xiaohong9885
注册用户
积分 101
发帖 101
注册 2009-4-4
|
#1 《转自卡饭微点区对微点行为规则自动延伸的讨论帖》
其实这个话题本人两年前已经提过,但是当时提出来的时候,微点还没有上市,很多人都说条件还不成熟。
今天微点上市了,扫描也出来了,我想是再提出这个观点的时候了。早在2004年的时候,我就已经感觉到了特征码体系的落后性,现在的手段多了,也不一定再叫特征码,但是始终是围绕“收集---处理---更新---查杀”这个体系运作的。
刚才看了一位朋友写道:
引用:
云安全+主防+防挂马+高启发+网络攻击防护+系统漏洞维护
这才是最终的目的。
表面上看是挺完整的,但是全面不等于有效,我们需要的不是全面带来的心理安慰,而是经得起危险考验的有效性。现在的病毒层出不穷,加壳,定位填充等免杀手段非常的多,而且有些已经通过软件自动化,“收集---处理---更新---查杀”这个体系的基础是建立在收集上的,没有收集就没有认识,没有认识存在,云安全+主防+防挂马+高启发+网络攻击防护+系统漏洞维护都完全没有安全可言,说有的话那是幻想或者就是有利益损失也可以忽略的群体。
样本收集都是以用户为基础的,用户的数量规模,在最新型病毒攻击下中毒用户的认识水平和处理能力,都限制了病毒样本收集的有效性。然而现实的结果却是,这种收集脆弱无比:
第一,具体到某一款杀软,它的用户数量不一定多,云安全也只有区区几个用户群大的杀软可以考虑,其它的无效;
第二,认识水平高的用户少,装杀软的不一定会报样本,多数都是重装系统或者见启发报出就杀掉,报过样本的用户10%都没有;
第三,杀软附带的收集处理体系落后,云安全和主动防御都是通过已知去找未知,而云安全倚赖用户数量,比主动防御在智能上差一点。
第一和第二点都是短期无法改变的,作为一个杀软,能改变的是第三点,这篇东西,要探讨的就是如何赶在病毒作者的前面。
杀软可以去解剖病毒和病毒作者的思路,同样病毒作者也可以解剖杀软的思路,病毒也可以把主动防御应用在病毒中,形成了针对不同杀软的不同思路自动变换隐藏或攻击模式,不少病毒已经一定程度上进行着这种试验。也就是说,即使有主动防御,杀软也只是和病毒在同一水平线上。
但是,如果有一天,杀软脱离了通过已知找未知这种方式呢?这就是我想表述的主动防御更加精进的一个方向。
为什么要提出这种大胆的方式?第一,主动防御的发展已经到了瓶颈,它虽然先进,但是依然是“收集---处理---更新---查杀”这个体系的产物,它每天做的就是把捕获的未知病毒提取特征,遇到重要的行为就提取进行为库,依然是通过已知应对未知,只是时间缩短了,对于全新的病毒依然是无效的,而且人手不足的情况下压力会很大。第二,从市场竞争上来看,微点是后起,相比其它杀软市场群体是不对称的,不对称的环境就要求采用不对称的模式,别人搞扫描你搞扫描,别人搞云安全你搞云安全,那么特色何在优势何在?
摆在微点面前有两条路:第一,大力量投入搞扫描,然后改名换姓,挤进主流。第二,追求主动防御的无限精进,把做品质做标准做到底。如果它选第一条路,那么它就没有什么特别了,发这篇帖就没意义了。
如果它选第二条路,那么我个人对其依旧崇拜,我崇拜的是主动防御这东西,在2004年的时候,那时候我刚开始接触大规模的病毒爆发,当时用的还是瑞星,那时候我是用盗版的,半年才能买一张新的,自然更新这东西就几乎没有了,因此对特征码的滞后深有体会,每次装上新的版本,都扫描出几百个病毒,而原来的版本一个也发现不了,那时候我就想,病毒这东西难道就没有共性吗,没有通用的工具可以杀掉它们吗,至少杀到只剩几个也行,也好手动对付。直到等到06年,微点的诞生,让我看到了这种设想不是空想,是可以实现的。同样我相信已未知去应对未知也是可以实现的。
如何以未知去应对未知?这就是规则库的自动延伸,例如一个病毒j有A、B、C、D、E这5种行为,主动防御能识别A和B行为,把其组合为一条规则,通过这条规则识别出未知病毒j,病毒的行为都是比较具体的,每一个行为都有其实际的破坏或隐蔽目的,那么如果安全软件在拦截病毒j后自动把C、D、E行为单独入库或者组合入库,病毒得知被查杀后,病毒作者通过研究一定考虑修改A、B行为,然而这时候安全软件已经自动把C、D、E行为单独入库了,病毒修改版依旧可以拦截,拦截后同样把修改的A1,B1行为自动入库,那么就算他再修改也依旧被查杀。
这就是规则库无限延伸,以未知杀未知的设想,当然,有很多技术上的困难或者是细节上需要考虑的地方,但是它毕竟是一个可以参考的方向,一旦实现,对瓶颈中的主动防御将是极大提升,它就能走出“收集---处理---更新---查杀”这个体系,对病毒防护更加有效,主动防御的剑更加主动,更加锋利!
| |
※ ※ ※ 本文纯属【xiaohong9885】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
