Video: Ternyata!!! Kerja di Peternakan Sapi Harus Berani Kotor (November 2024)
Pada Persidangan Antarabangsa tahun ini mengenai Perisian yang Berfikir dan Tidak Diingini, alias MalCon 2015, Fanny Lalonde Lévesque, Ph.D. pelajar di École Polytechnique de Montréal, menunjukkan hasil menarik yang boleh diperolehi apabila anda mempunyai banyak maklumat tentang perlindungan antivirus pada satu bilion komputer. Dengan menggunakan pendekatan yang diambil dari kajian ekosistem semulajadi, beliau merancang beberapa metrik untuk mengukur kesihatan keseluruhan ekosistem antivirus.
Anda mungkin perasan Alat Pembuangan Perisian Lindungi (MSRT) yang berjalan sebagai sebahagian daripada kemas kini Microsoft. Ia sangat khusus mencari dan menghapuskan beberapa keluarga malware yang sangat lazim, dipilih setiap bulan oleh pasukan keselamatan Microsoft. Ia juga menghantar kembali telemetri penting kepada Microsoft. Menurut Dennis Batchelder, pengarah Pusat Perlindungan Microsoft Malware (MMPC), telemetri ini adalah sebab Microsoft tidak memerlukan ujian antivirus. Dalam ucapan dasar beberapa tahun yang lalu di MalCon, beliau menerangkan secara terperinci mengenai jumlah data yang besar yang dikumpulkan oleh MSRT, dan ahli akademik yang dijemput untuk mengemukakan cadangan untuk menggunakan data itu dalam penyelidikan.
Jutaan dan Jutaan
Antara lain, MSRT melaporkan sama ada ia menemui sebarang malware, apa antivirus (jika ada) dipasang, dan sama ada antivirus tersebut telah dikonfigurasi dan berfungsi dengan betul. Cik Lalonde Lévesque bermula dengan empat bulan data MSRT dari Microsoft. Selepas menghapus entri dari mesin tanpa antivirus, dia masih mempunyai hampir satu bilion penyertaan. Terdapat berat sebelah tertentu dalam set sampel, kerana sesetengah pengguna memilih untuk tidak menjalankan Windows Update atau MSRT. Untuk membantu mengatasi kecenderungan itu, dia memilih 10 peratus penyertaan secara rawak. Itu lebih daripada 90 juta sampel.
Dengan populasi sasaran yang dipilih, beliau menganalisis kesihatan keseluruhan sistem. Analisis ini kelihatan khusus di tiga bidang, yang diperolehi daripada analisis ekosistem semulajadi: Aktiviti, Kepelbagaian, dan Kestabilan.
Dalam ekosistem antivirus, tahap perlindungan mewakili aktiviti. Antivirus yang dipasang mungkin ketinggalan zaman, atau dimatikan, atau mempunyai perlindungan masa nyata ditunda. Cik Lalonde Lévesque mendapati bahawa sepanjang empat bulan jumlah pemasangan yang dikonfigurasi dengan betul telah berlegar sekitar 87 hingga 88 peratus.
Kepelbagaian dalam ekosistem semulajadi bermakna tiada spesies tunggal yang benar-benar dominan. Cik Lalonde Lévesque meneliti 100 + produk antivirus yang berbeza dalam ekosistem antivirus dan menemui Diversity yang tinggi. Produk dominan, yang mempunyai pangkalan terpasang yang terbesar, tidak pernah mendakwa lebih daripada 18 peratus pasaran.
Untuk menilai Kestabilan, dia pertama menyempitkan senarai itu ke komputer yang telah memberi respons kepada MSRT dalam tempoh empat bulan. Dia melihat perubahan dalam status antivirus, dan mendapati hasil yang menggalakkan. Hanya sekitar 3 peratus daripada komputer yang telah bekerja dan terkini antivirus beralih ke keadaan yang kurang selamat, dan banyak komputer di negeri-negeri lain bertambah baik.
Berikut adalah kejutan, walaupun. Sepanjang pembelajaran, satu pertiga daripada komputer beralih ke antivirus yang berbeza. Sesetengah hadirin membuat spekulasi mengenai kemungkinan hasil yang miring berdasarkan tamatnya antivirus percuma pada komputer baru. Apa pun sebabnya, itu banyak perubahan.
Langkah terakhir adalah untuk memeriksa komputer pelaporan yang dilanda malware walaupun dipasang antivirus. Tidak menghairankan, kadar jangkitan malware yang rendah berkorelasi dengan kuat dengan antivirus terkini dan berfungsi. Sebaliknya, kadar kestabilan yang rendah, yang bermaksud banyak perubahan dalam antivirus dipasang atau status antivirus, berkorelasi dengan kadar jangkitan yang lebih tinggi.
Monokultur dan Kekebalan Kebangkitan
Langkah seterusnya melibatkan memecahkan data bagi setiap 126 negara yang terlibat, dan kesihatan ekosistem antivirus seluruh negara dengan kadar jangkitan seluruh negara. Untuk bahagian kajian ini, Cik Lalonde Lévesque melihat kedua-dua komputer yang dilindungi oleh antivirus dan mereka yang tidak mempunyai perlindungan.
Sesetengah negara mempamerkan penarafan kepelbagaian yang lemah, dengan satu produk yang melindungi majoriti semua sistem. Negara-negara ini secara rutin mempamerkan kadar jangkitan lebih tinggi daripada purata, sementara mereka yang mempunyai kepelbagaian lebih rendah mempunyai kadar yang lebih rendah. Laporan lengkap beliau menunjukkan bagaimana dia mengesahkan kepentingan statistik hasil ini. Dalam ekosistem antivirus, seperti dalam hidup, monokultur tidak sihat.
Ia tidak menghairankan dari jauh bahawa mempunyai peratusan yang lebih besar dari komputer dengan antivirus berfungsi terkini berkorelasi dengan kadar jangkitan yang lebih rendah. Sekiranya tidak demikian, ada sesuatu yang sangat salah. Kicker adalah, korelasi yang sama berlaku ketika melihat komputer tanpa antivirus di negara yang sama. Ia kelihatan seperti imuniti ternakan yang mungkin menendang di sini, jadi juga mereka yang melepaskan keuntungan perlindungan antivirus dengan mempunyai jiran mereka yang berperisai sepenuhnya.
Kemudian ada kesan MSRT. Negara yang mempunyai kadar jangkitan yang tinggi juga menunjukkan kadar "churn" yang tinggi, dengan banyak pengguna yang menukar produk antivirus. Mungkinkah fakta mudah melihat MSRT menghapuskan malware menyebabkan pengguna menjadi tidak berpuas hati dengan perlindungan yang ada, dan memilih vendor yang berbeza? Itu akan menjadi sukar untuk dibuktikan, memandangkan tidak ada komputer dalam kajian yang tidak pernah menggunakan MSRT.
Hanya Satu Pandangan
Cik Lalonde Lévesque bersusah payah untuk menunjukkan bahawa hasil kajian ini mempunyai batasan tertentu. Hanya komputer yang menyambungkan ke sistem MSRT disertakan, untuk satu perkara. Dan hasil jangkitan hanya tersedia untuk keluarga malware yang meluas yang dipilih oleh Microsoft setiap bulan. Di samping itu, teori monokultur dan kekebalan kawanan bukan satu-satunya penjelasan untuk korelasi yang ditemui.
Pengumpulan data besar-besaran Microsoft boleh digunakan oleh penyelidik yang berkelayakan. Lain-lain boleh mengembangkan kajian Lalome Lévesque, atau berlepas dengan arah yang sama sekali berbeza. Saya berharap dapat melihat apa yang mereka temui.
