В связи с продолжающимся увеличением количества вредоносного ПО на различных
компьютерных системах, подбор правильной антивирусной программы и ее регулярное
обновление становятся действительно сложной задачей. Вирусы – движущаяся мишень,
и все коммерческие и свободно распространяемые антивирусы различаются по
методам, глубине распознавания угроз, срокам обновления, что, в свою очередь,
означает, что та программа, которая была лучшей вчера, не обязательно останется
ею завтра. Поэтому, вооружившись методом под названием N-version programming,
исследователи из Университета Мичигана создали CloudAV, который позволит
объединенным в сеть компьютерам отсылать все исполняемые файлы на анализ
специальному серверу, с предустановленным набором из множества антивирусных
пакетов.
N-version programming разрабатывается для таких приложений, где неверные
ответы или отсутствие ответа недопустимо. Пишется несколько программ,
использующих различные подходы, и управляющая программа, оптимальным образом
распределяющая запросы. Это может сработать и с вредоносным ПО. Применив
несколько антивирусов, использующих различные подходы к распознаванию угроз, под
управлением основной программы, можно добиться большего процента их выявления.
Конечно, развертывание и применение такого количества антивирусных программ в
малых локальных сетях может показаться чересчур сложным, но авторам удалось
создать очень небольшие клиентские программы, которые для Windows состоят лишь
из 1500 строчек кода, а для Unix-систем вообще состоят из 300-строчного скрипта,
написанного на Python.
Новые исполняемые компоненты отсылаются через безопасное HTTP-соединение
серверу, который производит их сверку с кэшем ранее проверенных программ, и,
если нужно, запускает антивирусы в виртуальной среде Xen для проверки.
Результаты затем отсылаются клиентской программе, которая предупреждает
пользователя об опасности или полностью блокирует инфицированный компонент.
Помимо большой скорости проверки, ключевым в этом случае также является
эффект мультипроверки различными антивирусами. Среднему сканеру удается
справляться с вирусами однодневной давности лишь в 50 процентах случаев. При
использовании четырех антивирусов эта цифра возрастает до 80 процентов. Для
недельного срока вирусов эта цифра начинается с 60 процентов для одного пакета и
заканчивается 90 процентами при использовании пяти. Для такого же срока давности
вредоносного ПО, набор из четырех бесплатных антивирусов (AVG, Avast,
BitDefender, и ClamAV) показывает эффективность в 88 процентов, не требуя при
этом огромных затрат на лицензирование.