译文：VirusTotal上的Suspicious.Insight——基于信誉的安全技术

jason_jiang

译自官人blog
作者：Gerry Egan

最近，我们升级了VirusTotal上使用的扫描器，加入了我们最新的、基于信誉的安全技术，显著提高了赛门铁克引擎在VirusTotal上的检测率。大家可能已经注意到，出现了大量Suspicious.Insight报法。在此，我打算花点时间讲讲其中的内幕。

Suspicious.Insight到底是什么？这些检测归功于赛门铁克最新的、基于信誉的安全技术。在用户的系统中，会有些文件尚无明确信誉（或者说，既不是已知干净、也不是已知恶意）。我们的目标是保护用户的系统安全，为了实现这个目标，需要让用户做出明确选择：是否放行这些文件。Suspicious.Insight就是在这些文件得到明确信誉之前重点关注它们。

为什么要这么做呢？为什么不用传统特征码这一简单易行的手段实现安全呢？很不幸，传统反病毒技术构成的防线已经不像以前那样坚不可摧了。近几年来，威胁形势已经发生了翻天覆地的变化。想想吧，十年前，赛门铁克每周才发一次新定义，而且数量很少。而现在，更新量已达到了非常可观的程度——平均每天至少15000个新定义。为什么会这样？因为病毒作者意识到，一旦他们的大作被入库，就等于玩完了。他们认为，与其下工夫写一个全新的病毒、并确保它实现全球大流行而不被最新的安软干掉，还不如多多改头换面以逃避传统的检测手段。他们使用服务器端变形、加花、加密等手段伪装其产品，并尽可能频繁地更换伪装。因此可以说，现在大部分恶意软件是为每位受害者“量身定制”、实时生成。在基于信誉的安全系统上，这样的恶意软件会被识别为全新、低流行度的文件。相比之下，大多数正常软件都有些显著特征——来自知名的发行商，有较高的接受度，与老版本有很多共同点，等等。Suspicious.Insight就是通知用户：某程序尚未被证实安全性，在赛门铁克上亿用户中尚属陌生。

难道说诺顿和赛门铁克产品会不分青红皂白报出一堆Suspicious.Insight吗？不。有以下原因：

—它会从多方面评判一个文件，比如：它是怎么进入系统的；它的发行商信息；它是什么时候进入系统的，等等。综合这些因素，大多数用户不会在干净文件上看到Suspicious.Insight报法。可以说，大多数用户根本不会遇到Suspicious.Insight误报。而如果把文件拿到VirusTotal等在线扫描站，这些因素很多都是缺失的，所以Suspicious.Insight出现得比较频繁。
—目前，诺顿产品报Suspicious.Insight时，并不会拦截这些文件，而只标记为“未证实”，让用户决定是否放行。顺便说一句，未来的SEP会加入信誉技术，管理员可以根据不同安全需求，自行配置拦截策略。
—由于我们信誉系统的天然优势，即使一个干净文件被标记为“未证实”（这种情况很少见），通常也会在短短一两天内得到良好的信誉。

总之，Suspicious.Insight的目标就是：使我们的用户能对他们系统中的软件做出更好、更明确的选择。

ikimi

希望会很精彩

jason_jiang

开帖

ming9888

不错！楼主辛苦了

angir

翻译不错~

冲冲

爱姐早早的抢了沙发

jason_jiang

回复 6# 冲冲

乃来晚了，我还没开帖她就进来了

冲冲

回复 7# jason_jiang

我刷新了n次等开帖，直到看到爱姐已回复

fatezero

来看内幕

就这意思

学习了