微点交流论坛 - 主动防御 - 超越“智能”主动防御打造全新防护系统

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 超越“智能”主动防御打造全新防护系统

1/2

tcjgdw@163.com
中级用户

积分 223
发帖 216
注册 2007-12-26

#1 超越“智能”主动防御打造全新防护系统

经过对江民2009和微点主动防御长期辛苦测试，收获颇丰。为推动国内杀毒技术不断向前发展、进步，早日跨入世界杀毒技术先进行列，特提出本人一点肤浅认识。
基本原则:以人为本、突出重点、运行流畅、界面简洁
   一、以人为本。就是不断满足广大电脑用户保障电脑安全的需要，并易于安装、操作，让人放心、省心；就是要在不断满足广大电脑用户需求基础上、促进杀毒技术快速发展，作为杀毒厂商发展的根本出发点。要求在现有技术水平的基础上继承、丰富和发展，有所为、有所不为。要有决心和魄力，抛去没有发展潜力的技术，在几项杀毒技术关键领域有所发展、突破。
   二、突出重点。个人认为杀毒界目前和今后一段时期研究重点和核心杀毒技术在于“智能”主动防御、自动提取未知病毒特征值和改进杀毒软件自身一些弊病。如占用系统资源过多，运行不流畅，与其它软件的兼容性较差。有很多人会对我提出发展“智能”主动防御技术作为重中之重理解并不全面，后面有详细介绍。
三、运行流畅。电脑运行要流畅，并且兼容性能突出,就要杀毒软件在保证安全性的同时尽量少占用内存资源，少开监控。目前各种杀毒软件监控太多。个人认为只要开启实时监控（主要是文件监控）、主动防御监控足以。各杀毒软件在测试期间可以试行只开实时监控和主动防御功能进行测试，在大多数人对杀毒软件占用系统资源比较满意的基础上再尝试着一项一项增加其它功能，只有这样才能找到杀毒软件严重占用资源问题所在，并在此基础上找到解决问题的办法。
四、界面简洁。界面设计和安排上变化过于频繁。杀毒界好像进入了一个怪圈，杀毒软件界面好像一年不来个彻底改变就不是好软件，特别是界面功能选项在设计安排上一年一个样，搞得大家每年都来重新熟悉，每年好像都是在用一个全新的软件，我认为功能可以全新，但界面并不一定要全新，简洁、直观、悦目为主。
下面谈谈杀毒软件核心技术实现过程：
建立功能强大的“三库”，实现主动防御人人共享
一个杀毒软件应建立完善的“三库”。一是已知病毒特征值库；二是弥补主动防御误报的“白名单库”，白名单库主要针对具有病毒行为的杀毒软件、防护要求较高的系统文件以及常用的并经常升级的应用软件；三是未知病毒特征值库。“三库”每天及时升级，让所有用户都能共享资源，及时防范和查杀未知病毒，只有这样才能避免新病毒在互联网上漫延和传播，克服常规收集病毒样本模式：手工上报、手工分析、手工提取特征值、手工测试、升级入库。往往是新病毒在全国漫延传播开来杀毒厂商才有所反应，实行未知病毒库后，当一个新病毒在第一次出现后就会通过自动提取、自动上报、自动入库、自动升级（整个过程都可以采取自动方式进行），我认为在10分钟内全国用户就能查杀，防止像“熊猫烧香”在互联网上大规模传播，超越“云安全”。一旦未知病毒特征值入库，其实就是已知病毒，差别就在于名称上不同。通过特征值查杀能克服智能主动防御的不足，智能主动防御是行为防御，行为防御往往要病毒实际运行后才能报警，特征值查杀就能避免病毒程序在电脑里生成一些垃圾文件和漏网之鱼，较好地保持电脑干净。
重点谈谈未知病毒库。对于通过智能主动防御判断为未知木马、病毒、间谍、可疑等程序通过自动提取其特征值，然后通过网络自动上报杀毒厂商的服务器（我认为技术上不难实现，关键在于主动防御的智能判断，一个病毒的特征值很小，占用网络速度很小，基本上不会影响电脑用户网络速度），让每一个电脑用户都成为病毒收集、上报员。在汇总未知病毒特征值的基础上，建立一个庞大的动态的未知病毒特征值库，这个未知病毒特征值库可以像已知病毒特征库一样，让所有用及时户升级共享这个特殊的“病毒库”。对每个入库的未知病毒进行编号，方便管理和维护。未知病毒特征库一定要实行动态管理，要建立一个未知病毒特征值数据库管理系统，对已采集到病毒样本并明确病毒名称的及时从未知库中转移到已知库，数据库每天要进行日常维护和管理，还要充分利用库对未知病毒分析，及时掌握未知病毒发作、感染疫情。
二、快速实现智能主动防御思路(略,涉及到核心技术)
         三、充分利用主动防御和未知病毒特征值库打造防火墙
防火墙可以集成在杀毒软件中，充分利用主动防御、白名单库、未知病毒特征值库。允许白名单库中的程序访问网络，阻止主动防御拦截的和未知病毒特征值库中的程序访问网络,对于通过主动防御又没有在白名单中的程序联网动作进行提示，让用户自行处理。防火墙的设置针对性要强，总结、归纳用户上网方式类型，针对每种上网类型用户设计一个专用规则包。比如“ADSL拨号上网规则包”、“局域网用户规则包”等。对于局域网电脑用户,在防火墙上应增加防ARP攻击功能。
打造具有查杀毒未知病毒的扫描引擎和实时监控，超越“启发式扫描”技术，淘汰“云安全”。
可以对主动防御拦截的未知病毒进行详细分类：未知木马、未知网络蠕虫、未知邮件蠕虫、未知后门程序、未知间谍软件、未知黑客程序、未知游戏木马、未知MSN网络蠕虫、未知病毒、未知恶意程序、未知可疑程序（对于不好判断的未知可疑程序特征值可以不纳入病毒库升级，提高查杀准确率）等。在实时监控和扫描时，不光把已知病毒库作为对照检查对象，一并把未知病毒库作为对照检查对象。这样就能实现实时监控和扫描未知病毒，只要主动防御的准确率达到百分百，实时监控和扫描未知病毒就能达到百分百准确率，启发式扫描难度在准确率，并且不能实现实时监控，技术上实现起来难度很大。“云安全”目前还是一个概念，实现成本很高，投入不是一般厂商能承受。
后语：以上仅是本人研究智能主防后的想法，研究思路可以延伸到广告软件和流氓软件，不正之处，请批评指正。

[ Last edited by tcjgdw@163.com on 2009-3-22 at 23:00 ]

※ ※ ※ 本文纯属【tcjgdw@163.com】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-3-22 22:59

爱在未来
高级用户

积分 709
发帖 713
注册 2009-2-24
来自重庆

#2

"云安全"只是口号而已.国内杀软路慢慢.微点的发展思路很接近国际化.不过还有改进的地方.

※ ※ ※ 本文纯属【爱在未来】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-3-22 23:50

zhuqilh
注册用户

积分 185
发帖 219
注册 2009-3-3

#3

恩

※ ※ ※ 本文纯属【zhuqilh】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-3-23 16:06

mamsds
银牌会员

积分 1373
发帖 1360
注册 2008-3-15
来自乌克兰

#4

有道理.....
但是说的太简单了，没什么具体的...........

※ ※ ※ 本文纯属【mamsds】个人意见，与【微点交流论坛】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.

2009-3-23 17:46

HomeSGerMine
银牌会员

■■微点护卫队队长■■

积分 4888
发帖 4785
注册 2009-3-8
来自哪里有微点，哪里就有我

Quote:

Originally posted by 爱在未来 at 2009-3-22 23:50:
"云安全"只是口号而已.国内杀软路慢慢.微点的发展思路很接近国际化.不过还有改进的地方.

嗯！云安全可以说是一种临时的办法，不是长远的对策。以后病毒越来越多，总有一天云安全也会失效了...所以，要以静制动，以主动防御病毒才是解决办法的根本！

※ ※ ※ 本文纯属【HomeSGerMine】个人意见，与【微点交流论坛】立场无关※ ※ ※

东方之荣耀，中华之微点！---Microp●int

2009-3-24 12:52

飞翔的心情
禁止访问

积分 115
发帖 115
注册 2008-11-20

#6

支持微点，目前主动防御微点做的最好，识别未知病毒很牛很厉害很准确，微点智能性也是很好，资源占用也是很少的。

※ ※ ※ 本文纯属【飞翔的心情】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-3-24 22:10

hzjcla
注册用户

积分 166
发帖 164
注册 2006-11-29

#7

楼主好像是搞政工的文笔。在文革期间见的多了。（老夫65啦）

※ ※ ※ 本文纯属【hzjcla】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-3-25 11:15

lixuelin1015
注册用户

积分 117
发帖 119
注册 2009-3-12

#8

深奥

※ ※ ※ 本文纯属【lixuelin1015】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-3-25 17:32

坐照
银牌会员

正式版用户

积分 1426
发帖 1422
注册 2009-3-24
来自湖北宜都

#9

写这么多字，辛苦了。

※ ※ ※ 本文纯属【坐照】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-3-27 08:44

fengyifan
新手上路

积分 10
发帖 10
注册 2009-3-1

#10

这个现在都在搞其实作用不大啊！

※ ※ ※ 本文纯属【fengyifan】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-3-28 12:07

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号