作者 主題: 防毒策略變更-行為偵測取代特徵比對  (閱讀 4297 次)

0 會員 與 1 訪客 正在閱讀本文。

DarkSkyline

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
2007-1-29/ 資訊傳真周刊/ 撰文
由於電腦病毒問題氾濫、相關技術不斷提升,傳統上以病毒程式碼特徵比對的防毒方式已逐漸顯露不足, 賽門鐵克 ( Symantec )日前宣布,該公司併購WholeSecurity後,已能夠提供針對病毒行為偵測的防毒技術,提升惡意軟體檢測能力。除賽門鐵克外, 趨勢科技 的防毒技術也包含有人工智慧陷阱(Rule-based)的行為偵測,以強化對未知威脅的防堵能力。

賽門鐵克提供的技術稱為前瞻回應線上網絡 ( SONAR ;Symantec Online Network for Advanced Responce),是一種行為偵測的技術,可以在建立病毒定義檔及間諜軟體偵測定義檔前,阻止惡意程式碼侵入。該公司指出,新興且未知的惡意程式碼會透過木馬程式、蠕蟲、大眾郵件病毒、間諜軟體或者下載軟體病毒的形式進行攻擊與破壞。當許多產品僅使用一組有限的啟發式法則時,SONAR可以透過廣泛且異質的應用行為數據,大幅提升其防護能力,且明顯地將誤判率降至最低。對消費者而言,將可以不需透過繁瑣的確
認提示,即能達到零時差的防護效果。SONAR技術不需受到用戶既有的經驗限制,以及額外的系統資源,就可以保護消費者免除新興威脅的影響。因此,當客戶使用SONAR進行防護時,不需要客戶進行交互作用。

趨勢科技表示,該公司使用的人工智慧陷阱是一種監測電腦行為的常駐式掃描技術。它將所有病毒所產生的行為歸納起來,一旦發現記憶體的程式有任何不當的行為,系統就會有所警覺,並告知使用者。這種技術的優點是執行速度快、手續簡便,且可以偵測到各式病毒;其缺點就是程式設計難,且不容易考慮週全。不過在這千變萬化的病毒世界中, 人工智慧陷阱掃描技術是一個至少具有保全功能的新觀點。目前趨勢科技的PC-cillin,就對病毒的可疑行為設下了將近12道的陷阱, 以達到預防重於治療的目標。

事實上,前述各公司技術都是異常偵測的應用,台灣電腦網路危機處理暨協調中心( TWCERT )的技術分析指出,異常偵測則是對使用者或網路流量先建立一個「正常」的行為模型,再對通過的封包去做比對,假如超過正常行為的門檻值就是視為異常。此種做法的優點是可以偵測未知型態的入侵,但是誤判率可能會非常高,因為我們很難去正確定義何謂「正常」? 況且使用者的行為也經常在變,導致誤判經常發生。

賽門鐵克消費性產品事業部副總裁Rowan Trollope表示,該公司的SONAR技術與其他技術不同的主因在於,賽門鐵克的啟發性偵測演算法具有高準確率,其潛在威脅誤判率僅有0.0004%,而這樣的成果是業界首見。

資料來源: CPRO 資傳網
http://www.cpro.com.tw/channel/news/content/?news_id=53956
ark Skyline - 三分技術,七分管理 -
網路設備專業團隊 - www.ublink.org

tcwy

  • 憂鬱的高中生
  • ***
  • 文章數: 93
  • 性別: 男
    • 檢視個人資料
防毒策略變更-行為偵測取代特徵比對
« 回覆 #1 於: 2007-01-31 17:04 »
這應該不是什麼新技術了!

可見這兩家公司的功夫還不到家 ... 中毒率還是那麼高!