网络安全 频道

可嵌入式反病毒引擎追求更细粒度

    【IT168 编者按】在经济利益诱使之下,病毒、木马日益泛滥。而病毒与反病毒是一对共生体,当病毒泛滥的时候,反病毒机制也越发成熟。UTM等设备的出现,预示着反病毒引擎将不仅应用于杀毒软件(单机版和网络版),病毒过滤体制正在延伸(嵌入)到网络各个层面的设备之上。本文为反病毒引擎应用于更多领域提供了一定的参考。


    一、AV 旧逻辑面临的问题

    病毒与反病毒产品的长期对抗,使AV技术不仅形成了一套完整的技术体制,也形成了一套逻辑和法理体制。这使反病毒软件的工程规划形成了很多特定的共性原则。这些共性原则首先被从实践中总结形成,回头来又指导着反病毒引擎乃至反病毒工具的设计。

    1995年,笔者曾总结了反病毒体制的共性原则44条,目前还作为我们研发的基本内部原则,因此戏称为AV辩证法。基本条目包括:

    计算机病毒归根到底是一种程序。

    计算机病毒的特征码是从程序体或者程序体的某种处理结果上,选取的可以唯一确定计算机病毒类别的标识。

    计算机病毒最根本的判据应该是程序特征码或其他的内容相关特性。

    有害或主观有害是一个文件被提取特征加入病毒特征库的唯一原因。

    计算机病毒的有害,是指程序包含着用户所不期待的的对信息系统的影响。

    一个确定的程序是否应该被反病毒软件检测,是基于明确的标准。

    反病毒软件的工作原则是保证数据安全和系统的正常运行。不应因清除功能或完成其他的功能,产生有悖于上述原则的影响。

    计算机病毒的清除过程是感染的逆过程

    用户对于反病毒产品拥有下列权利:

    定义权:反病毒软件可以默认的设置,但用户具有定义进行何种模式的检测以及是否清除的权利。

    知情权:用户有权指导反病毒软件在系统中做过什么。

    备份权:反病毒工具应该提供用户对带毒文件备份的手段。

    反病毒软件应该识别包裹中的病毒,在具有算法授权的情况下,可以清除包裹中的病毒,但不能删除包裹本身。

    病毒监控的基本模式应该以阻止带毒文件的运行(获取系统控制权)为目的(即前报原则)

0
相关文章