进入21世纪,随着互联网的发展 ,各类网络应用层出不穷,黑客们为了获取最大的利益 ,开始形成黑客团队(APT组织) ,他们不断研发新病毒和恶意软件,导致每天有APT活动的案例,并不断对政府行业、能源行业进行长期攻击和控制。与此同时,互联网已经成为病毒制作技术扩散、病毒传播的重要途径,病毒开发者之间已经出现了团队合作的趋势,病毒制作技术也在与黑客技术进行融合,他们对现在的病毒 对抗技术提出了挑战。
因此,在安全界除了传统的杀毒软件又横空出世了一个新的技术,基于大数据的云查杀技术。那么云查杀就那么厉害吗?真的能解决传统杀毒关于误报和提高检测率的效果吗?
1、杀毒软件查杀技术
杀毒软件的查杀技术相比大家都非常了解,但我这里还是要列举下杀毒软件不断更新发展的几个里程碑式的技术。
基于特征码扫描的技术
最最传统的杀毒软件的一直查杀技术,使用静态扫描技术。讲扫描对象与病毒的特征码进行匹配,如果吻合则判断为感染病毒。检测方式类似于IDS。就是这么有效,就是这么准确。
启发式扫描技术
启发式扫描是采用人工建模的技术。它对扫描对象的行为进行分析,采用一种叫做 调用API评分机制,当一个病毒在调用api时,对这些api的敏感程度进行分析。该该程序的可能行为进行评分,评定是否达到预设安全阀值。
文件信用安全技术
直白点说就是使用黑白名单进行匹配技术。
虚拟机沙盒技术
在本地主机创建一个虚拟环境,将病毒在虚拟环境中激活,通过相关的行为特征判断是否是病毒木马。
云查杀技术
云查杀技术使用大数据引擎技术,目前抄的非常火爆的基于人工智能扫描技术、基于基因的检测技术、AI引擎、机器学习引擎。对程序的行为进行检测,通过网络将用户的信息传输到云端服务器进行自动分析、处理并将结果返回到客户端。该种方式与启发式安全检测有本质的区别,云查杀是使用机器学习的建模技术。在建模的过程中不需要人工参与。
以上这些技术是目前杀毒软件常用的技术,每款杀毒软件一般都不会只局限于上面面所提到的一种技术 , 一般都是集成几种技术综合使用。
2、产业界云查杀与传统杀毒厂商对比
自从2008年360开始使用所谓创新的云查杀引擎,在中国大地刮起了一股创新技术的产业风,经过近十年的发展,目前这两股力量不分伯仲,那么咱们一起来看看这两种技术所代表的厂商吧。
3、传统杀毒技术优缺点
传统杀毒技术是使用启发式的检测技术,就是使用人工建模的技术,说白了就是基于经验进行检测。通过特征分片、重组技术检测。这种技术有很大的好处。
可阐述原因
杀毒软件为什么报病毒,触发了哪个特征或者行为报警,这些都是可追溯、可还原、可量化的。
误报率可控
存在误报的问题时候,可以调整参数、调整模型可以非常有效的控制误报问题,抑制误报问题。并且可以非常快速的对模型进行调整,有效调剂病毒家族报警率。是人可以控制的。
4、云查杀技术优缺点
云查杀技术是使用大数据算法(SVM引擎、NB引擎)、神经网络等机器建模完成。这种技术有点很多,例如,效率高他们不希望用人来处理建模的问题,他们希望通过机器来建模。从结果上来看与传统杀软正好相反,它存在两个致命的缺陷。
报毒不可控
当一个样本报病毒,作为分析人员想知道为什么报病毒了。人是没有办法控制为什么报病毒的。
原因不可阐述
当产生了误报,这种技术会通过调整大数据模型的训练集,来抑制误报,这种导致该种模型算法中产生误报的样本报警会越来越少,并且人是不可控的。不能控制哪些可以报警,哪些不报警,必须进行多次、反复的参数调整。这种技术的厂商一般很少去调整训练模型,因为调整的代价太大,他们一般都会加白名单(这就是为什么互联网公司经常提起的白名单)。所以你会见到很多实用云查杀技术的厂商,如果不联网、不与厂商的白名单进行同步。几乎啥病毒文件都是显示正常的原因。
5、总结
云查杀技术和传统杀软是杀毒软件厂商使用的两种技术,它们被各大厂商所采用。纵观这两种技术,还有很多需要完善和提高的地方。今后杀毒软件发展过程中,谁能充分发挥各自技术的优势所在。希望在将来,杀毒软件可以给我们带来一个健康安全的网络环境,云查杀技术不涉及到个人隐私收集,杀毒软件不会弹窗让用户选择的场景。
领取专属 10元无门槛券
私享最新 技术干货