Antivirus Multiengine Mess

När Immunet tillkännagav sin nya produkt, kallad Immunet Protect, tidigare i veckan, skulle en kärnfördel med det vara att om en grupp användare körde en samling olika antivirusprogram, kunde Protect-metamotorn använda dessa produkters hotvarningar för att informera sin egen befolkning.





Immunet Protect ger skydd genom att utnyttja den samlade visdomen hos de säkerhetsprodukter som du redan kör, såväl som kunskap om de applikationer som är installerade i hela Immunets användarpopulation, företaget uppger i sitt pressmeddelande på tekniken. Immunet Protect samlar in säkerhetsbedömningar om vad som är och vad som inte är säkert från dess community. Dessa aggregerade bedömningar sammanförs i molnet och, om de är sunda, görs de tillgängliga för resten av Immunet Community omedelbart.

Ändå, på onsdagen, hade företaget beslutat att inte inkludera det attributet i programmet.

En av de mer kontroversiella [attributen] var huruvida en fil [kunde] upptäckas av en annan [antivirus]-produkt, skrev Oliver Friedrichs, VD för Immunet, i ett e-postmeddelande på torsdagen. Efter att ha övervägt konsekvenserna har vi beslutat att inte göra detta framåt.



Idén utgjorde ett problem eftersom företag som vill använda resultaten från flera antivirusmotorer för att skydda sina användare vanligtvis måste licensiera motorerna. Att använda resultaten av en annan antivirusmotors genomsökning på en användares dator kunde ha setts som ett upphovsrättsintrång för antivirusdatabaser.

I vissa fall ser branschen dock tydligen åt andra hållet. Antivirusföretag utbyter ofta de hot som de har identifierat som ett sätt att skydda den allmänna befolkningen mot massutbrott, säger Pedro Bustamante, senior forskningsrådgivare för Panda Security. Dessutom använder många antivirusföretag datorer som kör rivalernas antivirusprogram för att fungera som kanariefåglar och upptäcka hot som företagen kan ha missat. Sedan tar företagets analytiker en del av filen för att se om den faktiskt är skadlig.

Det är branschens smutsiga lilla hemlighet, säger Bustamante. Vi gör alla samma sak när det gäller att använda konkurrenters produkter för att lägga till upptäckter till våra produkter. När en grupp ser ett hot kommer andra personer snabbt att lägga till upptäckten.



Att göra det är bara vettigt.

I en forskningsartikel publicerad av tre forskare vid University of Michigan , testades 10 stora antivirusprogram mot en samling skadlig kod. Även den bästa antivirusmotorn kunde endast initialt upptäcka tre fjärdedelar av nypackad skadlig kod. Det tog tre månader för den bästa antivirusmotorn att upptäcka 90 procent av den farliga programvaran.

Där en motor går sönder kan flera motorer lyckas, säger Jon Oberheide, doktorand vid University of Michigan och huvudförfattaren till tidningen.



Genomsökning av potentiell skadlig programvara med två eller flera motorer förbättrar noggrannheten dramatiskt. (Källa: Oberheide et al.)

Att kombinera intelligensen från flera antivirusmotorer kan resultera i betydande vinster när det gäller upptäcktstäckning av skadlig programvara med global omfattning, säger han.

I tidningen fann Oberheide och hans kollegor att varje enskild motor upptäcker 40 till 80 procent av virus under den första veckan – att använda mer än en antivirusmotor för att skanna samma program ökar upptäcktshastigheten till mellan 75 och 95 procent under den första veckan . Forskare vid University of Michigan kallar tekniken för n-versionsskydd.



Även om tekniken kan hjälpa företag att känna igen hot snabbare, skulle licensiering av tre eller fyra motorer per användare vara oöverkomligt dyrt. Så för tillfället verkar automatiserad upptäckt baserad på flera antivirusskannrar vara en återvändsgränd.

Dölj