揭秘杀毒软件的救星：云安全解决方案

　　最近，笔者发现了一个密歇根大学的项目，它被称作反病毒云架构：基于N版本的杀毒软件。就像我们中的大多数人，密歇根大学的研究人员认识到传统的反病毒软件不能阻止病毒的传播。下面，就让我们来看看原因是什么。

　　基于本地计算机的反病毒工具

　　驻留在本地计算机上的典型杀毒软件由两部分组成，一个拦截工具和一个检测引擎。拦截工具采用签名文件、启发式和行为分析等方式来对目标进行检验。如果发现问题，拦截工具就会把相关信息发送到检测引擎中，在签名数据库中进行搜索以获得匹配信息。

　　在整个处理过程中，签名数据库属于薄弱环节。检测引擎是否可以获得匹配信息取决于数据库的更新情况。对于安全研究人员来说，最重要的就是怎样快速得获得数字签名文件并及时更新到数据库中。

　　在线反病毒扫描工具

　　在线反病毒扫描工具宣称比单机杀毒软件的效果更好。不过，它们也存在一些问题：

　　·不能提供实时保护，只能进行按需扫描。

　　·如果计算机从互联网上断开的话，就不能获得保护。

　　·仍然在使用半静态的签名数据库，其准确性取决于上一次更新的情况。

　　反病毒云

　　在了解了单机和在线模式中存在的问题后，密歇根大学研究团队认识到建立一种新的模式是必须的。为什么不将反病毒应用作为一种服务(SaaS)呢？它会带来下面的好处：

　　·改进的恶意软件检测机制：因为可以使用并行工作的多种检测引擎，这个模型提高了恶意软件被发现的可能性。

　　·本地杀毒软件的漏洞不再成为问题：移动中的反病毒引擎云消除了恶意软件操纵客户端防病毒应用程序的能力。

　　·签名定义实现了实时更新：来自客户端计算机的数据不断上载到检测引擎的数据库中，为可能遭遇同样恶意软件的其他计算机提供实时的答复。

　　·降低了主机的资源耗费：将客户端中的恶意软件检测工具关闭，并迁移到云中，简化了客户端软件的配置，对于处理能力有限的(智能手机)设备来说，提高了反病毒保护的效果。

　　除了不同于传统的反病毒软件外，反病毒云也并不是基于云的反病毒扫描工具。不同于扫描工具，反病毒云通过检测引擎在客户端计算机和服务器之间建立了积极有效的持续保护模式。

　　这一理论听起来不错，但笔者不能对它进行实际测试。因为看起来反病毒云目前仅仅在密歇根大学校园内使用。

　　熊猫安全

　　去年，熊猫安全发布了适用于个人用户的熊猫反病毒云和适用于小到中型企业的熊猫安全保护云。熊猫安全的首席执行官总裁胡安·桑塔纳宣称