьютера.

И такое решение есть — это “облачные” антивирусы. Идея очень проста и все антивирусные компании ведут работы в этом направлении. Кто-то уже что-то зарелизил, кто-то тестирует, а кто-то дописывает. Но в конце этого — начале следующего года уже все антивирусные компании будут иметь свой вариант “облачного” антивируса.

“Облачный” антивирус состоит из двух частей: клиентская часть и серверная часть.

Клиентская часть устанавливается на компьютеры пользователей, когда они устанавливают антивирус. Она очень маленькая и не имеет никаких баз сигнатур вирусов или HIPS, или чего угодно. Задача клиентской части — посылать хэш неизвестных файлов на сервер и получать от сервера ответ — вирус это или нет. Если не вирус — все ок. Если вирус, то сервер также пришлет инструкции по удалению этого вируса (скрипт). Клиент просто запустит этот скрипт и все вычистится. Это если вирус уже установлен. Если же это заново скачанный и еще не запущенный файл, то он просто удалится или заблокируется. Понятно, что такой клиент будет очень небольшим и высокопроизводительным.

Вся сложность на стороне сервера . Именно сервер хранит все базы сигнатур вирусов. Сервер принимает от клиентов хэши файлов, ищет их в базе сигнатур вирусов и высылает ответ — вирус или нет. В случае, когда клиент присылает новый файл — именно сервер его анализирует, прогоняет через все HIPS-ы, продвинутые анализаторы и т.п. и в случае, если это вирус — мгновенно добавляет его в базу сигнатур.

В итоге второй клиент, приславший точно такой же файл, сразу получит ответ, что это вирус. Для сложных файлов, которые не пойманы автоматически, существуют лаборатории анализа вирусов — они берут такие файлы, анализируют их “вручную” и решают — вирус или нет. Если вирус — добавляют в базу, и уже через секунду все клиенты знают, что это вирус. Клиенту не надо никаких баз для этого обновлять.

Плюсы “облачного” антивируса:

Очень “легкий” клиент. Никакого оверхеда на компьютер пользователя. К тому же меньше кода — меньше багов. Не нужно скачивать несколько раз в день антивирусные базы на компьютер каждого пользователя. Очень быстрая защита — менее минуты в среднем между обнаружением нового вируса и добавлением его в базу.

Минусы “облачного” антивируса:

Нужен постоянный доступ в интернет. Без интернета шанс обнаружения нового вируса у чисто “облачного” антивируса равен нулю. Медленный интернет с большими пингами тоже может создать некоторые замедления. По крайней мере вначале, пока все системные файлы не будут проанализированы. В некоторых компаниях может быть запрещена отсылка файлов в интернет. Например, если вы разрабатываете что-то и билдите exe файлы, то вы можете не захотеть их постоянно отсылать на проверку.

Плюсы безусловно побеждают минусы, по крайней мере для домашних юзеров. И в то же время нельзя сказать, что все вдруг кинутся и будут ставить только “облачные” антивирусы.

Нет — и старые антивирусы и “облачные” будут жить еще много лет бок о бок.

А что будет через 5 лет в этой индустрии предсказать не может никто — слишком быстро всё меняется…

rss