安天实验室·反病毒引擎14年 卷首语 | AVL SDK引擎演进 | 原创技术文章&报告 | 引擎一日一问
反病毒引擎一日一问
安天实验室 反病毒引擎研发中心 2014年11月8日
问:目前的反病毒引擎技术都是已知特征码的检测,因此不能检测未知病毒是么?
答:太多的网上文章、包括学术论文、一些新产品介绍等等,往往开篇就是传统反病毒产品由于仅仅采用特征检测机制,不能检测未知病毒、只能进行静态检测等等,可以说,这些文献或者是根本不了解现代反病毒机制、或者完全是以讹传讹的文献引用。
现代反病毒引擎的机制,本身包含了针对海量恶意代码的高精度检测机制,可以非常精确的检测出恶意代码的分类、家族、变种号等信息,同时也有针对未知恶意代码的检测机制,这种未知检测机制即包括基于单条件的,也有针对基于复合条件的。其模型由基于加权、基于神经网络、基于决策树等多种模型。而同时还有一些检测规则居于精确检测和未知检测之间,可以检测某一类家族的样本,或者把某些典型行为的代码形式化为检测规则,可以检测某一行为的样本。
现代反病毒引擎之所以没有使用一些论文给出的光怪陆离的各种算法进“未知检测”行,皆因这些方法根本从误报率、检测速度等方面,不能满足反病毒引擎的工作要求,被反病毒工作者淘汰了。