请问安天对主动防御这个问题是怎么看的？

东方微点的刘旭先生说：主动防御技术是依据程序行为，自主识别和判断程序是否是病毒的一项反病毒新技术。它通过对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼出病毒识别规则知识库；模拟专家发现新病毒的机理，通过分布在用户计算机系统上的各种探针，动态监视程序运行的动作，并将程序的一系列动作通过逻辑关系分析组成有意义的行为，再结合应用病毒识别规则知识，实现对病毒的自动识别。主动防御软件采用主动防御技术能够自主分析判断病毒，实现了对未知木马和新病毒的主动防御，解决了杀毒软件无法防杀不断出现的未知木马和新病毒的弊端。刘旭认为，主动防御技术是解决目前病毒危害比较理想的反病毒技术。
1. 请问安天是否同意刘旭先生的论点？
2. 安天对主动防御这个问题是怎么看的？
3. 安天是否会将这种技术融入刀安天防线里？

东方微点的刘旭先生说：主动防御技术是依据程序行为，自主识别和判断程序是否是病毒的一项反病毒新技术。它 ...
xiaoyaoren 发表于 2010-1-22 13:13

刘旭先生说了，主动防御判断的依据是程序行为，那也就是说，如果在程序的一系列行为发生之前是无法判断的。也就是说，至少要等到程序发生的行为足够判断才能告知用户发现了某个病毒。
这里就有以下几个问题：
1.程序发生的行为不足够判断的时候，是不是这些行为就没有危害呢？
2.当这些行为发生了，造成的后果是否可以还原？
3.根据行为识别的规则去判断，就需要规则集不断的被扩充，否则无法适应互联网每天新产生的程序。不断膨胀的规则集，给用户带来的负担，会比特征库更小么？

主动防御是一种判断方法，但是这种方法不是万灵的，有其适用的范围。
例如：我们诊断流感是不是甲型，最终的根据是病毒的DNA，而不是患者的发病表现。

安天已经在使用主动防御技术了，在安天防线、锐甲中就是用了行为分析判断网页是否挂马。

原来如此  
谢谢解答  受教了

回复 2# liveck


    哪麼即是考不考慮加入?
不是銳甲那個

特征库与主动防御需要并存

支持并存说，以后恶意代码的发展必然是一个综合性的结合趋势，单独依靠任何一种技术来防范可能都是不完全的

是否可以考虑再加入适当的白名单技术

是否可以考虑再加入适当的白名单技术
81M 发表于 2010-1-24 19:46

黑白名单是有效加快识别的一种方式，但是随着时间黑白名单都会不停的膨胀，也就是说，对于实际的产品，是无法保持一个全集的黑名单或者白名单的，毕竟数以千万的记录用户可能还可以接受，但是到了上亿，相信没有几个人还愿意这些记录在自己机器上占用大量的内存了。
当然，对于海量文件白名单是有一些优化方法的，在这里就不详细说了。

回复  liveck


    哪麼即是考不考慮加入?
不是銳甲那個
英仔 发表于 2010-1-23 17:15

会考虑选择一种合适的方式加入产品中。有条件限制的使用主动防御，而不是依赖于主动防御。

回复 9# liveck


    那麼啓發式技術呢?貌似安天現在只有報殼

還有現在安天報COOKIES,COOKIES的隱憂有多大?

還有好像監控不攔截COOKIES和什麼TXT的廣告插件,只有掃描才清除,為什麼?

回复 9# liveck


    但是微點是以主防為主,黑名單做輔,也能逹很高的防禦效果

回复  liveck


    那麼啓發式技術呢?貌似安天現在只有報殼
英仔 发表于 2010-1-26 01:56

启发式技术已经在用了，只是名称与普通病毒差不多，所以不是很明显能看出来。

還有現在安天報COOKIES,COOKIES的隱憂有多大?
英仔 发表于 2010-1-26 02:03

追踪COOKIE的隐忧主要是来自广告商记录用户的行为轨迹，上网习惯。也就是说，COOKIE是作为一个标识，你在浏览网页时如果发现这个COOKIE了，就知道，哦，你的编号是9527，你都去过这些网站了，今天该给你投放这些广告。
因为页面会反复多次创建COOKIE，而且只有创建并写入内容之后才能判断出来是或者不是，所以监控并清除COOKIE，会造成较大磁盘IO性能消耗，