增强的恶意软件检测

核心提示： 恶意软件现在已经泛滥成灾，学术界与工业界一致认为应用云计算来检测恶意软件的时机已经到来[5，增强的恶意软件检测(2)，6]，现在已经有很多种可以使用的云计算解决方案模型，在这篇文章里，我们仔细分析了一些平台功能特性，图1显示一种基于云计算、用于防病毒服务的通用系统架构，第一种模型是服务模型

恶意软件现在已经泛滥成灾，学术界与工业界一致认为应用云计算来检测恶意软件的时机已经到来[5，6]。现在已经有很多种可以使用的云计算解决方案模型。图1显示一种基于云计算、用于防病毒服务的通用系统架构。第一种模型是服务模型，在主机上运行轻量级的进程以收集相关样本（例如文件），然后将其传送到网络服务上。而网络服务则会进行分析，以鉴定样本是否包含有恶意软件，如果确认此样本已经中毒，就直接指示主机上的轻量级进程将其隔离。在另外一种方式中，主机代理仅仅维护已知恶意软件特征码的一个子集以及一个常用软件应用列表。

图1：基于云的防病毒服务（来源：Intel公司，2009）

恶意软件检测从云计算中受益良多。以云计算为中心会减少客户端占用的存储空间与计算资源，并能简化特征码文件的管理。此外，无论何时，只要以前未能成功鉴别出的恶意软件样本出现在云中，安全提供商就能使用非常复杂并且计算密集的启发式搜索方法将这一恶意软件的危害剖析得清清楚楚。

然而，云计算却不能使主机代理免遭恶意软件的伤害。为防止或检测到遭到禁用、破坏的代理，主机代理需要采用特别的方法与途径。在[[7, 8, 9, 10, 11, 和 12]中提出了很多方法为主机代理提供更安全的保护。其中一些方法集中在使用虚拟技术为安全代理提供隔离的运行环境。在这篇文章里，我们仔细分析了一些平台功能特性，它们能用来隔离主机代理以应对来自各方面不同威胁。