病毒漏报与误报

10-11

  众所周知,对于主要依赖病毒特征码库的传统防毒软件来说,漏报是其无法克服的一个重要弊端。对于过去病毒数量比较少,网络运用还不广泛的时候,这一弊端显得还不是那么明显。但是,随着网络的广泛应用,病毒产生的数量日益增多,病毒的传播更是防不胜防的情况下,传统防毒软件日益力不从心。日益不断增加的病毒特征码库,看上去好像能杀的病毒越来越多,但实际上很多病毒的类型都是雷同的,很多特征码不过是同一种病毒的变种而已,所以说,这种防毒方式越来越给人一种搞笑的感觉了。

  为了减轻传统杀毒软件的这个问题,有人开始提出一些新的想法,其中启发式查毒就是传统软件增加的常见的一个扩展功能。这种功能根据病毒的某些行为特征进行监控,但这种被监控的行为特征往往比较单一,这样一来就造成一个新的问题,就是乱报,也就是说误报率非常高,可能令人烦不胜烦,而且尤其令普通的电脑使用者容易产生困惑。因为对于正常程序和病毒程序来说,有时候会使用一些相同的技术,这就导致采取单一特征监控的启发式扫描方式经常出现乱报的情况。

  对病毒行为特征进行监控是一种新的思路,因为这种监控方式对新出现的病毒及其变种能够最大可能地提前报警,而最大程度地使电脑使用者避免许多损失。但这种防毒方式也有一个缺点,那就是很难完全避免误报这种情况。要减少这种方式产生误报,关键就是要能够更准确地分析概括总结出各类病毒的主要关键行为特征,并且能够将各种行为特征自动进行综合监控分析,也就是能够模仿反病毒专家进行逻辑思维,这样就大大地提高了判断的准确性,而降低了误判的可能性。当然,要完全绝对地避免误报,则应该是不可能的。任何事物有其利则必有其弊,绝对纯粹的东西是不存在的。

  由于病毒的层出不穷,再加上网络广泛应用带来的传播的便利,这种现实已经将传统杀毒软件逼上了绝路,就目前人们所提出来的病毒防御思想而言,通过综合监控各类病毒的行为特征进行防毒无疑具有巨大的优越性和发展前途,应该代表着今后相当长时间的病毒防御技术的发展趋势。

  防御病毒技术的未来发展方向是已经基本可以确定了,将来的问题是,谁能更准确地把握病毒的行为特征,而最大可能地将误报情况降低到差不多可以令一般人能够接受的程度,那么这个主动防御软件就可以说基本成功了。