病毒与杀软的那些事:杀毒引擎的26年发展史

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

病毒与杀软的那些事:杀毒引擎的26年发展史

2015年03月26日17:56 来源:中国新闻网参与互动(0)

图:QVM人工智能引擎病毒检出率世界第一

中新网3月26日电1989年,全球第一款杀毒软件Mcafee诞生,距今杀毒软件已有26年历史,技术领域也进行了多次革新,尤其是反病毒产品的核心技术—杀毒引擎方面,也从简单的数据匹配、识别到如今的智能判断和分析。回首26年,杀毒引擎经历了怎样的演变历程,又为我们的生活带来了什么呢?

“杀毒引擎”到底是什么?

从技术上讲,“杀毒引擎”是一套判断特定程序行为是否为病毒程序或可疑程序的的技术机制。杀毒引擎是杀毒软件的主要部分,是去检测和发现病毒的程序。形象地说,它是杀毒产品的发动机,没有这个发动机,反病毒产品就只是一个空壳,无法正常运转。

一直以来,杀毒引擎核心技术掌握在德国、俄罗斯、美国等少数国家,比较知名的杀毒引擎包括俄罗斯的Dr.web(大蜘蛛)、Kaspersky(卡巴斯基),美国的McAfee(迈克菲)、德国的AntiVir(小红伞),以及罗马尼亚的BitDefender(比特梵德)等。在国内,由于技术积累和投入不够,杀毒引擎鲜有成功者。多数厂商采用BD、卡巴和小红伞等国外引擎自己加壳的简单OEM方式。

随着“去IOE”化和“棱镜门”事件影响,国家对信息安全的重视程度提到前所未有的高度。作为信息安全的重要一环,杀毒软件更需要做到自主可控,于是国内的安全厂商对杀毒软件的核心技术——杀毒引擎开始全面转向自主化。

国外“杀毒引擎”的演变

首先从国外反病毒引擎说起,在全球计算机病毒史上,曾经出现过两个比较著名的人物。

一是俄罗斯的Eugene Kaspersky。1989年,Eugene Kaspersky开始研究计算机病毒现象。从1991年到1997年,他在俄罗斯大型计算机公司“KAMI”的信息技术中心,带领一批助手研发出了AVP反病毒程序。Kaspersky Lab于1997年成立,Eugene Kaspersky是创始人之一。2000年11月,AVP更名为Kaspersky Anti-Virus。Eugene Kaspersky是计

算机反病毒研究员协会(CARO)的成员,该协会的成员都是国际顶级的反病毒专家。AVP的反病毒引擎和病毒库,一直以其严谨的结构、彻底的查杀能力为业界称道。

另一位是Doctor Soloman。他创建的Doctor Soloman公司曾经是欧洲最大的反病毒企业,后来被McAfee兼并,成为最为庞大的安全托拉斯NAI的一部分。初期,McAfee与欧洲的一些杀毒软件公司经常兴起口舌之争,但是自身杀毒引擎并不出色,于是McAfee停用自己的杀毒引擎,转而使用收购来Doctor Soloman产品的引擎。

国内“杀毒引擎”的演变

在中国,从90年代开始至今的杀毒软件市场,KILL一统天下的结局被终结后,瑞星、江民、金山等国内杀毒软件厂商逐渐把持了大部分市场。随后,杀毒引擎经历几代更迭,由最初的“特征码杀毒引擎”发展到如今主流的“启发式杀毒引擎”,中国网络安全核心技术达到前所未有的高度。

第一阶段:1989—90年代中期简单特征码杀毒引擎

病毒的发展产生了第一代的反病毒引擎--检验法。该方法只能判断系统是否被病毒感染,并不具备病毒清除能力。不过检验法滋生了真正的反病毒技术王者--特征码技术的出现。它属于第二代反病毒引擎,是反病毒历史上最耀眼的明星,它不但开了可以清除病毒的先河,也为以后反病毒技术的发展打下了坚实的基础,时值今日,该技术仍然是反病毒软件的主要技术,百度和腾讯所说的自主反病毒引擎,其核心也是如此。

第二阶段:90年代中期—1998年广谱特征码技术

广谱特征码技术是江民公司首创,江民也正是靠着这个技术创造了昔日的辉煌。从本质上说,广谱特征码是一类病毒程序中通用的特征字符串。比如,有10种病毒都使用了一段相同的破坏硬盘的程序,那么把这段程序代码提取出来作特征码,就能达到用一个特征码查10个病毒的功效。这个技术在一段时间内,对于处理某些变形的病毒提供了一种方法,但是也使误报率大大增加,所以采用广谱特征码的技术目前已不能有效的对新病毒进行查杀,并且还可能把正规程序当作病毒误报给用户。

第三阶段:1998—2007年启发式杀毒引擎

特征码杀毒引擎开启的基于特征码,对病毒进行查杀比对,实时拦截查杀的技术至今仍是杀毒引擎赖以工作的基本原理。但这种技术也有一个缺陷,就是所有特征码必须读到电脑内存中,而且还只能对已知病毒进行查杀。这对互联网迅速发展,各种新式病毒层出的时代是不足以维护网络安全的。于是一种通过行为判断、文件结构分析等手段,在较少依赖特征库的情况下能够查杀未知的木马病毒的新技术——“启发式杀毒引擎”应运而生。

第四阶段:2008—2010年云查杀引擎

随着互联网爆炸式的发展,病毒也开始以一种网络化的速度疯狂发展,以灰鸽子、熊猫烧香为代表的网络病毒开始泛滥,正式揭开了病毒网络化发展的序幕,云安全概念也在这个时期得到广泛应用,而提前嗅到其价值的是趋势科技,全球首家推出了云安全体系,随后瑞星跟随,成为国内第一家云安全体系的缔造者。

虽然瑞星、金山都拥有云安全体系,但是有钱有客户的360很快就占了上风,坐上了世界第一大云安全体系的交椅,而此时,江民已经完全丧失了建云安全体系的能力,腾讯则刚开始通过安全管家铺它的样本采集渠道,而百度则还没有进入安全领域。

第五个阶段:2010年—至今人工智能引擎QVM

2010年11月,360向业界公布了第七代反病毒引擎—人工智能引擎QVM,QVM是Qihoo Support Vector Machine的缩写,中文意思是奇虎支持向量机,它是在Vapnik著作的机器学习经典《Statistical Learning Theory》中的理论基础上进行了创新,首次将机器学习的理论用于未知病毒识别。

它的技术原理是先通过对病毒样本的分析和分类形成样本向量和向

量机,然后建立一个机器学习的决策机模型,利用决策树和向量机对大量样本进行学习,从而识别恶意程序或非恶意程序。随着学习样本数量的增加,再配合白名单,就能够在识别未知恶意程序的同时,降低误报,使未知病毒识别技术真正商用。

未来:人工智能引擎引领未来

360在杀毒引擎核心技术领域所取得的成绩,给腾讯、百度等国内互联网公司以启示。经过多年的研发,腾讯和百度也相继推出了自主反病毒引擎TAV和雪狼,但都是以智能为旗号,使用的是瑞星和江民时代的第一代引擎技术,也就是“特征码杀毒引擎”,在3代引擎已经成熟商业化的时候,TAV和雪狼引擎尚处于第一代到第二代的过渡过程。

相关文档
最新文档