Threatsense引擎
安全软件
我们常会听到「某某防毒品牌比其它品牌优胜」、「某品牌屡获权威测试机构最高评价」之类的宣传句子,但说到防毒品牌之间有何差异,却未必人人说得出来。
事实上,优胜的防毒品牌采用了怎样的压倒性技术,让它在测试中傲视同齐?这些技术又有何革命性的意义,更周全地保护我们的计算机安全呢?在本篇文章中,我们将会深入剖析 NOD32 专利的 ThreatSense Technology 与崭新的 ThreatSense.Net 系统。
直至现时,几乎所有防毒软件还是主要透过病毒数据库里的病毒特征数据,以此与扫描中的档案们加以对照,从而把合乎条件的真正病毒区分出来。面对几乎每天都有新病毒或变种出现,各防毒软件也唯有不断进行特征更新 (Signature Update) 与壮大自己的病毒数据库,确保在最短时间内把最新的病毒特征数据收录其中。
这种处理方法看似简单妥善,但网络世界里出现过的病毒种类高达 7 万多种,即使是仍活跃的品种数目也达到数千种以上;若病毒数据库要一口气全数收录,数据库体积必然非常庞大,就是在扫描系统时进行逐笔数据对照,过程也极为费时。因此,像 NOD32 等较先进的防毒程序,已逐渐改变这种特征检测 (Signature-based Detection) 的防毒方式,进化成采用较新型的普遍特征 (Generic Signature) 检测技术。
所谓普遍特征,就是指同一病毒族群中的不同变种,多半含有相同的病毒特征。不少病毒最初是以单一品种出现,及后经由其它病毒作者修改或自行演化,最后变化出数十种以上的病毒变种。若以传统特征检测方式处理,病毒数据库便要为每一种病毒变种也制作一笔独立的特征数据;而较新的普遍特征检测,则会从各变种中找出共同之处,包括一些非连续的程序代码,以此制作出通用的品种普遍特征。
在进行系统扫描时,由于采用较少笔数的特征数据项已能检测同样庞大的病毒种类,因此进行对照工序时便能大大缩短时间。同时,对于由同一品种源头变化出来的新变种,只要吻合该族群的普遍特征条件,即使未更新病毒数据库亦很有可能成功进行拦截。因此,NOD32 更新数据库需时极短,每次更新不过下载 20KB 至 50KB 不等,绝不会加重网络与硬盘的负担。
不少使用过 NOD32 的用户,都会惊讶它体积纤巧与速度惊人,其中一个成功之处在于 NOD32 采用综合性防护架构 (Integrated Protection)。NOD32 利用单一 ThreatSense 引擎处理病毒、、木马、间谍软件网络钓鱼等各类恶意程序,大大简化工序与执行效能。
某些防毒品牌利用多套独立软件处理不同的恶意程序,整套套件容量高达数百 MB 之巨,这样不单加重了系统负担,复杂的架构也造成管理困难,甚至在重叠的防护机制里造成保安漏洞。相比之下,根据 Virus Bulletin 的测试指出,NOD32 的综合性防护架构的扫毒速度往往比其它防毒品牌快 2 倍至 5 倍,表现非常出众。
互联网的普及,让新病毒能在极短时间内迅速散播至世界上的每一个角落;恶意程序的作者们在撰写新的病毒、蠕虫与间谍软件时,也致力于如何绕过防毒软件的法眼,包括利用各种组合与包装技术来伪装,好让自己的「大作」可侵入系统大肆破坏。即使采用普遍特征 (Generic Signature) 检测技术,若遇上并非由已知病毒变种而来的新病毒品种,也就是说病毒库内并无有关特征数据,防毒软件还是无法将新病毒辨认与进行拦截。为了更迅速应对危机,防毒品牌无不强调更新病毒数据库之快;但即使行动有多迅速,在病毒首次现身与用户成功更新数据库之间,还是存在一段时间差,这段时间差可由数分钟到长达数天不等,视乎防毒品牌的效率而定。
那么,计算机系统在这段时间里不就宛如出现缺口,任由病毒肆虐?针对这种状况,NOD32 的 ThreatSense 防毒引擎里除了具备普遍特征检测外,亦加入了更卓越的先进启发式技术 (Advanced Heuristics Technology),有效防止新变种的蠕虫与病毒入侵。该技术是一种主动式防护(Proactive Protection) 技术,它辨别病毒的方法并非依靠任何特征数据库,而是在档案扫描时主动地拆解与分析档案的执行码,并在虚拟的仿真系统环境里执行它,以观察是否包含任何具危险性的恶意行为。
该技术可说与普遍特征检测技术互相补足,构成完美的保安防线。例如,在 2005 年 9 月出现的 Win32/Bagle.DC 与 Win32/Bagle.DD 蠕虫病毒,特性是透过电子邮件方式感染,当时则以每小时 2000 封电邮的速度向外散播;它在设计上故意避开了依靠特征检测系统,使绝大部分依靠特征更新防毒软件无法作出实时响应。而 NOD32 的 ThreatSense 引擎则迅速发现该入侵,显示了主动式与实时防护的重要性。事实上,在国际权威的主动式防护测试里,ThreatSense 引擎均能成功拦截超过 9 成以上的零日攻击蠕虫与病毒 (Zero-day worms and virus),表现超卓。
为了强化 ThreatSense 引擎的准确性与效率,NOD32 在最新版本里加入了崭新的 ThreatSense.Net 预警系统。该系统可说是把 ThreatSense 的优秀病毒分析能力,由个人计算机范围拓展至全球性规模处理;每当客户端的 NOD32 遇到疑似病毒的档案时,便可自动或手动地将该档案压缩加密,并经由电邮寄送到 sample@eset.com,快速地交由 ESET 原厂的相关人员进行分析研究;一旦发现确定为病毒,厂方便可尽快进行后续的处理动作。
参考资料
最新修订时间:2022-04-27 15:21
目录
概述
参考资料