主动防御技术
80年代末期,基于个人电脑病毒的诞生,随即就有了清除病毒的工具──反病毒软件。这一时期,病毒所使用的技术还比较简单,从而检测相对容易,最广泛使用的就是特征码匹配的方法。然而为了躲避杀毒软件的查杀,病毒开始了进化,逐渐演变为变形的形式,每感染一次,就对自身变一次形,通过对自身的变形来躲避查杀。
这样一来,同一种病毒的变种病毒大量增加,杀毒软件单纯依靠病毒库和特征码技术已经不能适应如今的网络安全。于是,便出现了广谱特征码的概念,这个技术在一段时间内,对于处理某些变形的病毒提供了一种方法,但是也使误报率大大增加,所以采用广谱特征码的技术目前也不能有效的对新病毒和未知病毒进行查杀,那么,现如今种类繁多的杀毒软件都有哪些新技术和新特征来适应当前的病毒威胁,又是如何实现的呢?
主动防御技术
由于传统的基于病毒库扫描的反病毒软件都是很被动的,只能在新病毒出现之后才能有应付措施,一个病毒制造者所编写的病毒很有可能在被杀毒软件厂商截获并添加到产品病毒库之前进入用户电脑。
此时,由于该病毒的特征码还未添加到杀毒软件病毒库中,杀毒软件会将病毒认为是正常文件而放过,使得用户电脑被病毒所感染。因此,业界将能够主动检测和拦截未知威胁的防御方法称为“主动防御”。
杀毒软件具有滞后性,这是业界公认的一个杀毒软件弊端,而主动防御却很好的解决了这个问题。主动防御技术主要是针对未知病毒提出来的病毒防杀技术,在没有病毒样本的情况下,对病毒进行全面而有效的全面防护,阻止病毒的运作,从技术层面上有效应对未知病毒的肆虐,一是在未知病毒和未知程序方面,通过“行为判断”技术识别大部分未被截获的未知病毒和变种。
另一方面,通过对漏洞攻击行为进行监测,这样可防止病毒利用系统漏洞对其它计算机进行攻击,从而阻止病毒的爆发。
然而由于主动防御概念,各厂商技术水平不同,其效果悬殊也较大,最显著的弊端就是常常出现大量的误报或误杀,或是将行为监控和病毒特征码监测结合的方式等同于主动防御,虽然病毒运行时其行为监控有警报提示,但就算用户选择“拒绝”操作也无法阻止病毒的运行。
在《c′t》杂志对全球17款主要杀毒软件进行了测试中表明,在新病毒查杀方面,杀毒软件的平均检测率只有20%~30%,甚至低于去年的40%~50%。相比之下,只有ESET NOD32和BitDefender表现较好,查杀率分别为68%和41%。值得一提的是, ESET NOD32采用世界领先的高级启发式ThreatSense@引擎,可同时支持基因码,虚拟机,以及代码分析这三种启发式防毒技术,在查杀大部分未知病毒的同时只产生了极少的误报,为业界最低,因此ESET NOD32的ThreatSense技术被公认为主动防御技术成熟和稳定的集大成者。
网友评论