增强的恶意软件检测

核心提示：最近几年，出现在恶意软件领域中值得注意的新事态是黑客利用被攻破的平台获得金钱利益，增强的恶意软件检测，主要有如下3种方式：(1)出售盗取的信息，(2)使用平台的资源进行非法或者未经授权的活动，以对抗铺天盖地而来的恶意软件特征码，在某些情况下，或者(3)绑架平台内的信息以勒索赎金，攻击者在平台中可以捞取的好处越多

最近几年，出现在恶意软件领域中值得注意的新事态是黑客利用被攻破的平台获得金钱利益，主要有如下3种方式：(1)出售盗取的信息，(2)使用平台的资源进行非法或者未经授权的活动，或者(3)绑架平台内的信息以勒索赎金。攻击者在平台中可以捞取的好处越多，平台中未能检测出的恶意软件也就越多，那些能骗过传统安全代理的恶意软件已经再度泛滥。这种类型的恶意软件被称为匿踪恶意软件(stealth malware)。研究人员和工业界发现了云计算的新用途：恶意软件检测。在这篇文章里，我们简要描述了这些新用途，并指出其不足之处。我们提出了一个基于云计算的架构，它能扩展现有解决方案的可用范围，并且我们还提供了一个基于现有Intel平台的原型。我们在此仔细分析了这个增强现有架构可靠性的新固件。这种基于平台的新工具有助于安全提供商对抗恶意软件的威胁。

简介

在过去三年间，恶意软件编写与开发者为达到其利用系统漏洞获取经济利益的新目标，对其产品进行了升级换代。在经济利益驱动下，能隐藏自身于平台中的恶意软件得到了很大发展。某些恶意软件甚至会从受侵害的计算机中清除容易露出马脚的同类，以免受其牵累而被发现。

恶意软件在全球范围内造成的损失每年超过百亿美元：仅在2006年就有143亿美元。

在与恶意软件的斗争中，IT安全面临多方面的挑战。其中最重要的是恶意软件样本的急剧增长。Panda Security报告说，在2008年每天平均检测到35,000个恶意软件样本，全年合计超过1500万个样本。McAfee公司报告说他们收集的恶意软件样本数量从2008年3月的1000万个增加到了2009年3月的2000万个。样本数量的急剧增长意味着没有客户能及时更新已知恶意软件列表。此外，这也意味着安全代理需要花费更多资源来检查文件，以对抗铺天盖地而来的恶意软件特征码。在某些情况下，安全代理会消耗掉50-60%的CPU资源。