|
基于监控的行为分析技术 基于监控的行为分析技术,瑞星杀毒软件2007版也已经开始采用。IE执行保护是针对目前网络挂马现象严重而开发的功能,它会自动对程序的动作进行判断。当发现带毒网站有试图利用用户计算机漏洞自动下载运行病毒的动作时,自动将其阻止。 瑞星杀毒软件2008中引入的恶意行为检测是一套较为成熟的基于监控的行为分析。它完全模拟反病毒专家分析病毒的过程,先对程序动作进行观察,然后分析程序动作之间的逻辑关系,并使用预装的病毒模式特征库进行判断,进而检测出病毒。
图10 检测未知病毒 由于行为分析技术是基于程序的行为特征进行判断,属于一种模糊判别。因此,行为分析不可避免的会遇到误判的问题。某个主动防御软件的做法是引入白名单进制,发现有误判的就加白名单,致使软件要像升级病毒库一样升级白名单库,同时会造成白名单数据库庞大,对系统资源占用较高的问题。同时,当一个正常软件升级后,必须将其升级版本也加入白名单,否则就会再次发生误判。 为了解决这一问题,瑞星杀毒软件采用了病毒的家族特征判别技术,有效的提高了行为分析的准确率。
图11 主动防御分析流程示意图
|
正在阅读:瑞星年度安全报告:大陆地区病毒泛滥成灾瑞星年度安全报告:大陆地区病毒泛滥成灾
2008-03-04 15:48
出处:PConline原创
责任编辑:zhangxinxin
键盘也能翻页,试试“← →”键
| 本文导航 | ||
|
