認識防毒業界最新防護技術 ThreatSense Technology 即時防護各種未知威脅


2006-08-09

上一篇新聞 下一篇新聞

ESETESET NOD32 Hong Kong

我們常會聽到「某某防毒品牌比其它品牌優勝」、「某品牌屢獲權威測試機構最高評價」之類的宣傳句子,但說到防毒品牌之間有何差異,卻未必人人說得出來。事實上,優勝的防毒品牌採用了怎樣的壓倒性技術,讓它在測試中傲視同齊?這些技術又有何革命性的意義,更周全地保護我們的電腦安全呢?在本篇文章中,我們將 會深入剖析 ESET NOD32 專利的 ThreatSense Technology 與嶄新的 ThreatSense.Net 系統。

採用 Generic Signature 檢測技術

直至現時,幾乎所有防毒軟件還是主要透過病毒數據庫裡的病毒特徵數據,以此與掃瞄中的檔案們加以對照,從而把合乎條件的真正病毒區分出來。面對幾乎每天都 有新病毒或變種出現,各防毒軟件也唯有不斷進行特徵更新 (Signature Update) 與壯大自己的病毒數據庫,確保在最短時間內把最新的病毒特徵數據收錄其中。

特徵檢測技術的進化

這種處理方法看似簡單妥善,但網絡世界裡出現過的病毒種類高達 7 萬多種,即使是仍活躍的品種數目也達到數千種以上;若病毒數據庫要一口氣全數收錄,數據庫體積必然非常龐大,就是在掃瞄系統時進行逐筆數據對照,過程也極 為費時。因此,像 ESET NOD32 等較先進的防毒程序,已逐漸改變這種特徵檢測 (Signature-based Detection) 的防毒方式,進化成採用較新型的普遍特徵 (Generic Signature) 檢測技術。

特徵檢測技術的進化

病毒特徵化繁為簡

所謂普遍特徵,就是指同一病毒族群中的不同變種,多半含有相同的病毒特徵。不少病毒最初是以單一品種出現,及後經由其它病毒作者修改或自行演化,最後變化 出數十種以上的病毒變種。若以傳統特徵檢測方式處理,病毒數據庫便要為每一種病毒變種也製作一筆獨立的特徵數據;而較新的普遍特徵檢測,則會從各變種中找 出共同之處,包括一些非連續的程序代碼,以此製作出通用的品種普遍特徵。

簡化病毒數據庫

這樣,在進行系統掃瞄時,由於採用較少筆數的特徵數據項已能檢測同樣龐大的病毒種類,因此進行對照工序時便能大大縮短時間。同時,對於由同一品種源頭變化 出來的新變種,只要吻合該族群的普遍特徵條件,即使未更新病毒數據庫亦很有可能成功進行攔截。因此,ESET NOD32 更新數據庫需時極短,每次更新不過下載 20KB 至 50KB 不等,絕不會加重網絡與硬盤的負擔。

高效能的綜合性防護架構

不少使用過 ESET NOD32 的用戶,都會驚訝它體積纖巧與速度驚人,其中一個成功之處在於 ESET NOD32 採用綜合性防護架構 (Integrated Protection)。ESET NOD32 利用單一 ThreatSense 引擎處理病毒、蠕蟲、廣告軟件、木馬、間諜軟件、網絡釣魚等各類惡意程序,大大簡化工序與執行效能。

高效能的綜合性防護架構

某些防毒品牌利用多套獨立軟件處理不同的惡意程序,整套套件容量高達數百 MB 之巨,這樣不單加重了系統負擔,複雜的架構也造成管理困難,甚至在重迭的防護機制裡造成保安漏洞。相比之下,根據 Virus Bulletin 的測試指出,ESET NOD32 的綜合性防護架構的掃毒速度往往比其它防毒品牌快 2 倍至 5 倍,表現非常出眾。

結合主動式防護的 ThreatSense 引擎

互聯網的普及,讓新病毒能在極短時間內迅速散播至世界上的每一個角落;惡意程序的作者們在撰寫新的病毒、蠕蟲與間碟軟件時,也致力於如何繞過防毒軟件的法 眼,包括利用各種組合與包裝技術來偽裝,好讓自己的「大作」可侵入系統大肆破壞。即使採用普遍特徵 (Generic Signature) 檢測技術,若遇上並非由已知病毒變種而來的新病毒品種,也就是說病毒庫內並無有關特徵數據,防毒軟件還是無法將新病毒辨認與進行攔截。為了更迅速應對危 機,防毒品牌無不強調更新病毒數據庫之快;但即使行動有多迅速,在病毒首次現身與用戶成功更新數據庫之間,還是存在一段時間差,這段時間差可由數分鐘到長 達數天不等,視乎防毒品牌的效率而定。那麼,電腦系統在這段時間裡不就宛如出現缺口,任由病毒肆虐?

模擬執行與執行碼分析

針對這種狀況,ESET NOD32 的 ThreatSense 防毒引擎裡除了具備普遍特徵檢測外,亦加入了更卓越的先進啟發式技術 (Advanced Heuristics Technology),有效防止新變種的蠕蟲與病毒入侵。該技術是一種主動式防護(Proactive Protection) 技術,它辨別病毒的方法並非依靠任何特徵數據庫,而是在檔案掃瞄時主動地拆解與分析檔案的執行碼,並在虛擬的仿真系統環境裡執行它,以觀察是否包含任何具 危險性的惡意行為。

模擬執行與執行碼分析

成功攔截未知病毒入侵

該技術可說與普遍特徵檢測技術互相補足,構成完美的保安防線。例如,在 2005 年 9 月出現的 Win32/Bagle.DC 與 Win32/Bagle.DD 蠕蟲病毒,特性是透過電子郵件方式感染,當時則以每小時 2000 封電郵的速度向外散播;它在設計上故意避開了依靠特徵檢測系統,使絕大部分依靠特徵更新的防毒軟件無法作出實時響應。而 ESET NOD32 的 ThreatSense 引擎則迅速發現該入侵,顯示了主動式與實時防護的重要性。事實上,在國際權威的主動式防護測試裡,ThreatSense 引擎均能成功攔截超過 9 成以上的零日攻擊蠕蟲與病毒 (Zero-day worms and virus),表現超卓。

嶄新的 ThreatSense.Net 預警系統

為了強化 ThreatSense 引擎的準確性與效率,ESET NOD32 在最新版本裡加入了嶄新的 ThreatSense.Net 預警系統。該系統可說是把 ThreatSense 的優秀病毒分析能力,由個人電腦範圍拓展至全球性規模處理;每當客戶端的 ESET NOD32 遇到疑似病毒的檔案時,便可自動或手動地將該檔案壓縮加密,並經由電郵寄送到 sample@eset.com,快速地交由 ESET 原廠的相關人員進行分析研究;一旦發現確定為病毒,廠方便可盡快進行後續的處理動作。

嶄新的 ThreatSense.Net 預警系統

嶄新的 ThreatSense.Net 預警系統

關於 Version 2 Limited
Version 2
Limited 是亞洲其中一間最有活力的IT公司,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,當中包括通訊系統、保安、網絡、多媒體及消費市場產品。透過 公司龐大的網絡、銷售點、分銷商及合作伙伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括香港、中國、台灣、新加坡、澳門等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企 及來自亞洲各城市的消費市場客戶。

如對產品有興趣,請瀏覽以下網址 :

ESET NOD32 防病毒系統

http://www.nod32.com.hk/
http://www.version-2.com/products/nod32

如對產品有任何問題,歡迎隨時與我們聯絡 !

香港 Hong Kong
查詢熱線 : (852) 2893 8860
台灣 Taiwan
查詢熱線 : 886 (02) 7718-3759
新加坡 Singapore
查詢熱線 : (65) 6220-8823
中國 China
查詢熱線 : (755) 8301-5850

上一篇新聞 下一篇新聞

返回前一頁