启发式技术
前言
杀毒软件之间的完全竞争,同时也包括技术竞争。这些年杀毒技术的日新月异,从传统的DOS下扫描杀毒的KV系列,后来相当一段时间,基本依赖于病毒库扫描。
后来不断改进杀毒引擎,出现双核“杀毒软件”,乃至“四核”杀毒软件后,杀毒软件并没有像CPU那样,而是发展新技术。由于反病毒厂商的不断创新,杀毒软件不再坐以待毙,主动防御、启发式扫描,更有甚者将“GHOST”系统集成进杀毒软件,体现的是一种不断超前的理念。
主动防御技术,经过这两年的研发,已经越发成熟并成为如今的主流。然而另一种先进的技术还被不为大众所熟知,它就是“启发式技术”。
1、启发式定义
启发式指的是具有自我发现的能力、运用某种方式和方法来判定事物的知飒和技能。启发式分折就是利用计算机病毒的行为特征,结台以住的知识和经验,对未知的可疑病毒进行分析和识别。
2、启发式分析的实现原理
在具体实现上,启发式扫描技术是相当复杂的。通常这类检测软件不仅要对系统进行扫描,还要能够探测许多可疑的指令序列。如格式化磁盘类操作,驻留内存操作等。
然后根据这些可疑操作的危害程度制定不同的权值(threshold),并使用特定的规则进行计算权值后与设定值比较。经典的启发式规则描述如下算式:
可以定义F=a1*Oper1+a2*Oper2+??+an*Opern,其中,an表示相应参数的权值,Oper n表示操作或行为,满足a1+a2+??+an=1。1,an的取值体现了相应标志在病毒特征中的重要程度。F反映了程序为病毒程序的可疑度, 显然F的取值为0~1。
说明:由于论坛显示能力所限,如a1为a的1次方,an为a的n次方。
启发式技术之误报控制
3、误报控制措施
因为一些正常程序在一些情况下也可能发生如上所说被用于恶意程序的行为,因此凡是基于权值判定的启发式技术发生误报在所难免。这便是启发式技术会产生误报的根源。在目前的技术条件下,完全做到启发式技术不发生误报是不可能的,但是技术优秀的厂家可以在保持高启发效率的前提下做到了尽量低的误报发生概率。大致有这么几种主要措施:
(1)通过大量实验,精准的得出权值F。
(2)设计好排除检测库。即只要用户选择排除的文件一律不进行启发式检测。
(3)实现更高级的启发式算法。(请见本系列后续文章)
结论:
1、作为经典的启发式理论,其实目前在主流杀毒软件中单独应用不多,而代之以各种各样的改进技术。但是作为各种流派启发式技术的共同理论基础,大家首先了解这一点是非常必要的前提。
2、大家如果经常使用各种杀毒软件就会总结出这样一个规律,对于偏重于启发式技术的杀毒软件,会有这么几个特点:
(1)高启发,高误报。(2)高启发,低误报。(3)低启发,低误报。
显然,只有身怀启发式技术绝技的厂家才能做到2,其余的只能是在1或者3中选择一种道路。但退而求其次的时候,我个人倾向于宁可选择3也不要选择1。
下期预告:若干主流改进启发式技术理论介绍
网友评论