金山李铁军:云鉴定器特点与现状讨论

互联网 | 编辑: 黄蔚 2011-05-18 11:00:00转载

杀毒软件的本质是对文件进行鉴定,判断文件是安全或是危险。

以往杀毒软件鉴定目标文件,是将杀毒软件安装在本地计算机上,升级病毒特征库之后,将目标文件的特征和病毒特征相匹配,若匹配上某个病毒文件的特征,就判定这个文件是病毒。若未匹配上本地特征库里所有病毒的特征,就判定目标文件不是病毒。

这种传统的特征码鉴定有几个缺点:

1.本地必须有杀毒软件的特征库,判断的准确性取决于特征库是否全面,是否升级。

2.特征库需要频繁升级,过期的病毒库鉴定能力无法满足安全需求。

3.病毒种类增长很快,本地特征库也在迅速膨胀,使得杀毒软件的扫描效率下降,杀毒软件对系统资源的需求也在不断增大。

4.对新病毒没有鉴定能力

为弥补传统特征码鉴定的不足,杀毒软件引入了行为判断的技术理念,希望分析出目标文件的行为特点,来避免特征库过于庞大,且无法鉴定未知新病毒的问题。

行为鉴定的不足:

1.病毒程序的行为,许多正常软件也有,不能很好地从行为本身来断定善恶。

2.行为鉴定有较多误报,需要频繁增加排除名单(白名单)

3.行为鉴定的结果不清晰,过于专业,普通用户看了不置可否。

行为鉴定经常会告诉用户,某程序可能有危险,是否可以运行。用户就傻了,你是杀毒软件,你问我,我问谁去。

为求更准确鉴定目标文件,避免特征码查杀的效率下降和行为查毒的模棱两可,经验丰富的用户会采取下面的方法:

1.多种方法重复检查,比如多引擎查毒,把一个文件用几十个杀毒软件分别扫描。

2.沙盘分析,虚拟机分析检查文件执行后的结果

3.专业人员使用专业工具分析程序行为

上述三种方法也存在缺点:

1.重复检查,太耗时,一台电脑安装太多安全软件,系统资源无法承受。且,用的杀毒软件越多,误报也越高。

多引擎扫描的误报率就等于所有杀毒软件误报率的总和。

2.沙盘、虚拟机,非专业人员不会用,更别提专业病毒分析师的分析结果。

云鉴定器的解决思路:将复杂的文件鉴定放在云端处理,由性能强大的服务器使用数十种鉴定方法(包括特征码和行为识别技术)并行鉴定,客户端只需要到云端查询匹配结果。

云鉴定器的优点:

1.服务端强大的性能支撑,解决了客户端不可能解决的效率问题,资源问题。

99秒内可以鉴定99%的任意文件,一半文件的鉴定耗时不到1秒。

2.客户端工作简单,只需要告诉用户对目标文件的鉴定结果,安全还是危险。

3.云鉴定器不需要客户端定时下载特征库,客户端只要能联网,就不存在特征库过期的问题。

使用云鉴定器的时机:

在计算机与外界发生数据交换时调用云鉴定器。包括以下场景:

1.下载(浏览器、聊天工具、下载工具,局域网共享等)

2.同U盘等移动存储介质交换数据

手动鉴定的场景:

用户自行提交任意可疑文件到云端

云鉴定的意义:

1.大大改善了用户使用电脑的体验:

网民不再因为杀毒软件过期而中毒;

电脑因为杀毒软件不再需要庞大的本地特征库而损失性能;

网民不会因为看不懂杀毒软件的提示框而束手无策。

2.极大地提升了杀毒软件控制病毒传播的能力

杀毒软件终于可以做到比病毒传播反应更快:在任意一台电脑截获的新病毒,云端快速响应之后,鉴定结果在极短时间内到达所有用户。

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑