【51CTO.com 综合报道】对趋势科技云安全组件——Web信誉技术的深入分析
执行综述
随着Internet上恶意软件变得日益复杂和难以防御,防恶意软件行业正面临着趋势科技所描述的“签名泛滥”的难题——或“海量威胁”。
在进行了独立的分析之后,我们验证了趋势科技Web信誉技术的主要主张,所谓的Web信誉是趋势科技基于在云计算的“云安全”技术的组成部分。Web信誉技术提供了更好的保护和更出色的性能。
在这份简短的报告中,我们概括了经典的恶意软件探测方法所提出面临的日益增多的挑战、描述了趋势科技的应对方法、考察了能为用户带来的价值,并研究了实际客户是否正在应用这些价值。
目录
执行综述
一、简介
背景
Web信誉的工作原理
二、理论益处
减少恶意软件感染
降低管理费用
改善绩效
减少网络占用
三、实际结果
结论:Web信誉兑现了承诺
#p#
一、简介
背景
趋势科技是我们所认为的“传统”防恶意软件技术的早期创新者之一。传统的恶意软件严重依赖特征码文件,其中包括已知恶意软件样本的独特特征或“签名”。趋势科技全球防病毒研发暨技术支持中心TrendLabs对这些签名进行了研究和提取,并且将其公之于众。
随着恶意软件变得日益复杂和难以防御,防恶意软件行业正面临着重大难题;其中两大难题如下:
1、太多独特的恶意软件样本
防恶意软件引擎需要搜索上千万的签名,以明确可疑文件没有受到感染。但是,很多签名可能从未使用过——由于清除这类签名的风险太大,因此它们仍然是特征码文件。
当然,这意味着典型的特征码文件变得越来越大,越来越笨重。从而在扫描和定期更新签名方面对实际性能造成很大影响。
2、恶意软件的积极传播
遇到未知文件时,用户需要一种方法来做出最终判断——该文件是不是恶意软件?
今天恶意软件从广泛发布到第一次感染之间的间隔时间比以前大大缩短,这就意味着,签名太慢而难以更新。在公布和部署之间无可避免的延迟为未探测到的恶意软件感染计算机留出了时间。
Web信誉的工作原理
现在网络下载是恶意软件感染的主要途径。例如,点击“e-card spam”中的链接或从某个受到攻击的合法网站上下载恶意软件。
趋势科技的Web信誉技术将拦截对恶意网站的访问,从而防止用户于无意中下载恶意软件。该技术是通过实时审查目标网页的信誉而实现这一目标的——即通过在云中信誉数据库高效拦截与网站的连接。
下一节将更详细地概述潜在益处……
#p#
二、理论益处
本质上,Web信誉意味着需要扫描的文件减少,在延迟部署签名方面,用户的抵抗力得以增强。
现将为何基于云的恶意软件下载拦截将优于传统的基于签名的拦截方法的四个主要原因罗列如下。
1、减少恶意软件感染
最重要的工作就是免受恶意软件感染。Web信誉在为已知恶意软件部署签名之前就消除了典型的时间延迟问题。由于采用了基于云的方法,因此可以始终根据最新公布的信誉来验证下载来源。
这将极大地提高针对新生恶意软件的精确性。
2、降低管理费用
由于必须的扫描工作减少,所以可以显著改善内存空间和磁盘输入/输出的使用。现在这些资源可以用在实实在在的工作中,而不是执行保护工作。
3、改善绩效
总体绩效应该会因应用Web信誉而得以改善。终端用户的一个主要抱怨就是实施恶意软件扫描减慢了计算机的运行速度,降低了生产效率,压力反而增加。减少扫描过程将会让人感觉绩效提高,从而让用户更加愉快。
假设趋势科技的数据中心规模适当,那么在审查合法下载的信誉方面就不会出现延迟情况或者使延迟时间不易察觉。
4、减少网络占用
传统的方法要求用户在扫描之前下载恶意软件,因此而浪费的网络带宽令人吃惊。现在这种共享资源可被用于实实在在的工作中,而不是传输恶意软件。
我们认为,Web信誉带来了最突出的令人信服的益处。
下一节我们将讨论如何结合理论和实际…
#p#
三、实际结果
趋势科技提供了自己的数据,这些数据是根据用户迁移到趋势科技产品的Web信誉版本前后所获得的产品支持电话数量而得出的客观数据。
支持数据显示,选择迁移的客户获得了更好的体验。这些数据在三个月的时间中收集,评估了支持事件的数量。这些数据还根据支持电话是否与恶意软件感染有关而进行了划分。
左侧的前两个图表显示了客户的相对数量、电话数量和与恶意软件感染有关的电话的比例。第三个图按照与恶意软件相关的电话对两组客户进行了比较。(由于保密原因,我们省略了比例数据。)
平均来看,在采用了Web信誉的客户中,与恶意软件感染有关的支持电话大大减少。数据显示,与使用旧版签名类产品相比,电话数量下降了75%。数据在经过标准化处理之后,仅有4%的支持电话与Web信誉的恶意软件感染有关,而以前的产品中这一比例则高达16%。
但是,其它支持电话的总体数量增加了50%。数据在经过标准化处理之后,21%的采用了Web信誉的客户致电就非恶意软件类事件请求支持,而使用旧版产品的客户的这一比例则为14%。该比例的提高可能与正在迁移中的客户的期望有关。
我们没有审计过支持数据,但是我们没有理由怀疑它们是否不具代表性。不过,我们确实希望测试一下上述数据,通过我们自己的研究来调查其它益处。
在没有趋势科技参与的情况下,我们调查和/或访问了几家已经迁移到Web信誉技术的客户。这些客户代表了各种规模的用户——从不到50个用户到超过1.5万个用户。受访者来自北美和欧洲。
总体而言,这:些IT经理对他们的此次迁移表示满意。所有受访者均报告恶意软件感染得以减少——有些受访者表示感染事件“大大”减少。性能表现非常出色。迁移过程相对比较简单,没有不合理的支持问题。
尽管样本数量不大,但是很显然,迁移到Web信誉技术对这些客户具有积极意义。很明显,这些定性报告为上节列出的益处清单提供了支持。
结论:Web信誉兑现了承诺
简而言之,我们对趋势科技为其Web信誉技术提出的主张表示信服。在经过独立分析之后,我们感觉信服,Web信誉确实提供了更好的保护和更加出色的性能——客户值得迁移。