查看: 6168|回复: 29
收起左侧

[原创] 译文:VirusTotal上的Suspicious.Insight——基于信誉的安全技术

  [复制链接]
jason_jiang
发表于 2010-2-21 19:32:44 | 显示全部楼层 |阅读模式
本帖最后由 jason_jiang 于 2010-2-21 23:50 编辑

译自官人blog
作者:Gerry Egan


最近,我们升级了VirusTotal上使用的扫描器,加入了我们最新的、基于信誉的安全技术,显著提高了赛门铁克引擎在VirusTotal上的检测率。大家可能已经注意到,出现了大量Suspicious.Insight报法。在此,我打算花点时间讲讲其中的内幕。

Suspicious.Insight到底是什么?这些检测归功于赛门铁克最新的、基于信誉的安全技术。在用户的系统中,会有些文件尚无明确信誉(或者说,既不是已知干净、也不是已知恶意)。我们的目标是保护用户的系统安全,为了实现这个目标,需要让用户做出明确选择:是否放行这些文件。Suspicious.Insight就是在这些文件得到明确信誉之前重点关注它们。

为什么要这么做呢?为什么不用传统特征码这一简单易行的手段实现安全呢?很不幸,传统反病毒技术构成的防线已经不像以前那样坚不可摧了。近几年来,威胁形势已经发生了翻天覆地的变化。想想吧,十年前,赛门铁克每周才发一次新定义,而且数量很少。而现在,更新量已达到了非常可观的程度——平均每天至少15000个新定义。为什么会这样?因为病毒作者意识到,一旦他们的大作被入库,就等于玩完了。他们认为,与其下工夫写一个全新的病毒、并确保它实现全球大流行而不被最新的安软干掉,还不如多多改头换面以逃避传统的检测手段。他们使用服务器端变形、加花、加密等手段伪装其产品,并尽可能频繁地更换伪装。因此可以说,现在大部分恶意软件是为每位受害者“量身定制”、实时生成。在基于信誉的安全系统上,这样的恶意软件会被识别为全新、低流行度的文件。相比之下,大多数正常软件都有些显著特征——来自知名的发行商,有较高的接受度,与老版本有很多共同点,等等。Suspicious.Insight就是通知用户:某程序尚未被证实安全性,在赛门铁克上亿用户中尚属陌生。

难道说诺顿和赛门铁克产品会不分青红皂白报出一堆Suspicious.Insight吗?不。有以下原因:

—它会从多方面评判一个文件,比如:它是怎么进入系统的;它的发行商信息;它是什么时候进入系统的,等等。综合这些因素,大多数用户不会在干净文件上看到Suspicious.Insight报法。可以说,大多数用户根本不会遇到Suspicious.Insight误报。而如果把文件拿到VirusTotal等在线扫描站,这些因素很多都是缺失的,所以Suspicious.Insight出现得比较频繁。
—目前,诺顿产品报Suspicious.Insight时,并不会拦截这些文件,而只标记为“未证实”,让用户决定是否放行。顺便说一句,未来的SEP会加入信誉技术,管理员可以根据不同安全需求,自行配置拦截策略。
—由于我们信誉系统的天然优势,即使一个干净文件被标记为“未证实”(这种情况很少见),通常也会在短短一两天内得到良好的信誉。

总之,Suspicious.Insight的目标就是:使我们的用户能对他们系统中的软件做出更好、更明确的选择。

评分

参与人数 3经验 +10 人气 +2 收起 理由
rok827 + 1 终于了解了,Thanks Jason!
ikimi + 10 贴出原文链接或者原文更佳。
冲冲 + 1 辛苦了~

查看全部评分

ikimi
发表于 2010-2-21 19:51:21 | 显示全部楼层
希望会很精彩
jason_jiang
 楼主| 发表于 2010-2-21 20:38:56 | 显示全部楼层
开帖
ming9888
发表于 2010-2-21 20:52:45 | 显示全部楼层
不错!楼主辛苦了
angir
发表于 2010-2-21 20:55:55 | 显示全部楼层
翻译不错~
冲冲
发表于 2010-2-21 20:57:58 | 显示全部楼层
爱姐早早的抢了沙发
jason_jiang
 楼主| 发表于 2010-2-21 21:02:24 | 显示全部楼层
回复 6# 冲冲

乃来晚了,我还没开帖她就进来了
冲冲
发表于 2010-2-21 21:03:24 | 显示全部楼层
回复 7# jason_jiang

我刷新了n次等开帖,直到看到爱姐已回复
fatezero
发表于 2010-2-21 21:06:35 | 显示全部楼层
来看内幕
就这意思
发表于 2010-2-21 21:14:06 | 显示全部楼层
学习了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 19:48 , Processed in 0.121751 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表