Panda Internet Collective Intelligence 详细说明

Panda Security 2009已经面试1周有余，在这1周的时间里面，我和众多网友已经感受到了新版本带来的冲击，不仅仅是视觉上的，更是在效果上有很大进步。
或许大家觉得我可能对Panda总是报喜不报忧，其实不然，对于Panda 2009的变化，用户的批评和激励起了至关重要的作用，所以我觉得报忧比报喜好，在现在AV大环境不好的情况下，忧患意识应该是必须具有的。

言归正传，首先说2009beta到目前为止发现的Bug。
1.实时监控的“监控压缩包”功能失效。
不论此选项是否选择上，实时监控都会扫描压缩包中的文件，根据目测，.Rar与.Zip都被监控。
2.“自我检测”选项失效
不论此选项是否选择，Panda 2009beta都会定时对自己的保护程序开启状况进行检查，并提示用户进行相应操作。
3.隔离区里面有大量文件的时候，隔离区内操作速度非常缓慢。如果一次性删除大量隔离区内文件，可能导致Panda程序的GUI出现假死。
4.删除隔离区内部分文件偶尔会提示出错。
5.“反欺诈网页”功能过于敏感
即使将该功能选择为“低”级别敏感度，仍然会产生“误报”。
6.右键扫描的时候，如果对隔离区内文件采取“上报可疑文件”的操作，右键扫描功能很可能出现假死，并且无法恢复（恐怕和Collective Intelligence联网与上报文件联网冲突有关系）
7.日志中经常性疏漏Collective Intelligence报出的“可疑文件”。
8.全新安装Panda internet security 2009 beta之后，在初次重启机器后，Panda Permanent protect实时监控经常性提示出错随机自动关闭。重启机器可以解决。
9.扫描某些特定文件的时候扫描器会卡住，导致扫描器卡死。在任务管理器中关闭扫描器，重新开启扫描可以解决。

上面说了一些我总结的Bug，下面来说说2009版的优点
1.开机后，所有程序加载完毕，系统稳定后，系统运行速度流畅，相比2008流畅度提高很多，从Panda blog看，是Panda采用了白名单库，这样甚至可以不用检测系统的以及常用软件，大大提高检测效率。
2.系统GUI打开、关闭、切换速度明显加快。相比2008，2009的界面打开、关闭以及切换速度变的相当迅速，并且“应用”所选项目后也不会出现短暂卡机的情况。
3.GUI分布合理，界面更加人性化。隔离区操作相比之前更加方便，看上去非常简洁。
4.自动在线更新频率增加。
5.样本自动上报系统比之前效率提高。
6.解决了P2P软件不兼容的问题，但由于防火墙规则问题，使用P2P相关软件仍然会出现偶尔断流的现象，但速度在一小段时间之后仍然会恢复。
7.大家最关心的检测率方面，Panda 2009检测率大幅度提高。


下面说说Panda的Collective Intelligence（以后简称CI）。
早在去年，我就在Blog转贴了官方相关CI的文章，文章里面已经将CI的研发目的介绍的比较清楚。但是涉及企业机密的具体的实现CI的技术手段并未详细介绍。说实话我也没想到CI会在2009中就整合在一起，因为Nano Scan、Active Scan 2.0也都是刚刚发布不久，这些东西恐怕已经差不多人忘记了还在Panda labs中紧锣密鼓的开发着的CI。

CI的理念比较符合目前计算机发展趋势，将每台Computer中大量繁重的计算，交给一台高性能的计算机网络服务器来进行计算，然后分发给所有客户端，这样的方式，优化了效率，减少了重复工作量，当然这样的技术对我们的联网质量有一定的要求。有一定的要求并不是说要求很高，对于现在普及了1MB ADSL的中国来说，已经完全具备了这样的条件。

现在每天都有成千上万到新恶意软件诞生，这里面，绝大多数都是所谓的“变种”，大多数还都是通过修改部分样本的代码、壳特征等方式对恶意软件进行“改头换面”，如果2008年的安全软件还是像2005年之前那样，仅仅将每个样本的特征码提取出来，加入病毒库，那病毒库中将充斥满LJ代码，而且会以几何级的倍数增长。面对这样的情况，先知先觉的安全厂商就着手对这些“改头换面”而来的新样本进行重点突击。研究者发现，这些威胁有共有的特征，他们要么是有很奇怪的壳保护在真实程序之外，要么就是有共同的“动作”特征。
随后研究者开发出来了各种对付这些威胁的方法，比如对可疑加壳方式的侦测，或采用虚拟机的方法模拟程序运行，通过程序的“动作”判断程序是否是威胁。
当采用这些新方法之后，安全厂商发现安全软件对恶意威胁的检测率是有一定程度的提高，但这些方法都并非基于准确的唯一特征定位法，会对一些“无毒”文件产生一些误报，导致不良的后果。

对于用户来讲，检测率的提高可以很大程度提高系统安全度，每当安全软件提醒用户发现“可疑文件”的时候，这些文件很可能就是新威胁，用户一般都会听从软件的建议对“可疑文件”进行处理。这个过程当中，会产生新的问题。

当安全软件将一个“干净”的文件判断成可疑文件的时候，用户一旦按照提示操作，有可能安全软件就将此文件删除，或者移动到隔离区中。误判会对系统或相应软件的正常运作产生影响。如果这个时候，用户可以与安全软件厂商立刻联系分析可疑文件，在几分钟之内就解决这个问题，误报对用户造成的损失可以降低到很小的程度。

常规的方法，需要用户将被误报的文件提取后，加密压缩，并发送到安全厂商相应的邮箱内，等待厂商分析，然后发布新病毒库，用户更新病毒库解决误报。这个流程，短则2、3个小时，长则可能1个多星期甚至更久。

颇为麻烦的流程，让软件使用者烦恼不已，而安全厂商也开始另辟蹊径。

Collective Intelligence就是在这样的情况下诞生。CI是一个网络，这个网络覆盖了Panda病毒分析实验室的服务器和所有使用Panda的用户的机器，这些机器可以随时通过Panda的安全软件进行通讯。

Panda的服务器是“上位机”，所有的用户的机器是“下位机”，上位机和下位机之间是双向通讯的，下位机之间不可以直接通讯。

现在来模拟一下CI的工作方式：
用户user1的机器上，Panda报告发现“可疑文件”，用户根据提示，发现文件已经被Panda放入隔离区内。然后Panda根据用户的设置，自动上报可疑文件（或者用户在隔离区内，单击5次鼠标就可以完成一次完整的自动上报），文件会在几秒钟内上报到CI服务器，文件当即就在CI服务器上被自动分析，然后在1、2秒钟之内，CI服务器会给用户的Panda反馈一个消息，这个消息有2种情况：
情况一：当这个文件不是首次上传，而是之前有其他用户上传过
由于之前有其他用户上传过，所以CI只需要将之前分析的结果反馈给user1的Panda，user1的电脑中的Panda软件的隔离区的“状态”一项中会立刻显示这个文件是真正的“威胁”，或者是“干净”的文件。
情况二：user1上传到文件CI还未曾分析过
CI处理完user1的文件之后，这个可疑文件就已经被CI“记录在案”。当user2的机器也发现同样的文件，被Panda隔离起来，user2也自动上报CI分析是否是威胁，CI就可以在1、2秒之内立刻告诉use2，这个是“威胁”！或者是“干净”的！

您可以仔细想想，Panda的引擎检测出的“可疑文件”中，误报的几率有多少，其实是相当少的。所以上报给CI的“可疑文件”大多数都是真正的威胁，user3、user4……等等用户机器中的Panda发现了”可疑文件”，通过内嵌的自动上报系统，可以非常迅速的知道哪些是威胁，哪些不是威胁。再多转几圈脑筋，实际上用户只需要从所有“可疑文件”中还原出“干净”的文件，并不需要费力的确定每个“可疑文件”具体是什么病毒或木马，叫什么病毒名，有什么特性，这些对大多数用户都毫无意义，而如果是传统的安全软件，会把所有的“可疑文件”都分析后，加入病毒库，那病毒库何时是个尽头？特别是在用户的机器上的病毒库会不断变大，直到臃肿不堪，那安全软件行业就算走到尽头了。
Panda研发CI的目的，就是要将这些新威胁（特别是木马变种）通过用户机器的一个具有“启发式”扫描引擎的Panda安全软件扫描出来，然后在所有的“可疑软件”中只将“干净”的文件过滤出来，其他一切“可疑文件”都无需知道具体什么名字，只要知道他是威胁，通通给隔离起来就好了。防止了用户机器上的安全软件的病毒库的无限扩大。


CI的任务不仅如此。按照Panda Security公司的设计，从2009版本开始，Panda的单机版的病毒库，将分为2部分：“客户端部分”和“CI服务器部分”。

用户机器上安装的Panda安全软件的病毒库，只需要保留“恶意Rootkit”、“In the wild”的特征码，以及“感染性的病毒”样本的特征码，以备系统被病毒感染后需要本地病毒库来修复被感染的文件所需。可以想象用户机器里面的病毒库会缩减多少，安全软件对系统影响会降低到一个很客观的程度。

而CI上面的病毒库，将是一个“巨型”病毒库，这个病毒库收集所有的“木马”、“不可修复病毒”、“僵尸病毒”，包括了所有的通过用户机器上的panda上报上来的“可疑文件”的分析结果。

总结。Collective Intelligence的实践是安全软件企业走向成熟后的大胆尝试，这样的尝试会将“越来越看不到希望的”安全软件带入到一个新的境界，希望Panda等尝鲜者，一路走好。