1989年,第一款殺毒軟件Mcafee誕生,至今殺毒軟件已經(jīng)有了25年的歷史,最近幾天有幾篇有關(guān)殺毒引擎的水稿突然冒了出來,這幾篇水稿對殺毒引擎歷史缺乏基本的了解,概念混亂,低級的讓人不忍直視,所以憤然梳理了一下殺毒引擎的歷史,算是做個基礎(chǔ)知識普及,也給制造水稿者一些基本素材,以正視聽,首先聲明,部分內(nèi)容摘自多位前輩的歷史作品,只為普及教育,無商業(yè)目的,請多多見諒。
1、 第一代:特征碼殺毒引擎
1989年,第一款殺毒軟件Mcafee誕生,開啟第一代依賴特征碼的殺毒引擎時代。
這一代殺毒軟件無論是查殺還是防御,都是基于特征碼的,查殺用特征碼比對,防御實時監(jiān)控。
特征碼引擎的基本原理就是“殺毒引擎+特征碼匹配”,殺毒引擎是槍,特征碼是子彈,子彈越多,能殺的病毒就越多。
特征庫是由殺毒廠商收集到的病毒樣本的特征碼組成,而特征碼則是病毒分析工程師從病毒程序中找到和正當(dāng)軟件的不同之處,截取一段類似于“搜索關(guān)鍵詞”的程序代碼。
電腦一開機,特征碼就被讀到內(nèi)存中,當(dāng)用殺毒引擎掃描硬盤、或者監(jiān)控一個文件的動作時(比如下載、修改注冊表等等),它會讀取文件并且與特征庫中的所有特征碼“關(guān)鍵詞”進(jìn)行匹配,如果發(fā)現(xiàn)文件程序代碼被“關(guān)鍵詞”命中,就把那個文件判定為病毒,然后報警和攔截。
特征庫匹配是查殺已知病毒很有效的一項技術(shù),也是殺毒引擎賴以工作的基礎(chǔ)(掃描、監(jiān)控都需要調(diào)用特征庫),一直被殺毒軟件沿用下來,所有特征碼都需要嚴(yán)格的測試和比對,否則極易造成誤傷。早期的殺毒引擎都是特征碼殺毒引擎。
2、 第二代:啟發(fā)式殺毒引擎
啟發(fā)式引擎掃描指的“運用某種方式去判定事物的知識和技能”,是讓殺毒軟件具有學(xué)習(xí)能力的一項技術(shù),通過行為判斷、文件結(jié)構(gòu)分析等手段,在較少依賴特征庫的情況下能夠查殺未知的木馬病毒。
啟發(fā)式又分為行為啟發(fā)和靜態(tài)啟發(fā)兩種,能夠通過一些行為規(guī)則或靜態(tài)特征來識別出一些未知的病毒,對未知病毒有一定的檢測能力,但啟發(fā)式仍然要依賴特征碼,比如它會按家族來查殺,即使一些病毒特征碼變了,但可以通過一些靜態(tài)特征來識別和查殺。啟發(fā)式可以部分地進(jìn)行智能查殺,但都必須和上一代的特征碼引擎配合使用,并且仍然需要人工分析。
啟發(fā)式引擎公認(rèn)比較強的是小紅傘、NOD32,其檢測能力比較高。
互聯(lián)網(wǎng)高速普及的今天,基于特征碼的殺毒引擎也受到越來越多質(zhì)疑:木馬數(shù)量急劇增加,人工截取特征碼的效率有限。即使假設(shè)所有樣本都能及時處理,特征庫變大也會帶來資源占用過大的問題,特別是殺毒引擎隨系統(tǒng)啟動時都要把特征庫寫入內(nèi)存,這是殺毒軟件遭到詬病的一大原因。
3、 第三代:人工智能引擎
人工智能引擎主要依靠于人工智能技術(shù),這一代引擎已經(jīng)擺脫了對病毒特征庫的依賴,它在海量病毒樣本數(shù)據(jù)中歸納出一套智能算法,自己來發(fā)現(xiàn)和學(xué)習(xí)病毒變化規(guī)律。它無需頻繁更新特征庫、無需分析病毒靜態(tài)特征、無需分析病毒行為,但是病毒檢出率卻遠(yuǎn)遠(yuǎn)超過了第一、二代引擎的總和,而且查殺速度比傳統(tǒng)引擎至少快一倍。人工智能引擎的代表是360的QVM人工智能引擎,這個引擎在2010年5月研發(fā)成功,當(dāng)年正式應(yīng)用于360殺毒產(chǎn)品中,QVM人工智能引擎目前已經(jīng)發(fā)展到第二代。
360的QVM引擎QVM是未知病毒識別領(lǐng)域的一個突破,它將人工智能技術(shù)應(yīng)用于病毒識別的過程當(dāng)中,首先通過對病毒樣本的分析和分類形成樣本向量和向量機,然后建立一個機器學(xué)習(xí)的決策機模型,利用決策樹和向量機,對大量樣本進(jìn)行學(xué)習(xí),從而識別惡意程序或非惡意程序。隨著學(xué)習(xí)樣本數(shù)量的增加,再配合白名單,就能夠在識別未知惡意程序的同時,降低誤報,使未知病毒識別技術(shù)真正商用。
引擎的在不停演進(jìn),在360 QVM引擎取得成功后,紅傘等2代引擎領(lǐng)先廠商意識到3代引擎的技術(shù)優(yōu)勢,開始緊鑼密鼓的研制3代引擎。
仔細(xì)研究了一下,最近幾篇水稿中鼓吹的百度雪狼引擎,本質(zhì)上還是一個第一代最古老的特征碼引擎,使用的都是瑞星和江民時代的殺毒技術(shù),在3代引擎已經(jīng)成熟商業(yè)化的時候,雪狼引擎還停留在第一代,技術(shù)明顯落后了。面對今天的安全威脅形勢,第一代基于特征碼的殺毒引擎技術(shù)已經(jīng)接近于被淘汰,目前美國政府已經(jīng)停止對第一代引擎技術(shù)的研發(fā)投資和支持,業(yè)已經(jīng)明確禁止采購這類基于特征碼的殺毒產(chǎn)品。
其實引擎并非萬能的
安全是木桶理論,引擎僅是安全中的一環(huán),最短板決定整體安全性,面對今天的安全威脅,需要有全系統(tǒng)的防護(hù)能力,需要一套系統(tǒng)的安全體系,脫離安全體系,吹噓引擎萬能,顯然對于安全的理解太膚淺。
在360的整體防護(hù)體系中,引擎本身僅只是其中的一個有機組成部分,在這個防護(hù)體系內(nèi),有自主傳統(tǒng)引擎AVE的對于已知病毒的精確查殺;有QVM高度人工智能、自學(xué)習(xí)和對未知病毒預(yù)測和高檢出能力;有世界上最大最全的高純度白名單庫防止誤殺誤攔;有基于云的主動防御系統(tǒng)對于未知惡意行為的攔截防范;也有基于世界上最大用戶基數(shù)的安全客戶端之上的、世界上最大的基于大數(shù)據(jù)的對未知風(fēng)險的實時感知和監(jiān)控云安全后臺;所有這些建立起了360全方位立體防護(hù)體系,已經(jīng)遙遙領(lǐng)先于國內(nèi)外安全軟件企業(yè),并且已經(jīng)建立了難以逾越的技術(shù)高門檻。