[新聞]防毒策略變更-行為偵測取代特徵比對

網管問題討論

[新聞]防毒策略變更-行為偵測取代特徵比對

文章DarkSkyline » 週三 1月 31日, 2007年 12:35 pm

2007-1-29/ 資訊傳真周刊/ 撰文
由於電腦病毒問題氾濫、相關技術不斷提升,傳統上以病毒程式碼特徵比對的防毒方式已逐漸顯露不足, 賽門鐵克 ( Symantec )日前宣布,該公司併購WholeSecurity後,已能夠提供針對病毒行為偵測的防毒技術,提升惡意軟體檢測能力。除賽門鐵克外, 趨勢科技 的防毒技術也包含有人工智慧陷阱(Rule-based)的行為偵測,以強化對未知威脅的防堵能力。

賽門鐵克提供的技術稱為前瞻回應線上網絡 ( SONAR ;Symantec Online Network for Advanced Responce),是一種行為偵測的技術,可以在建立病毒定義檔及間諜軟體偵測定義檔前,阻止惡意程式碼侵入。該公司指出,新興且未知的惡意程式碼會透過木馬程式、蠕蟲、大眾郵件病毒、間諜軟體或者下載軟體病毒的形式進行攻擊與破壞。當許多產品僅使用一組有限的啟發式法則時,SONAR可以透過廣泛且異質的應用行為數據,大幅提升其防護能力,且明顯地將誤判率降至最低。對消費者而言,將可以不需透過繁瑣的確
認提示,即能達到零時差的防護效果。SONAR技術不需受到用戶既有的經驗限制,以及額外的系統資源,就可以保護消費者免除新興威脅的影響。因此,當客戶使用SONAR進行防護時,不需要客戶進行交互作用。

趨勢科技表示,該公司使用的人工智慧陷阱是一種監測電腦行為的常駐式掃描技術。它將所有病毒所產生的行為歸納起來,一旦發現記憶體的程式有任何不當的行為,系統就會有所警覺,並告知使用者。這種技術的優點是執行速度快、手續簡便,且可以偵測到各式病毒;其缺點就是程式設計難,且不容易考慮週全。不過在這千變萬化的病毒世界中, 人工智慧陷阱掃描技術是一個至少具有保全功能的新觀點。目前趨勢科技的PC-cillin,就對病毒的可疑行為設下了將近12道的陷阱, 以達到預防重於治療的目標。

事實上,前述各公司技術都是異常偵測的應用,台灣電腦網路危機處理暨協調中心( TWCERT )的技術分析指出,異常偵測則是對使用者或網路流量先建立一個「正常」的行為模型,再對通過的封包去做比對,假如超過正常行為的門檻值就是視為異常。此種做法的優點是可以偵測未知型態的入侵,但是誤判率可能會非常高,因為我們很難去正確定義何謂「正常」? 況且使用者的行為也經常在變,導致誤判經常發生。

賽門鐵克消費性產品事業部副總裁Rowan Trollope表示,該公司的SONAR技術與其他技術不同的主因在於,賽門鐵克的啟發性偵測演算法具有高準確率,其潛在威脅誤判率僅有0.0004%,而這樣的成果是業界首見。

資料來源: CPRO 資傳網
http://www.cpro.com.tw/channel/news/con ... s_id=53956
http://www.ublink.org
Tel:04-22605121
E-Mail:eric@ublink.org
Skype:ublink-eric
LineID:0937720133
頭像
DarkSkyline
Site Admin
 
文章: 1860
註冊時間: 週五 12月 8日, 2006年 11:41 am
來自: 台中
送出感謝: 0 次
擁有感謝: 2

回到 網管答問

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 15 位訪客