xiaoyaoren 发表于 2010-1-22 13:13

请问安天对主动防御这个问题是怎么看的?

东方微点的刘旭先生说:主动防御技术是依据程序行为,自主识别和判断程序是否是病毒的一项反病毒新技术。它通过对病毒行为规律分析、归纳、总结,并结合反病毒专家判定病毒的经验,提炼出病毒识别规则知识库;模拟专家发现新病毒的机理,通过分布在用户计算机系统上的各种探针,动态监视程序运行的动作,并将程序的一系列动作通过逻辑关系分析组成有意义的行为,再结合应用病毒识别规则知识,实现对病毒的自动识别。主动防御软件采用主动防御技术能够自主分析判断病毒,实现了对未知木马和新病毒的主动防御,解决了杀毒软件无法防杀不断出现的未知木马和新病毒的弊端。刘旭认为,主动防御技术是解决目前病毒危害比较理想的反病毒技术。
1. 请问安天是否同意刘旭先生的论点?
2. 安天对主动防御这个问题是怎么看的?
3. 安天是否会将这种技术融入刀安天防线里?

liveck 发表于 2010-1-22 13:42

东方微点的刘旭先生说:主动防御技术是依据程序行为,自主识别和判断程序是否是病毒的一项反病毒新技术。它 ...
xiaoyaoren 发表于 2010-1-22 13:13 http://bbs.antiy.cn/images/common/back.gif

刘旭先生说了,主动防御判断的依据是程序行为,那也就是说,如果在程序的一系列行为发生之前是无法判断的。也就是说,至少要等到程序发生的行为足够判断才能告知用户发现了某个病毒。
这里就有以下几个问题:
1.程序发生的行为不足够判断的时候,是不是这些行为就没有危害呢?
2.当这些行为发生了,造成的后果是否可以还原?
3.根据行为识别的规则去判断,就需要规则集不断的被扩充,否则无法适应互联网每天新产生的程序。不断膨胀的规则集,给用户带来的负担,会比特征库更小么?

主动防御是一种判断方法,但是这种方法不是万灵的,有其适用的范围。
例如:我们诊断流感是不是甲型,最终的根据是病毒的DNA,而不是患者的发病表现。

安天已经在使用主动防御技术了,在安天防线、锐甲中就是用了行为分析判断网页是否挂马。

xiaoyaoren 发表于 2010-1-22 14:54

原来如此
谢谢解答受教了{:4_312:}

英仔 发表于 2010-1-23 17:15

回复 2# liveck


    哪麼即是考不考慮加入?
不是銳甲那個

马力 发表于 2010-1-23 18:27

特征库与主动防御需要并存

81M 发表于 2010-1-24 19:45

支持并存说,以后恶意代码的发展必然是一个综合性的结合趋势,单独依靠任何一种技术来防范可能都是不完全的

81M 发表于 2010-1-24 19:46

是否可以考虑再加入适当的白名单技术

liveck 发表于 2010-1-25 09:50

是否可以考虑再加入适当的白名单技术
81M 发表于 2010-1-24 19:46 http://bbs.antiy.cn/images/common/back.gif

黑白名单是有效加快识别的一种方式,但是随着时间黑白名单都会不停的膨胀,也就是说,对于实际的产品,是无法保持一个全集的黑名单或者白名单的,毕竟数以千万的记录用户可能还可以接受,但是到了上亿,相信没有几个人还愿意这些记录在自己机器上占用大量的内存了。
当然,对于海量文件白名单是有一些优化方法的,在这里就不详细说了。

liveck 发表于 2010-1-25 09:51

回复liveck


    哪麼即是考不考慮加入?
不是銳甲那個
英仔 发表于 2010-1-23 17:15 http://bbs.antiy.cn/images/common/back.gif

会考虑选择一种合适的方式加入产品中。有条件限制的使用主动防御,而不是依赖于主动防御。

英仔 发表于 2010-1-26 01:56

回复 9# liveck


    那麼啓發式技術呢?貌似安天現在只有報殼

英仔 发表于 2010-1-26 02:03

還有現在安天報COOKIES,COOKIES的隱憂有多大?

英仔 发表于 2010-1-26 02:06

還有好像監控不攔截COOKIES和什麼TXT的廣告插件,只有掃描才清除,為什麼?

英仔 发表于 2010-1-26 02:08

回复 9# liveck


    但是微點是以主防為主,黑名單做輔,也能逹很高的防禦效果

liveck 发表于 2010-1-26 08:52

回复liveck


    那麼啓發式技術呢?貌似安天現在只有報殼
英仔 发表于 2010-1-26 01:56 http://bbs.antiy.cn/images/common/back.gif

启发式技术已经在用了,只是名称与普通病毒差不多,所以不是很明显能看出来。

liveck 发表于 2010-1-26 08:54

本帖最后由 liveck 于 2010-1-26 09:08 编辑

還有現在安天報COOKIES,COOKIES的隱憂有多大?
英仔 发表于 2010-1-26 02:03 http://bbs.antiy.cn/images/common/back.gif


追踪COOKIE的隐忧主要是来自广告商记录用户的行为轨迹,上网习惯。也就是说,COOKIE是作为一个标识,你在浏览网页时如果发现这个COOKIE了,就知道,哦,你的编号是9527,你都去过这些网站了,今天该给你投放这些广告。
因为页面会反复多次创建COOKIE,而且只有创建并写入内容之后才能判断出来是或者不是,所以监控并清除COOKIE,会造成较大磁盘IO性能消耗,
页: [1] 2
查看完整版本: 请问安天对主动防御这个问题是怎么看的?