Onderzoekers kijken naar cloudcomputing tegen malware

Een netwerkdienst die kwaadaardiger software opslokt dan een enkel antivirusprogramma alleen, zou het volgende wapen kunnen zijn dat wordt gebruikt om internetbedreigingen te bestrijden.

Onderzoekers van de Universiteit van Michigan, die de CloudAV-service ontwikkelden, betogen dat antivirus programma's detecteren geen substantieel percentage van malware. Ze zeggen ook dat er een tijdsverschil is tussen het moment waarop een bedreiging verschijnt en wanneer het antivirusprogramma wordt bijgewerkt om het te detecteren. Beveiligingsdeskundigen waarschuwen dat mensen antivirusproducten moeten gebruiken, maar ook de effectiviteit van de programma's neemt langzaam af met een nooit geziene fout. toenemende toename van kwaadaardige software.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

De methode van de onderzoekers maakt gebruik van het concept "cloud computing", waarbij de verwerking van een taak wordt uitgevoerd op een server op afstand en het resultaat wordt teruggeleverd op een pc of een mobiel apparaat.

CloudAV maakt gebruik van een gespierde aanpak, waarbij 10 antivirusprogramma's en twee gedragsdetectiemotoren worden gecombineerd in één service. De onderzoekers namen een aanwijzing van "N-version programming", een methode waarbij verschillende software-implementaties worden gebruikt om de betrouwbaarheid van services zoals bestandssystemen te waarborgen.

"Antivirusprogramma's hebben complementaire detectiemogelijkheden en een combinatie van veel verschillende motoren kunnen de algehele identificatie van schadelijke en ongewenste software verbeteren ", aldus CloudAV. "Dit model maakt het mogelijk om kwaadwillende en ongewenste software te identificeren door meerdere, heterogene detectiemotoren parallel, een techniek die we N-versiebescherming noemen."

Om CloudAV te gebruiken, is een hostagent geïnstalleerd op een pc met Windows, Linux of de FreeBSD-besturingssystemen. De agent kan ook op een mobiel apparaat worden geïnstalleerd.

De agent controleert nieuwe bestanden en programma's die naar de schijf zijn geschreven. Er is een cache gemaakt van eerder geanalyseerde bestanden om de belasting op het netwerk te verminderen. Nieuwe bestanden die niet worden herkend in de lokale cache, worden naar het netwerk verzonden. CloudAV kan het vergelijken met zijn cache of een analyse uitvoeren, die ongeveer 1,3 seconden in beslag neemt.

Gedurende zes maanden testen, detecteerde CloudAV 98 procent van een aantal van 7.220 monsters van malware. Een enkele detectiemachine krijgt slechts 83 procent, schreven de onderzoekers.

De antivirusengines die door CloudAV worden gebruikt, zijn Avast, AVG, BitDefender, ClamAV, F-Prot, F-Secure, Kaspersky, McAfee, Symantec en Trend Micro - plus twee gedragsdetectiemotoren, de Sandbox van Norman Solutions en de CWSandbox van Sunbelt Software.

De onderzoekers waarschuwen dat netwerkservices zoals CloudAV geen antivirus- of inbraakdetectiesoftware zullen vervangen, maar in combinatie kunnen worden gebruikt om een ​​betere verdediging te bieden tegen malware.

Het onderzoek werd geschreven door Jon Oberheide, Evan Cooke en Farnam Jahanian van de afdeling Electrical Engineering and Computer Science van de Universiteit van Michigan.