Мишка в облаках или коллективный разум в Panda Anti-Virus 2009

Антивирусная индустрия активно двигается в сторону модели "облачных вычислений" (Cloud Computing). Panda Security пошла по этому пути одна из первых, громко заявив о создании некого коллективного разума (Collective Intelligence), которым является большая репутационная онлайн база данных.

При этом каждый пользователь антивируса Panda является своего рода сенсором новых вредоносных программ, отправляющим статистические данные об их распространенности в общую онлайн базу данных. По замыслу разработчиков такой подход должен уменьшить время реакции на новейшие виды угроз, предоставив конечным пользователям комплексную и своевременную защиту, а также уменьшить потребление ресурсов на их компьютерах.

Давайте разберемся, как работает коллективный разум в Panda Antivirus Pro 2009 и какова его реальная эффективность.

Прежде чем говорить о технологии облачных вычислений, давайте посмотрим, что собой представляет новейший Panda Antivirus Pro 2009. По мнению самого вендора этот продукт не что иное как "объединенная защита от вирусов, хакеров, спама и прочих Интернет-угроз", т.е. продукт позиционируется уже не как антивирус, а как комбайн. Это выглядит немного странно, так как становятся размытыми его отличия от старшего в продуктовой линейке Panda Internet Security 2009.

При инсталяции Panda Antivirus Pro 2009 можно установить две важные голочки, которые разрешают участие вашего компьютера в качестве сенсора для подпитки "коллективного разума" (сбора информации об обнаруженных угрозах и подозрительных объектах). Если вы хотите не только пользоваться плодами чужой работы, но и помогать в деле борьбы с киберпреступностью, рекомендую поставить эти галочки.

Не могу не поделиться впечатлениями от самого продукта. Интерфейс Panda Antivirus Pro 2009 достаточно аскетичен и не выделяется изысканностью дизайна, но с другой стороны навигация и настройки очень понятны, поэтому работа с программой предельна проста и ее можно рекомендовать всем неопытным пользователям.

Все необходимое в программе под рукой, искать ничего не нужно. Можно быстро посмотреть состояние защиты, запустить задачу сканирования, посмотреть отчеты, карантин, изменить настройки и т.п.

Надеюсь, представление о Panda Antivirus Pro 2009 вы получили, теперь вернемся к главной теме публикации. Как же работает этот "коллективный разум"?

Модель "облачных вычислений" подразумевает, что часть операций переносится с пользовательских компьютеров в "облако" (сеть Интернет). В случае антивирусной проверки в облако может переноситься анализ данных, при этом огромный выигрыш состоит в том, что полученный для одного из конечных пользователей результат анализа может потом использоваться для тысяч других.

Самое главное, что детектирование новых вредоносных программ наступает практически мгновенно, не дожидаясь пока пользователи загрузят очередной пакет обновлений. Помимо скорости реакции на новые угрозы, серьезно экономяться вычислительные ресурсы в масштабах всей вычислительной сети, каковой является сеть пользователей продуктов Panda.

Как все это реализовано у Panda Security? Между произвольным конечным пользователем и "облаком" можно выделить три основных вида взаимодействия:

1. Сбор данных от сообщества. Система централизованно собирает и хранит информацию о поведении программ, сигнатуры и вредоносных программ, их образцы и другую информацию т.д. Эти данные поступают от пользователей Panda и партнерских организаций.
2. Автоматическая обработка данных. Система автоматически анализирует и классифицирует тысячи новых образцов, поступающих ежедневно. Для этого экспертная система сравнивает данные, поступаемые от сообщества пользователей, с огромной базой знаний по вредоносным программам, накопленной в PandaLab. Система автоматически выносит вердикт (вредоносное или невредоносное ПО) на новые полученные файлы, таким образом, защищая пользователей быстрее и лучше. Помимо этого "в облаке" (на серверах Panda Security) постоянно обновляется белый список из более 10 миллионов чистых файлов, которые не нужно сканировать. Тем самым заметно повышается скорость сканирования и минимизируя потребление ресурсов на машинах конечных пользователей.
3. Доступность знаний и решений. Полученные знания распространяются среди пользователей в качестве репутационного веб-сервиса или с обычными обновлениями. В первом случае при сканировании Panda Antivirus отправляет запросы в режиме реального времени на сервер вендора и получает данные о репутации того или иного файла.

Подробнее о технологии Collective Intelligence можно прочитать здесь.

Pазработчики из Panda Security утверждают, что благодаря "коллективному разуму"их пользователям становятся моментально доступны из облака не только сигнатуры детектирования, но и сигнатуры для лечения заражения. Последнее пока не подтверждается нашими тестами.

Все выглядит красиво, но работает ли это? Если да, то насколько эффективно? Это работает, можно сказать точно. В качестве иллюстрации я решил провести небольшой тест. Я просканировал коллекцию из свежих вредоносных программ при помощи Panda Antivirus Pro 2009 со старыми месячной давности базами данных. При этом было сделано дважды: при включенном доступе в Интернет (использую "коллективный разум") и с отключенным доступом в Интернет.

Итак, в результате проверки коллекции около 5000 свежих образцов вредоносных программ уровень детектирования Panda Antivirus Pro 2009 без подключения к Интернет составил всего 37%. При подключении к сети уровень детектирования резко возрос до 89%. Таким образом, чистый вклад облачных вычислений в реализации "коллективного разума" составил 52% общего детекта!

Еще раз повторю, что в обоих случаях были одни и те же старые базы данных, настройки программы не менялись!

После обновления антивирусных баз и повторном сканировании с подключением к сети уровень детектирования еще немного вырос и составил 92%.

P.S. В Panda Antivirus Pro 2009 есть еще некоторые широко разрекламированные технологии, такие как:

• Генетический эвристический движок (Genetic Heuristic Engine) включает самые новые алгоритмы обнаружения неизвестных и самых опасных вредоносных программ.
• Второе поколение технологий TruPrevent 2.0 анализирует поведение программ и блокирует потенциально опасные файлы.