三代殺毒引擎的演變
責(zé)編:admin |2014-11-27 18:48:331989年,第一款殺毒軟件Mcafee誕生,至今殺毒軟件已經(jīng)有25年的歷史,在此期間,殺毒軟件經(jīng)歷了三代演變。
第一代:特征碼殺毒引擎
1989年,第一款殺毒軟件Mcafee誕生,開(kāi)啟第一代依賴特征碼的殺毒引擎時(shí)代。這一代殺毒軟件無(wú)論是查殺還是防御,都是基于特征碼的,查殺用特征碼比對(duì),防御實(shí)時(shí)監(jiān)控。
特征碼引擎的基本原理就是“殺毒引擎+特征碼匹配”,殺毒引擎是槍,特征碼是子彈,子彈越多,能殺的病毒就越多。特征庫(kù)是由殺毒廠商收集的病毒樣本的特征碼組成的,而特征碼則是病毒分析工程師從病毒程序中找到和正當(dāng)軟件的不同之處,截取一段類似于“搜索關(guān)鍵詞”的程序代碼。
電腦一開(kāi)機(jī),特征碼就被讀到內(nèi)存中,當(dāng)用殺毒引擎掃描硬盤(pán)或者監(jiān)控一個(gè)文件的動(dòng)作時(shí)(比如下載、修改注冊(cè)表等),它會(huì)讀取文件并且與特征庫(kù)中的所有特征碼“關(guān)鍵詞”進(jìn)行匹配,如果發(fā)現(xiàn)文件程序代碼被“關(guān)鍵詞”命中,就把那個(gè)文件判定為病毒,然后報(bào)警和攔截。
特征庫(kù)匹配是查殺已知病毒很有效的一項(xiàng)技術(shù),也是殺毒引擎賴以工作的基礎(chǔ)(掃描、監(jiān)控都需要調(diào)用特征庫(kù)),一直被殺毒軟件沿用下來(lái),所有特征碼都需要嚴(yán)格的測(cè)試和比對(duì),否則極易造成誤傷。早期的殺毒引擎都是特征碼殺毒引擎。
第二代:?jiǎn)l(fā)式殺毒引擎
啟發(fā)式引擎掃描指的是“運(yùn)用某種方式去判定事物的知識(shí)和技能”,是讓殺毒軟件具有學(xué)習(xí)能力的一項(xiàng)技術(shù),通過(guò)行為判斷、文件結(jié)構(gòu)分析等手段,在較少依賴特征庫(kù)的情況下能夠查殺未知的木馬病毒。
啟發(fā)式又分為行為啟發(fā)和靜態(tài)啟發(fā)兩種,能夠通過(guò)一些行為規(guī)則或靜態(tài)特征來(lái)識(shí)別一些未知的病毒,對(duì)未知病毒有一定的檢測(cè)能力,但啟發(fā)式仍然要依賴特征碼,比如它會(huì)按家族來(lái)查殺,即使一些病毒特征碼變了,但可以通過(guò)一些靜態(tài)特征來(lái)識(shí)別和查殺。啟發(fā)式可以部分地進(jìn)行智能查殺,但都必須和上一代的特征碼引擎配合使用,并且仍然需要人工分析。
互聯(lián)網(wǎng)高速普及的今天,基于特征碼的殺毒引擎也受到越來(lái)越多質(zhì)疑:木馬數(shù)量急劇增加,人工截取特征碼的效率有限。即使所有樣本都能及時(shí)處理,特征庫(kù)變大也會(huì)帶來(lái)資源占用過(guò)大的問(wèn)題,特別是殺毒引擎隨系統(tǒng)啟動(dòng)時(shí)都要把特征庫(kù)寫(xiě)入內(nèi)存,這是殺毒軟件遭到詬病的一大原因。
第三代:人工智能引擎
人工智能引擎主要依靠人工智能技術(shù),這一代引擎已經(jīng)擺脫了對(duì)病毒特征庫(kù)的依賴,它在海量病毒樣本數(shù)據(jù)中歸納出一套智能算法,自己來(lái)發(fā)現(xiàn)和學(xué)習(xí)病毒變化規(guī)律。它無(wú)需頻繁更新特征庫(kù)、無(wú)需分析病毒靜態(tài)特征、無(wú)需分析病毒行為,但是病毒檢出率卻遠(yuǎn)遠(yuǎn)超過(guò)了第一、第二代引擎的總和,而且查殺速度比傳統(tǒng)引擎至少快一倍。人工智能引擎的代表QVM人工智能引擎,在2010年5月研發(fā)成功,目前QVM人工智能引擎已經(jīng)發(fā)展到第二代。
QVM引擎是未知病毒識(shí)別領(lǐng)域的一個(gè)突破,它將人工智能技術(shù)應(yīng)用于病毒識(shí)別的過(guò)程當(dāng)中,首先通過(guò)對(duì)病毒樣本的分析和分類形成樣本向量和向量機(jī),然后建立一個(gè)機(jī)器學(xué)習(xí)的決策機(jī)模型,利用決策樹(shù)和向量機(jī)對(duì)大量樣本進(jìn)行學(xué)習(xí),從而識(shí)別惡意程序或非惡意程序。隨著學(xué)習(xí)樣本數(shù)量的增加,再配合白名單,就能夠在識(shí)別未知惡意程序的同時(shí),降低誤報(bào),使未知病毒識(shí)別技術(shù)真正商用。
任何引擎都非萬(wàn)能
安全是木桶理論,引擎僅是安全中的一環(huán),最短板決定整體安全性。面對(duì)今天的安全威脅,需要有全系統(tǒng)的防護(hù)能力,需要一套系統(tǒng)的安全體系,脫離安全體系,吹噓引擎萬(wàn)能,顯然對(duì)于安全的理解太膚淺。殺毒軟件的發(fā)展步伐不會(huì)停止,隨著病毒的不斷演變,殺毒軟件也將繼續(xù)演進(jìn)到第四代、第五代。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧