»
游客:
注册
|
登录
|
帮助
微点交流论坛
»
主动防御
» 谈谈"启发式扫描技术"和"主动防御技术"的区别
18
1/2
1
2
>
作者:
标题: 谈谈"启发式扫描技术"和"主动防御技术"的区别
calm_cs
新手上路
积分 44
发帖 44
注册 2006-8-26
#1
谈谈"启发式扫描技术"和"主动防御技术"的区别
最近由于再做这方面产品的可行性分析,满世界的找资料,借此把我的一些感受和广大的杀毒技术爱好者分享一下,希望大家都来参与讨论哈。
启发式扫描技术和主动防御技术都是为了弥补被广泛应用的特征嘛扫面技术的局限性而提出来的。启发式很早提了出来,俄罗斯的杀毒软件厂商在这上面的技术处于领先的地位(随便说一句,卡巴 确实在它的产品里集成了主动防御的技术,可是我觉得它在这上面做秀的成分大于实际的成分,毕竟它是启发式扫描技术的领军人物,在它的产品里,主动防御技术只是一个辅助角色)。主动防御是最近才出现的一个十分热门的概念,很多的厂家都基于这个概念推出了自己的产品。这两种技术都是未来杀毒技术的发展方向。从它们的发展历史来看,由于启发式扫描技术的提出时间较早,已经发展了很长一段时间,而主动防御技术还处于发展的初期,所以光以它们现阶段产品的优劣来评论两种技术就有失公允。我对这些技术也是只看了一些这方面的资料,而非什么有多少深刻的讲解,所以我只好结合我对它们的了解来谈谈自己的感受。
关于这两种技术的具体原理和实现方式大家可以分别去清华的BBS上和微点的网站上看看,我在这里只是用打比方的方式谈谈我对这两种技术的理解。
首先来看看启发式原理的比方。最终用户好比是董事长,启发式杀毒系统好比是保安主任。现在董事长让保安主任来负责公司的安全问题。保安主任就想我怎么知道谁对公司有不良企图了。他从"黑客帝国"中得到起适,先将要考察的每个员工都弄睡着了,放到那个电脑虚拟的社会中去。他自己了就冲杯咖啡,像看电影一下看着每个员工在虚拟的公司里工作。当"电影"看完了,他也了解了这个员工的所有行为。他据此做出判断,某某某是个好同志。要是谁在虚拟的公司里做着诸如偷窃,泄密,挑拨离间得事,当这位破坏者还在洋洋得意的时候,保安确坐在电脑前大笑:“呵,孙子,老子先让你表演够,最后再来收拾你,小样儿”。就这样他便能完成董事长给他的任务。
再来看看主动防御的比方。保安主任接受了任务后,他马上在公司的各个地方装了无数的摄像机监视器(估计董事上办公室他不敢去装,要是董事长和小蜜在办公室....被拍到就不好了啥
),搞了一套十分完善的监视系统来监视公司的每位员工的情况。好了经过一段时间的观察,对员工的情况也基本掌握了。有人要问为什么要经过一段时间的观察了,这很正常嘛,因为现在的人都不傻,都是用高科技犯罪的啥,手法隐秘,你把它的破坏行动分开来看都是正常行为,只有联系起来才好得出结论啥。于是保安主任把搞破坏的员工请了出来,准备好好教育一下。可人家满不在乎的说:“兄弟,别忙乎了,我要做的事都做完了,你要咱办就咋办嘛,老子不在乎。” 保安主任于是把这个情况告诉董事长,董事长把他一顿臭骂,“老子花钱养你有什么用,我们的重要信息被删除,资料被竞争对手掌握,你回去好好反省”。保安主任一想,“得,老子把规矩改一改,有谁值得怀疑得,先橹了再说,宁可错杀三千,不能放过一个啥”。好嘛,这样一来,隔三差五就有人被保安主任处理并报告给董事长。过了一段时间,董事长又火了,把保安主任找来,又是一顿臭骂,”你他妈的神经病是吧,我的公司成了内奸窝是吧,得,你看看我可不可疑,要不你把我也橹了得了 ....:)“。
呵呵,上面的例子有点夸张哈,但是它也从一定程度上说明了我现在对两种技术的看法。启发式也有其自身的弱点,从上面的例子里来说,那就是搞这么一套系统花费太高,搞不好还需要进口。而且要是遇到厉害的间谍,比如(李若基微斯 那个档次的)通过一段时间的试探之后,知道了他所处的是一个虚拟的环境,到时候你笑他傻,他还笑你太天真了。
讲了这么多,我就是想说,这两种技术都有很多需要改进的地方,都有许多需要完善之处。究竟谁能做得最好,成为以后业界的主流,那就要看各自的本事了。希望大家多多的讨论,俗话说,理不辨不明嘛。我希望论坛里的朋友都能信守一个原则: 我不同意你的观点,但我坚决捍卫你说话的权利。
※ ※ ※ 本文纯属【calm_cs】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-29 16:25
aidi
中级用户
新手上路
积分 256
发帖 221
注册 2006-3-6
#2
非常佩服楼主对技术执著精神
但感觉楼主还需要继续做更深入的测试,光是学习网站上的原理与材料还是不够的,因为正向楼主所说两种技术都处于发展阶段甚至是发展的初期,就像一所大学新开了一个专业一样,都是全新的知识与管理,不可能像那些已有数十年管理经验的专业,你所能查到的新专业只是其中的一部分跟多的都得像你一样还需要深入的测试;能够积累的只能是去实践;
上面比喻中所说的启发式扫描技术更倾向于虚拟机,应该说没有体现出启发式的特点;启发式好比是无间道中的警方卧底,它可以根据自己在罪犯那里看到的那个档案袋、罪犯卧底那个敲拍子的动作给那个人加权,最终的权值之合高过了预先制定好的阀值,确定那个警察是可疑的,他的嫌疑是最大的,但他没有十足的证据证明这个人就是卧底,最终还是命丧在他的枪下;
主动防御,靠的不只是那些监视系统所反映的画面,它是一位资深的保安主任,他有很多这方面的经验,可以自己判定一个人的好坏,不是等那个间谍做完了窃取的行为才去抓他,而是在他准备窃取时首先阻止他当前的行为,对于情结较轻的交与董事长处理,情节严重的直接移交到公安机关处理;
两种技术都有各自的优点,都可以互相的借鉴,相信最终的反病毒技术不只是单一的,应该是多种技术的结合体,就像一个球队,有人做前锋也需要有人做门将,一个进攻一个防守,两者都强才是最好的球队。
※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-29 17:29
calm_cs
新手上路
积分 44
发帖 44
注册 2006-8-26
#3
谢谢二楼的朋友
二楼的朋友对启发式的实现原理的补充是很正确的,大家如果要深入了解可以去我提到的网站上(清华BBS)看看。我也会继续学习,欢迎大家来讨论,人者见人,智者见智了。呵呵,今天下班了,改天接着聊吧。
※ ※ ※ 本文纯属【calm_cs】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-29 17:40
zqrsc
版主
反病毒区版主
积分 1133
发帖 1118
注册 2005-11-22
来自 .net
#4
看起来两位很可能成为莫逆~
俺乐观其成~
明天继续啦~ 呵呵~
收工~收工~~
※ ※ ※ 本文纯属【zqrsc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~
2006-8-29 18:22
FairLife
新手上路
积分 23
发帖 23
注册 2006-8-24
#5
"启发式扫描技术"我没体会。
楼主对"主动防御技术"的比方好像偏颇了。和“特征码”一样是监视,只不过一个是特征码,一个是行为特征。系统资源消耗我“想”差别不是很大。
特征扫描是看你的学历,行为扫描是看你的能力。嘿嘿。。。
※ ※ ※ 本文纯属【FairLife】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-29 18:42
nasdaq
版主
版主
积分 1140
发帖 1118
注册 2006-4-6
#6
首先,calm_cs的讲述非常精彩,具体而形象。另,对calm_cs朋友始终保持心平气和地与不同意见者进行讨论,表示尊敬和钦佩。呵呵,
按照calm_cs的描述,我对启发式的理解就是适合于全盘扫描杀毒,而不适合于用作实时监控。因为我觉得如果应用于实时监控,先把程序在虚拟机里过一遍,再实际运行,用户的体验恐怕只能是又卡又慢了。
呵呵,看了aidi的补充,我才知道我说的其实是虚拟机哈。
行为引擎,我觉得理论上的最佳情况应该是在小偷把手伸进口袋的一瞬间出手,人赃俱获,小偷被带走,事主也没有任何损失。当然为了提高安全度,实际操作的时候可能是在那一瞬间之前一点儿警察就出手了,因为绝不可以让事主出现任何的损失。显然行为引擎很适合应用于实时监控。
我个人认为,微点所说主动防御应该不是单独指一个行为引擎,而是指包含行为引擎的一整套信息安全解决方案。
※ ※ ※ 本文纯属【nasdaq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-29 20:08
calm_cs
新手上路
积分 44
发帖 44
注册 2006-8-26
#7
神探不好做呀
下午来这里转了转,发现有一个用户抱怨微点的产品老是报有可疑行为发生。这也正是我对"光依靠"主动防御技术的杀毒产品的担心和质疑,也是为什么我强调在现阶段最好作为一块辅助杀毒工具推向市场的原因。如果没有其它杀毒技术的配合,光依靠主动防御技术,很容易发生类似“狼来了”的时间。这倒不是微点的技术不行,而是在这方面的产品都有这个通病。因为再真实的环境下,为了在病毒破坏之前采取措施就不得不进行“严打”嘛。而采用了虚拟机技术的启发式扫描的杀毒技术在这点上确更容易做到一种平衡,既不放过一个坏人也不冤枉一个好人。因为在虚拟的环境下随你怎么做都不能造成真实的危害。所以我尽可以让病毒尽情的表演,直到它狐狸尾巴露出来再动手。 呵呵,其实我也再想,不管是现实的世界还是IT世界,要做到一个神探都是很不容易的呀。
最后我在补充一下,也许有的朋友还不轻松启发式扫描这种技术,简单说来,不1楼和2楼的内容看一下,基本可以了解它的概念了。这种技术和主动防御技术一样,是不需要特征码的。
※ ※ ※ 本文纯属【calm_cs】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-30 16:35
aidi
中级用户
新手上路
积分 256
发帖 221
注册 2006-3-6
#8
“误报”问题应该不只微点主动防御有,启发式扫描好像也存在而且多于主动防御;
正如楼上所说,要想做到足够的安全,采取措施就不得不进行“严打”;但是随着主动防御技术的发展,这种误报的情况会越来越少的;
虚拟机技术,目前水平应该也还不是能够达到很高,它所模拟的软件环境还是存在问题的,并不能够保证完全准确的,在系统资源占用方面也是一个缺陷;有些病毒只在特定的软件环境下才会被激活发作,在模拟的环境下只是正常的程序,而到了用户的系统中就开始做坏事了,这种情况还是防不胜防的;
最安全的还是多种技术的结合!
[
Last edited by aidi on 2006-8-30 at 17:20
]
※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-30 17:13
calm_cs
新手上路
积分 44
发帖 44
注册 2006-8-26
#9
非常同意aidi朋友的观点
十分同意aidi的观点,这位朋友关于当前虚拟机的问题说得很到位。感兴趣的朋友可以去清华的BBS上看看相关的详细资料,这里我大概讲一下吧,所谓的虚拟机并不是想VMware那样一个完整的虚拟机,而是一个简化的版本。如何做到执行效率与模拟的完整性的平衡,是当前虚拟机技术面临的一个最大的挑战。当前的许多病毒也针对杀毒引擎中的虚拟机技术的不完整性做了很多反虚拟机的处理,所以虚拟机技术也还有很多路要走。
我与aidi朋友的观点的不同之处在于用上了虚拟机技术后,病毒由于没有真正的执行,无论它执行多久,都不能造成实际的危害。在这样的情况下,启发式扫描技术无疑会有更多的选择。在进一步说,我其实觉得启发式扫描技术和主动防御技术都差不多,都是靠规则办事。但是,由于启发式扫描技术是运行在可控的虚拟机上,有一种我的地盘我做主的感觉哈,它的自由度比架构在真实环境上的主动防御技术无疑要大得多。当然,天下没有免费的午餐,这种自由度是以执行效率换来的。
所以我觉得,目前没有一种技术能够解决所有的问题。只有综合现有的各种技术,包括特征码扫描技术,才能为用户提供一种可靠的计算机安全解决方案。
下班了,各位朋友,明天见哈。
※ ※ ※ 本文纯属【calm_cs】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-30 17:50
aidi
中级用户
新手上路
积分 256
发帖 221
注册 2006-3-6
#10
换个角度考虑,calm_cs所担心的问题是真实环境中,病毒已经发作达到了破坏的目的,虽然被发现但已经是亡羊补牢了;这就是问题的关键所在,为什么微点官方一直强调微点随系统启动很重要,这就是在于微点强大的底层监控能力,“微点分布在操作系统的众多探针,动态监视所运行程序调用各种应用编程接口(api)的动作,自动分析程序动作之间的逻辑关系,自动判定程序行为的合法性,实现自动诊断新病毒,明确报告诊断结论”相信能达到这个底层技术的病毒是很少的,就连现在的杀毒软件也没有几个敢保证已经做到这个级别;就像前段时间的灰鸽子一样,开始时杀毒软件都发现不了,后来有了样本,提了特征却确又清除不了,为什么?因为权限不够,自身的启动没有病毒启动的级别高,微点当时是完全可以发现并清除鸽子的;所以主动防御完全可以监控到病毒的行为,在病毒真正对系统造成危害前彻底的清除病毒;
当然,没有一款安全软件可以说自己是万能的,所有的病毒都可以查杀的;病毒的技术也是在飞快的发展的,反病毒技术更需要进一步的更新完善,在相互的竞争中谋求生存;
※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-31 10:35
18
1/2
1
2
>
论坛跳转:
微点软件公测区
安全快报
> 病毒快报
> 漏洞快报
微点产品在线技术支持
> 微点主动防御软件
> 预升级反馈专区
> 微点杀毒软件
微点用户交流区
> 微点新闻
> 微点软件使用交流
> 微点茶室
安全技术交流区
> 主动防御
> 反病毒
> 防火墙
综合区
> 电脑&数码
> 体育&娱乐&休闲
> 灌水区
版务管理
内部使用专区
可打印版本
|
推荐
|
订阅
|
收藏
[
联系我们
-
东方微点
]
北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司
闽ICP备05030815号
