浅谈"云计算"对反病毒软件发展的影响

“云”就是基于网络的拥有大量的分布式计算机的计算机群。“云计算”是“网格计算”的发展，区别于“网格”利用各客户端的空闲计算能力运算，“云计算”则是由统一的计算机群完成计算，而客户端只要能收发信息就行。也就是将所有的数据和计算通过网络让庞大的计算机群完成，而自己只需要屏幕和键盘输入指令和获得结果。

优点：容量无限大，计算能力超强，对客户端要求很低，不管硬件、软件都不需要维护更新等。（还有很多现在凭空想象不到的优点。）

缺点：对网络太依赖，“云”如果发生问题，影响会很严重，而且客户端与“云”之间的数据传输也容易受到威胁。（这些都是我凭空能够想到的。）很奇怪，目前为止网上对云计算的评价大多是正面的，我很不解！当然目前云计算只是刚刚开始，等云计算时代正真到来，我能想到的那些“问题”一定已经被“专家”解决了！

言归正传谈杀软：

由于与“云计算”的定义不符，所以现在反病毒厂商所称的“云计算”，更应该称作“云-端计算”，就是“反病毒厂商的计算机群”与”客户端（用户电脑）”之间的互动。

其实这种互动很早就开始了，反病毒厂商的病毒分布地图，以及病毒流行排行榜，就是通过反病毒软件上报的。　　　　

而后发展成为白名单的比对，如金山和趋势的互联网认证技术。当然联网认证不算是“云-端计算”只能算是“云存储”的一种应用，也就是白名单太大，更新太快，不方便加入客户端，于是在“云”中存放而已。　　　　

这里不得不提PC Tools的行为判别，当对PC Tools的提示做出选择后，软件会将这个行为传回数据库，作为他人判断同样行为的参考，虽然由于使用者本身认知的误差，容易造成误判，但就技术而言，实现了“云”与“端”的互动。

目前熊猫2009beta与McAfee8.7ibeat标榜使用“云计算”技术，不过他们都没有脱离特征码比对以及本地病毒库的升级，因此仍然算是“云-端计算”。就效果而言，不管是我自己使用熊猫2009的感受，还是AV-C对McAfee新技术的测试，查杀率都有明显提高（算是启发），当然误判也相应增加不少，且耗时惊人。（不过都还在只是测试版）　　　　

造成这种状况的原因是这个技术的实现方式。由于没有找到官方正面的说明，因此以下是我个人对熊猫与McAfee目前使用“云-端计算”模式的揣测：

当前不可能把每个扫描的文件都传去“云”中分析，所以仍是传统的扫描方式，只是尽可能的提高引擎的启发或是直接报壳，然后发送可疑的文件去"云"中分析，把判定结果回传。（以下纯猜测）小型可疑文件方便传送分析，如果是大型可疑文件，以目前的网络与技术，几乎不可能实现，所以能做“云-端计算”的文件应该有一些过滤。而大型可疑文件的安全性，则需要通过他们的HIPS进行防护。这方面熊猫与McAfee的实力都不错。（商业角度的假设）他们急于使用这项尚未成熟的技术，是由于当前在特征码扫描为主的环境下，病毒样本的收集一直处于劣势，所以急需加入新的技术提高产品的性能，以增加竞争力。

最后说一下很多网络安全套装都配备的反钓鱼与web分级功能，因为他们才是真正的“云计算”。在访问网页的时候，软件把URL传去服务器核对黑白名单，如果名单中没有资料，立即进行威胁扫描然后把结果传回客户端。这就是一整套的“云计算”，而用户端只是需要发送URL和接收结果。（不是每款软件黑白名单中无资料的都会立即处理）　　　

总结：“云计算”始终是发展趋势，而“云计算”时代真正到来后，客户端也许就不需要反病毒软件了。但在这漫长的过渡期，反病毒厂商使用“云计算”既是被逼无奈，也是发展方向。由于“云计算”基于互联网，所以对网络的要求相当高，而这也就成为现阶段反病毒厂商除“云计算”技术以外的一个瓶颈。不过目前这项技术才刚刚起步，相信正式商用的时候，即使技术本身未完善，也应该会找到一个安全与效率的平衡点，因为这项技术暂时还是辅助传统杀软扫描的一个手段。