Forscher suchen nach Cloud Computing zur Bekämpfung von Malware

Ein Netzwerkdienst, der mehr bösartige Software erfasst als ein einzelnes Antivirenprogramm, kann die nächste Waffe zur Bekämpfung von Internetbedrohungen sein.

Forscher der Universität von Michigan, die den CloudAV-Dienst entwickelt haben, behaupten, dass Antivirenprogramme Programme erkennen keinen wesentlichen Prozentsatz von Malware. Außerdem gibt es eine Zeitverzögerung zwischen dem Auftreten einer Bedrohung und der Aktualisierung des Antivirenprogramms zur Erkennung.

Sicherheitsexperten warnen davor, dass Antivirus-Produkte verwendet werden sollten, aber auch die Effektivität der Programme nimmt langsam ab. steigender Malware-Aufkommen.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Die Methode der Forscher verwendet das "Cloud-Computing" -Konzept, bei dem die Verarbeitung einer Aufgabe auf einem Remote-Server erfolgt und das Ergebnis wird an einen PC oder ein mobiles Gerät zurückgegeben.

CloudAV verwendet einen muskulösen Ansatz, bei dem zehn Antivirenprogramme und zwei Verhaltensdetektoren in einem Dienst kombiniert werden. Die Forscher griffen auf die "N-Version-Programmierung" zurück, eine Methode, bei der verschiedene Software-Implementierungen die Zuverlässigkeit von Diensten wie Dateisystemen sicherstellen.

"Antivirus-Engines verfügen über komplementäre Erkennungsfunktionen und eine Kombination aus vielen verschiedenen Engines können die allgemeine Erkennung bösartiger und unerwünschter Software verbessern ", so CloudAV. "Dieses Modell ermöglicht die parallele Erkennung bösartiger und unerwünschter Software durch mehrere, heterogene Erkennungsmodule, eine Technik, die wir als N-Versionsschutz bezeichnen."

Um CloudAV zu verwenden, wird ein Hostagent auf einem PC installiert, auf dem Windows, Linux oder die FreeBSD-Betriebssysteme. Der Agent kann auch auf einem mobilen Gerät installiert werden.

Der Agent überwacht neue Dateien und Programme, die auf die Festplatte geschrieben werden. Ein Cache wird aus zuvor analysierten Dateien erstellt, um die Netzwerklast zu reduzieren. Neue Dateien, die nicht im lokalen Cache erkannt werden, werden an das Netzwerk gesendet. CloudAV kann es mit seinem Cache vergleichen oder eine Analyse durchführen, die etwa 1,3 Sekunden dauert.

Während eines sechsmonatigen Tests hat CloudAV 98 Prozent von etwa 7.220 Malware-Proben entdeckt, die Forscher gegen ihn betrieben haben. Eine einzelne Erkennungs-Engine erhält nur 83 Prozent, schreiben die Forscher.

Die von CloudAV verwendeten Antiviren-Engines sind Avast, AVG, BitDefender, ClamAV, F-Prot, F-Secure, Kaspersky, McAfee, Symantec und Trend Micro - Hinzu kommen zwei Verhaltensdetektions-Engines, die Sandbox von Norman Solutions und die CWSandbox von Sunbelt Software.

Die Forscher warnen, dass Netzwerkdienste wie CloudAV weder Antiviren- noch Intrusion-Detection-Software ersetzen, sondern in Kombination genutzt werden könnten Malware.

Die Forschungsarbeit wurde von Jon Oberheide, Evan Cooke und Farnam Jahanian von der Fakultät für Elektrotechnik und Informatik an der Universität von Michigan verfasst.