Antivīrusu daudzdzinēju nekārtība

Kad Immunet šīs nedēļas sākumā paziņoja par savu jauno produktu ar nosaukumu Immunet Protect, galvenā tā priekšrocība bija tāda, ka, ja lietotāju grupa izmantos dažādas pretvīrusu programmatūras kolekciju, Protect metaengine varētu izmantot šo produktu draudu brīdinājumus, lai informētu. savus iedzīvotājus.





Immunet Protect nodrošina aizsardzību, izmantojot jūsu jau darbināto drošības produktu kolektīvo gudrību, kā arī zināšanas par lietojumprogrammām, kas instalētas visā Immunet lietotāju grupā, uzņēmumā. norāda savā paziņojumā presei par tehnoloģiju. Immunet Protect apkopo drošības spriedumus par to, kas ir un kas nav drošs no tās kopienas. Šie apkopotie spriedumi tiek apvienoti mākonī un, ja tie ir pamatoti, nekavējoties tiek darīti pieejami pārējai Immunet kopienai.

Tomēr līdz trešdienai uzņēmums bija nolēmis neiekļaut šo atribūtu programmā.

Viens no strīdīgākajiem [atribūtiem] bija tas, vai failu [varētu] atklāt cits [antivīrusu] produkts, ceturtdien e-pastā rakstīja Immunet izpilddirektors Olivers Frīdrihs. Apsverot sekas, mēs esam nolēmuši to nedarīt.



Šī ideja radīja problēmu, jo uzņēmumiem, kuri vēlas izmantot vairāku pretvīrusu dzinēju rezultātus, lai aizsargātu savus lietotājus, parasti ir jālicencē dzinēji. Citas pretvīrusu programmas skenēšanas rezultātu izmantošana lietotāja datorā varētu tikt uzskatīta par pretvīrusu datu bāzu autortiesību pārkāpumu.

Tomēr dažos gadījumos nozare izskatās citādi. Pretvīrusu firmas bieži apmainās ar apdraudējumiem, ko tās identificējušas kā veidu, kā aizsargāt iedzīvotājus pret masveida uzliesmojumiem, saka Pedro Bustamante, Panda Security vecākais pētniecības padomnieks. Turklāt daudzas pretvīrusu firmas izmanto datorus, kuros darbojas konkurentu pretvīrusu programmatūra, lai darbotos kā kanārijputniņi un atklātu draudus, kurus uzņēmumi varētu būt palaiduši garām. Pēc tam uzņēmuma analītiķi iedala failu, lai noskaidrotu, vai tas tiešām nav ļaunprātīgs.

Tas ir nozares netīrais noslēpums, saka Bustamante. Mēs visi darām to pašu attiecībā uz konkurentu produktu izmantošanu, lai mūsu produktiem pievienotu noteikšanu. Kad viena grupa redz draudus, citi cilvēki ātri pievienos noteikšanu.



To darīt ir tikai jēga.

Pētījumā publicējuši trīs Mičiganas universitātes pētnieki , tika pārbaudītas 10 galvenās pretvīrusu programmas pret ļaunprātīga koda kolekciju. Pat labākais pretvīrusu dzinējs sākotnēji varēja atklāt trīs ceturtdaļas no tikko iepakotā ļaunprātīgā koda. Bija nepieciešami trīs mēneši, līdz labākais pretvīrusu dzinējs atklāja 90 procentus bīstamās programmatūras.

Ja viens dzinējs neizdodas, var veiksmīgi darboties vairāki dzinēji, saka Džons Oberheide, Mičiganas Universitātes doktorants un darba vadošais autors.



Iespējamas ļaunprātīgas programmatūras skenēšana ar diviem vai vairākiem dzinējiem ievērojami uzlabo precizitāti. (Avots: Oberheide et al.)

Viņš saka, ka vairāku pretvīrusu dzinēju inteliģences apvienošana var ievērojami palielināt globāli izplatītas ļaunprātīgas programmatūras noteikšanas pārklājumu.

Rakstā Oberheide un viņa kolēģi atklāja, ka jebkurš atsevišķs dzinējs pirmajā nedēļā atklāj 40 līdz 80 procentus vīrusu — ja vienas un tās pašas programmas skenēšanai izmanto vairāk nekā vienu pretvīrusu dzinēju, atklāšanas līmenis pirmajā nedēļā palielinās līdz 75 līdz 95 procentiem. . Mičiganas Universitātes pētnieki šo paņēmienu sauc par n-versijas aizsardzību.



Lai gan šī tehnika varētu palīdzēt uzņēmumiem ātrāk atpazīt draudus, trīs vai četru dzinēju licencēšana vienam lietotājam būtu pārmērīgi dārga. Tāpēc pašlaik šķiet, ka automātiskā noteikšana, kuras pamatā ir vairāki pretvīrusu skeneri, ir strupceļš.

paslēpties