Componenti

I ricercatori cercano il cloud computing per combattere il malware

James Lyne: Everyday cybercrime -- and what you can do about it

James Lyne: Everyday cybercrime -- and what you can do about it
Anonim

Un servizio di rete che intrappola più software dannoso di un singolo programma antivirus potrebbe essere la prossima arma utilizzata per combattere le minacce di Internet.

I ricercatori dell'Università del Michigan, che hanno sviluppato il servizio CloudAV, sostengono che l'antivirus i programmi non rilevano una percentuale sostanziale di malware. Inoltre, dicono che c'è un intervallo di tempo tra quando appare una minaccia e quando il programma antivirus viene aggiornato per rilevarlo.

Gli esperti di sicurezza avvertono che le persone dovrebbero usare i prodotti antivirus, ma anche l'efficacia dei programmi sta lentamente diminuendo con un sempre aumento del software dannoso.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Il metodo dei ricercatori utilizza il concetto di "cloud computing", in cui l'elaborazione di un'attività viene eseguita su un server remoto e il risultato viene restituito a un PC o a un dispositivo mobile.

CloudAV utilizza un approccio muscolare, combinando 10 motori antivirus e due di rilevamento comportamentale in un unico servizio. I ricercatori hanno preso spunto da "N-version programming", un metodo in cui vengono utilizzate diverse implementazioni software per garantire l'affidabilità di servizi come i file system.

"I motori antivirus hanno funzionalità di rilevamento complementari e una combinazione di molti diversi i motori possono migliorare l'identificazione complessiva di software dannoso e indesiderato ", secondo CloudAV. "Questo modello consente l'identificazione di software dannosi e indesiderati con motori di rilevamento multipli ed eterogenei in parallelo, una tecnica che definiamo protezione N-versione."

Per utilizzare CloudAV, un agente host viene installato su un PC con Windows, Linux o i sistemi operativi di FreeBSD. L'agente può anche essere installato su un dispositivo mobile.

L'agente controlla i nuovi file e i programmi scritti sul disco. Viene creata una cache di file precedentemente analizzati per ridurre il carico sulla rete. I nuovi file non riconosciuti nella cache locale vengono inviati alla rete. CloudAV può confrontarlo con la sua cache o eseguire un'analisi, che richiede circa 1,3 secondi.

Durante sei mesi di test, CloudAV ha rilevato che il 98% di circa 7.220 campioni di malware sono stati esaminati dai ricercatori. Un unico motore di rilevamento ottiene solo l'83%, hanno scritto i ricercatori.

I motori antivirus utilizzati da CloudAV sono Avast, AVG, BitDefender, ClamAV, F-Prot, F-Secure, Kaspersky, McAfee, Symantec e Trend Micro - oltre a due motori di rilevamento comportamentale, Sandbox di Norman Solutions e CWSandbox di Sunbelt Software.

I ricercatori avvertono che i servizi di rete come CloudAV non sostituiranno software antivirus o di rilevamento delle intrusioni, ma potrebbero essere usati in combinazione per creare una difesa migliore contro malware.

Il documento di ricerca è stato scritto da Jon Oberheide, Evan Cooke e Farnam Jahanian del Dipartimento di ingegneria elettrica e informatica dell'Università del Michigan.