奇跡が起こり、友人は友人の命を救った



最近まで、このフレーズは私にただ一つのことを思い出させました:すべてのブーマー、スーパーマンおよびそれらのような他のものよりずっと早く飛ぶことを学んだ素晴らしいスーパーヒーロー。



しかし、時代は変化しており、関連性も変化しています。 あなたは、そのような鮮明な印象を変えるために、本当に重要なことが起こらなければならないと理解しています。



結局のところ何が起こったのかを見てみましょう。私の脳が再プログラムされたのは無意味ではありませんでした。



その理由は一般的なものであることが判明しました。1か月半前にSymantec Endpoint Protection 12.1の新しいバージョンがリリースされ、主な革新の1つは製品への評価技術の追加です。 さらに、この製品には多くのイノベーションがありますが、個人的には、評判とは別に、Shared Insight Cacheと呼ばれるテクノロジーも選びました。 親愛なるCarlsonchikによって、私の心から最近ますます置き換えられているのは、まさにこれら2つの技術です。 したがって、これらの技術が理論と実践でどのように機能するかを簡単に説明しようとします。



第1章 神話理論



最初のテクノロジー(評判分析)のロジックはすでにHabré( ここ )で説明されているので、詳細は説明しませんが、簡単に説明します。どこから来たのかなど これにより、内容を分析せずにファイルのカテゴリ(危険なファイルかどうか)を理解できます。



2番目のテクノロジー(Shared Insight Cache)を使用すると、インフラストラクチャ上で1回だけファイルをスキャンできます。 つまり 複数のサーバーまたはワークステーションに同一のファイルがある場合、1台のマシンでのみファイルがスキャンされ、他のすべてのマシンではスキャンは実行されません。 バックアップおよびアーカイブツールに関連する重複排除テクノロジーとの類推がすぐに思い浮かびますが、ここでは悪意のあるソフトウェアからの保護手段についてのみ説明しています。 それは素晴らしいことではありませんか?)



不注意な読者でさえ、なぜ私の友人が「友人が友人の命を救った」というフレーズについて語ったのかをすでに推測していると思います。 他のクライアントからの情報のおかげで、レピュテーションテクノロジーは、危険なファイルを起動(またはダウンロード)しているかどうかを理解するのに役立ちました。 Shared Insight Cacheテクノロジーにより、再スキャンに費やす必要のないリソースの使用が削減されました。



インフラストラクチャ内の混乱が大きいほど、Shared Insight Cacheテクノロジーの結果がより具体的になることに注意することが重要です。 管理者がインストール時にディストリビューションをさまざまなサーバーにコピーし、それらを削除するのを忘れる状況に慣れていない人。 ウイルス対策ソフトウェアはすべてをスキャンし、すべてのコンピューターでスキャンします。 そして、ユーザーが動画、音楽、写真を公共のリソースにアップロードし、残りがそれらをワークステーションに広める状況。 そして、ここでアンチウイルスは、すべてのコンピューターで同じものをスキャンしようとします。 Shared Insight Cacheテクノロジーは、アンチウイルスの寿命を短縮すると同時に、それが動作するコンピューターから負荷を取り除きます。



第2章 ダイナミックで実用的



現時点では、シマンテックの従業員(私自身)がマーケティング部門から依頼された記事を書くことに決めたようです。 状況は多少異なります。 ソフトウェアテスターとして働くという私の過去はまだ私を手放しません。そして、言葉で非常に「食欲をそそる」ように見えるすべてを実際に検証しようとしますが、それが人生でどのように実装されるかはわかりません。



したがって、私が白黒で書いたことに疑問がある場合は、誰もが自分の環境で実施できる簡単なテストをいくつか行いました。



技術テスト。


多くの異なるテストシナリオを選択できます。 それらに費やされる複雑さと時間は異なる場合があります。 私は最も簡単な方法の1つに進むことにしました。

1.最も古く、最も広く使用されている仮想マシンを見つけました。

2.クローンを作成し、SEPマシンのバージョン12.1の1つ、他のバージョン11にインストールしました。

3.両方の車を数回スキャンしました。 結果を共有します。



バージョン11のマシンでの最初のスキャンには約2時間かかり、約60万個のファイルがスキャンされました。 バージョン12.1のマシンでのスキャンには約1時間半かかりました。スキャン中に75,000個のファイルが「信頼済み」とみなされました。 スキャンされません。 スキャン時に同じポリシーが使用されました(バージョン11のみ、InsightおよびShared Insight Cacheテクノロジーはバージョン11に存在しなかったため使用されませんでした)。



2番目のスキャンは、Shared Insight CacheおよびScanLessテクノロジーの有効性を示すことでした。 そしてそれは示した!)



バージョン11での2回目のスキャンは、最初のスキャンと大差ありませんでした。 しかし、バージョン12.1では、2回目のフルスキャンに10分もかかりませんでした。 同時に、10万ファイルがスキャンされました。 残りのファイルは、ScanLessテクノロジーのおかげでスキャンされませんでした。 変更されたファイルのみがスキャンされました。



これはすぐに質問を提起します、Shared Insight Casheはどこにありますか? 彼は助けませんでした...質問は論理的であり、異なるマシンでこの技術をチェックする方が良いです。 次のテストでそれをしました。



共有インサイトキャッシュテスト。

ここでは、テストは非常に簡単です。

-C:ドライブに存在するディレクトリの1つからランダムに選択されたいくつかのフォルダを取り、それらをアーカイブに配置しました。 アーカイブサイズは約800MBです。

-作成されたクライアントでこのアーカイブをスキャンしました。 スキャン時間は約1分でしたが、正確に測定しませんでした。 結果が時々異なることを理解しました。

-SEP 12.1がインストールされている別のコンピューターにアーカイブをコピーし、アーカイブをスキャンしました。 結果は約数秒です。



これで、実験を終了しないことにしました。 突然、偶然の出来事でした。

-2番目のコンピューターのアーカイブに新しいファイルを追加しました。 再度スキャンしました。 スキャン時間は約1分です。

-新しいアーカイブを最初のコンピューターにコピーしてスキャンしました。 再び数秒かかります。



今、自信があります。 奇跡が起こりました...または、もちろん、奇跡ではなく、単に技術が働きました。 とにかく、友人、とにかく、ありがとう!



ところで、たとえば、共有インサイトキャッシュの動作を監視できるPerfmonのスクリーンショットを次に示します。





この場合、キャッシュアクセス数はキャッシュ内のファイル数のほぼ20倍であることがわかります。 これは、各ファイルが平均20回スキャンされたことを意味します。 これはすべて、約15台のテストコンピューターのインフラストラクチャにあります。 したがって、数千のサーバーとワークステーションで構成されるインフラストラクチャに考えられる利点を提案できます。



第3章 最後の物語



「友人が突然友人でもなく敵でもなかったとしても…」 テストでそのような結果を見たくありませんでした。

しかし、私の大きな喜びに、私は彼に会いませんでした!)



両方の技術は、最高の光で自分自身を示し、それらについての私のアイデアに対応しました。 Symantec Endpoint Protectionの新しいバージョンを使用している方も、両方のテクノロジーを気に入っていただけることを願っています。



リソースを節約してください、彼らはまだあなたに役立ちます!)



All Articles