道高一尺 魔高一丈
道高一尺 魔高一丈 传统病毒特征码比对已现疲态
病毒特征码像是犯人的指纹,当防病毒软件公司收集到一个新的病毒样本时,他们就会从这个病毒程序中截取一小段独一无二,而且足以表示这个病毒的二进制程序代码 (Binary Code),来当做扫毒程序辨认此病毒的依据,这段独一无二的二进制程序代码就是所谓的病毒特征码。因为病毒的种类及型态一直在改变,新病毒每天不断的被写作出来,如果不经常更新病毒特征码,再强悍的防病毒软件也会失灵。今天,由于新的恶意软件海量出现,而且在线自动更新变种,这使得采用传统的病毒特征码防护工作变得非常困难。
不断更新的病毒特征库,不仅文件越变越大,而且无法追上新病毒产生的速度。2001年,每周更新一次病毒特征码成为了业内的共识。那时病毒的生命周期较长,每周更新一次足以保证计算机的安全。随着病毒的生命周期的缩短,更新病毒特征码从每周一次到每天一次,再到每小时一次,甚至以分钟计算的地步。但即便这样,传统的病毒特征码防护价值仍在缩水,对遏制主流Web威胁已经起不到太大作用。
传统的反病毒应付这些木马,需要先从客户端得到病毒样本,然后进行研制作出解决样本,再通过成功测试,最终还需端点用户下载更新病毒代码才能实现真正的病毒防护工作。如上文所说,目前每隔4秒种就有一个新病毒诞生,而在4秒内,我们可以做出病毒特征码并分发到各个终端吗?这显然是不现实的。
仅针对制作病毒特征码的环节,每天2万个病毒就至少需要1000位资深病毒分析工程师一刻不停地进行分析才能完成,由于病毒仍在持续加速产生,这对任何一个安全厂商来讲,如果没有技术上的革新,最终都会走到一个人力的瓶颈。目前单个病毒的发作周期日益缩短,病毒特征码的防护有效性正变得越来越低,传统的代码比对技术因此变得越来越不经济。
网友评论