增强的恶意软件检测

核心提示： 增强基于云的恶意软件检测 在图2中描述了一个系统架构，用以增强基于云的防病毒服务，增强的恶意软件检测(4)，图2：基于云的防病毒增强型解决方案（来源：Intel公司，2009）通过在主机环境中隔离出主机代理，图3描述了怎样扩展防病毒云服务，使其有能力提供内核匿踪攻击(Rookit)检测，并提供对

增强基于云的恶意软件检测

在图2中描述了一个系统架构，用以增强基于云的防病毒服务。

图2：基于云的防病毒增强型解决方案（来源：Intel公司，2009）

通过在主机环境中隔离出主机代理，并提供对诸如外存和内存等平台资源的直接访问，主机上的恶意软件不能再直接攻击或者操纵主机代理。恶意软件不得不转而攻击主机代理分区。由于主机代理分区不需要支持多用途计算，它能以更加健壮的解决方案配置得更加安全。下面描述了相关架构组件：

隔离的主机代理环境。主机代理被包含在隔离的运行环境中。主机能利用此环境提供的接口发送请求。它提供直接访问主机外存、主机访问；磁盘I/O请求能直接交付给此环境。

隔离的主机代理。主机代理包含安全、经过授权的通道，用来连接到防病毒云。主机代理监控主机磁盘I/O，如有需要，经由安全通道发送文件到防病毒云网络服务进行分析。主机代理包含文件系统操作功能，负责访问主机文件系统，并且代理能定期扫描物理磁盘以发现哪些文件被更改；然后发送被更改的文件到防病毒云网络服务。

增强型磁盘驱动。增强型磁盘驱动用来通过文件系统将磁盘I/O请求从主分区转发到运行在安全容器内的主机代理，以进行下一步处理。

原生磁盘驱动。原生磁盘驱动用来从被隔离的分区中访问主机磁盘硬件。

图3描述了怎样扩展防病毒云服务，使其有能力提供内核匿踪攻击(Rookit)检测，还有在磁盘/文件上扫描恶意软件。架构组件描述如下：