Коллективный разум

В последнее время многие производители антивирусного ПО пытаются применить для борьбы с вредоносными программами так называемые облачные вычисления и глобальные системы реального времени. Новые разработки обещают повысить эффективность борьбы с различными вирусами, уменьшив требования к производительности компьютера пользователя. Подобный сервис совсем недавно организовала компания Panda Security: теперь пользователям антивирусного ПО Panda доступен «Коллективный разум».

Как появился «Коллективный разум»

С недавних пор основной целью хакеров и киберзлоумышленников стала не собственная слава или соревнование с «коллегами», а реальная финансовая выгода от их деятельности. Это привело к появлению более трех десятков миллионов различных вредоносных программ, ворующих пароли, личную информацию пользователей, выманивающих различными путями деньги жертв мошенничества.
Антивирусные компании не успевают анализировать огромное количество нового вредоносного ПО. Еще совсем недавно для эффективной борьбы с традиционными вирусами пользователям было достаточно иметь в наличии всего лишь антивирус. Позже появилась необходимость дополнить его персональным брандмауэром и антишпионской защитой. По мере увеличения количества атак «нулевого дня» стало понятно, что требуется разрабатывать новые методы борьбы с ними.
Еще одна причина изменения самого подхода борьбы с «вредоносами» — возникшая необходимость держать на жестком диске базу данных о миллионах вирусов. Чтобы содержать записи обо всех вредоносных программах, сигнатурный файл должен быть очень большим. Такая база данных может достигать нескольких сотен терабайт! Естественно, большой размер этого файла не может не сказываться на производительности системы. Потому стал< очевидной потребность в совершенно новой системе безопасности, которая была бы способна оперативно и адекватно реагировать на быстро меняющиеся обстоятельства. И такая система была разработана компанией Panda Security. Революционным стало решение хранить такой общий файл антивирусных баз на сервере Panda, а не на компьютерах клиентов.
Новая система получила название Collective Intelligence, или «Коллективный разум». Подобный подход позволяет снизить нагрузку на пользователь­ские ПК, предоставлять более оперативную и полную, постоянно обновленную защиту.

Что такое «Коллективный разум»

Система Collective Intelligence работает в режиме реального времени как онлайновая база данных, которая хранит огромное количество сигнатур. Только малая их часть расположена на ПК пользователя. «Коллективный разум» — это такая система управле­ния угрозами, которая основана на общих сгруппи­рованных знаниях, на опыте, накопленном благодаря всем пользователям компании Panda (а это миллионы клиентов практически во всех странах мира).
Каждый узел, на котором используются решения Panda Security, становится в этом случае сенсором и коллектором специфических данных, например, о поведении программ. Таким образом, формируется наиболее богатая база данных о вредоносном ПО. На сегодняшний день «Коллективный разум» обладает сведениями о почти 100 миллионах угроз. Кроме того, в основе новой системы лежит автоматизация процессов, которые раньше выполнялись вручную. Все это происходит в рамках инфраструктуры лабо­ратории PandaLabs, обладающей большой мощно­стью для обработки необходимой информации.

Как это работает

Условно в работе Collective Intelligence можно выделить несколько этапов:
● Сбор данных.
Система централизованно соби­рает и хранит образцы поведения программ, следы файлов, примеры новых вредоносных кодов и т.п. При появлении нового подозрительного кода от поль­зователей приходит базовая информация: поведенче­ские следы, дата и время первого появления и др.
● Исследование образцов и обработка полученного материала.
Система автомати­чески анализирует и классифицирует тысячи новых образцов, поступающих ежедневно. Для этого экс­пертная система сравнивает данные, которые посту­пают от сообщества пользователей, с огромной базой знаний по вредоносным программам, накопленной в PandaLabs. Бывает так, что этой информации недо­статочно для вынесения окончательного вердикта, является ПО вредоносным или нет. Если та же самая программа появляется на другом конце света и ведет себя при этом так же подозрительно, то в PandaLabs сопоставляются обе модели поведения, вслед за тем уже можно с уверенностью обозначить статус программы. После вынесения вердикта система формирует сигнатуры или выполняет автоматическое лечение. Также с помощью «Коллективного разума» PandaLabs может обнаруживать «доброкачествен­ные» программы, которые затем могут превратиться во вредоносные, например, если их начнут эксплуати­ровать злоумышленники при помощи уязвимостей.
● Передача накопленного опыта пользова­телям.
После исследования и получения информации о новом вредоносном коде и изобретения «вакцины» (инструкции по обезвреживанию вредоносного кода), весь накопленный опыт доставляется пользователям в качестве веб-сервисов или через обновления сигнатур­ных файлов для последующего лечения.
Для клиента Panda весь этот процесс выглядит следующим образом: антивирус проверяет ПК и обнаруживает подозрительную программу или код. Тогда на сервер «Коллективного разума» автоматически отправляется короткий запрос, после чего его обра­ботка осуществляется уже на сервере. Дальше может быть два варианта развития событий:
1) если файл действительно оказывается вредонос­ным, пользователь получает небольшую «вакцину» либо система отправит данные об угрозе на дополни­тельное исследование, а файл — в карантин;
2) если «Коллективный разум» решает, что файл нео­пасен, то антивирус не будет блокировать этот файл.
Все это происходит очень быстро и практически незаметно для конечного пользователя.

Коллективный разум VS традиционные  антивирусные решения

В чем же заключаются принципиальные отличия «Коллективного разума» от традиционных антивирус­ных решений?
В традиционных антивирусных решениях обработка и классификация новых данных занимает очень много времени: сначала инфицированный пользователь должен сам отправить в лабораторию новый образец вредоносного ПО, затем этот образец анализируют инженеры антивирусных компаний для создания сиг­натуры обнаружения и лечения. Потом его отправляют в тестовую лабораторию, внедряют на соответствую­щие серверы, распространяют по всему миру, и только после всех этих действий конечные пользователи получают результат и могут вылечить компьютеры.
А благодаря инфраструктуре «Коллективного разума» набор вредоносных программ, процессы их классификации и лечения автоматизированы и выполняются в режиме реального времени. Анализ занимает всего б минут, и пользователь сразу же получает «лекарство» против вредоносного ПО.
Ускорению процесса анализа способствует то, что с компьютера пользователя на сервера Panda пере­даются не целые файлы, а только определенные запросы. Следовательно, уменьшается объем пере­даваемой информации.
Принцип «Коллективный разум» позволяет сни­зить потребление ресурсов личных компьютеров, поскольку большинство процессов выполняется в интернете, а не на ПК пользователей. В то время как традиционные антивирусные решения выполняют процессы сканирования именно на компьютерах обычных людей, отбирая значительное количество ограниченных ресурсов ПК.
В традиционных антивирусных решениях лечение зараженных компьютеров происходит в полуавтоматическом режиме. Сначала нужно загру­зить сигнатуры на личный ПК (то есть потратить интернет-трафик и память компьютера), а уже лотом запустить лечение.
В антивирусах, основанных на принципе Collective Intelligence, весь этот процесс происходит автоматически. Модуль автоматизированного лече­ния вредоносных программ самостоятельно создает сигнатуры для обнаружения и лечения вредоносных образцов. Большинство таких сигнатур не требуют загрузки на ПК каждого пользователя — они рабо­тают из интернета.
Очень важным преимуществом принципа «Коллективный разум» является возможность использования опыта целого сообщества пользо­вателей. Специалисты PandaLabs получают четкую и ясную картину распространения вредоносного ПО. Они могут отследить техники новых кодов и точки их распространения. Эти знания позволяют не только постоянно повышать уровень защиты пользователей, но и быть полезными органам внутренних дел в их борьбе с киберпреступниками.
Итак, мы видим, что у системы Collective Intelligence есть множество преимуществ. Антивирусные решения, основанные на этом принципе, защищают ПК от всех возможных угроз максимально эффективно, при этом с ними очень просто работать. Использование «Коллективного разума» в значительной степени сни­жает потребление ресурсов компьютеров и требования к пропускной способности сети. А это очень удобно и выгодно для конечного пользователя.