杀毒软件的本质是对文件进行鉴定,判断文件是安全或是危险。
以往杀毒软件鉴定目标文件,是将杀毒软件安装在本地计算机上,升级病毒特征库之后,将目标文件的特征和病毒特征相匹配,若匹配上某个病毒文件的特征,就判定这个文件是病毒。若未匹配上本地特征库里所有病毒的特征,就判定目标文件不是病毒。
这种传统的特征码鉴定有几个缺点:
1.本地必须有杀毒软件的特征库,判断的准确性取决于特征库是否全面,是否升级。
2.特征库需要频繁升级,过期的病毒库鉴定能力无法满足安全需求。
3.病毒种类增长很快,本地特征库也在迅速膨胀,使得杀毒软件的扫描效率下降,杀毒软件对系统资源的需求也在不断增大。
4.对新病毒没有鉴定能力
为弥补传统特征码鉴定的不足,杀毒软件引入了行为判断的技术理念,希望分析出目标文件的行为特点,来避免特征库过于庞大,且无法鉴定未知新病毒的问题。
行为鉴定的不足:
1.病毒程序的行为,许多正常软件也有,不能很好地从行为本身来断定善恶。
2.行为鉴定有较多误报,需要频繁增加排除名单(白名单)
3.行为鉴定的结果不清晰,过于专业,普通用户看了不置可否。
行为鉴定经常会告诉用户,某程序可能有危险,是否可以运行。用户就傻了,你是杀毒软件,你问我,我问谁去。
为求更准确鉴定目标文件,避免特征码查杀的效率下降和行为查毒的模棱两可,经验丰富的用户会采取下面的方法:
1.多种方法重复检查,比如多引擎查毒,把一个文件用几十个杀毒软件分别扫描。
2.沙盘分析,虚拟机分析检查文件执行后的结果
3.专业人员使用专业工具分析程序行为
上述三种方法也存在缺点:
1.重复检查,太耗时,一台电脑安装太多安全软件,系统资源无法承受。且,用的杀毒软件越多,误报也越高。
多引擎扫描的误报率就等于所有杀毒软件误报率的总和。
2.沙盘、虚拟机,非专业人员不会用,更别提专业病毒分析师的分析结果。
云鉴定器的解决思路:将复杂的文件鉴定放在云端处理,由性能强大的服务器使用数十种鉴定方法(包括特征码和行为识别技术)并行鉴定,客户端只需要到云端查询匹配结果。
云鉴定器的优点:
1.服务端强大的性能支撑,解决了客户端不可能解决的效率问题,资源问题。
99秒内可以鉴定99%的任意文件,一半文件的鉴定耗时不到1秒。
2.客户端工作简单,只需要告诉用户对目标文件的鉴定结果,安全还是危险。
3.云鉴定器不需要客户端定时下载特征库,客户端只要能联网,就不存在特征库过期的问题。
使用云鉴定器的时机:
在计算机与外界发生数据交换时调用云鉴定器。包括以下场景:
1.下载(浏览器、聊天工具、下载工具,局域网共享等)
2.同U盘等移动存储介质交换数据
手动鉴定的场景:
用户自行提交任意可疑文件到云端
云鉴定的意义:
1.大大改善了用户使用电脑的体验:
网民不再因为杀毒软件过期而中毒;
电脑因为杀毒软件不再需要庞大的本地特征库而损失性能;
网民不会因为看不懂杀毒软件的提示框而束手无策。
2.极大地提升了杀毒软件控制病毒传播的能力
杀毒软件终于可以做到比病毒传播反应更快:在任意一台电脑截获的新病毒,云端快速响应之后,鉴定结果在极短时间内到达所有用户。
