Share |
Malware and antivirus software

何謂啟發式偵測技術(Heuristic Detection Technology)

Created: 2008-11-13 10:06:29

何謂啟發式偵測技術(Heuristic Detection Technology)

簡朝璋-2008-11-07

當還在求學階段時,面對著所需研讀、厚厚的一疊教科書時,您是將整本書照單全收地全背下來、還是針對關鍵重點來思考融會貫通?

在電腦系統的世界中,偵測一個檔案是否合法的判定方式,各家防毒軟體均有著不同的偵測技術和其所屬的病毒資料庫,因為所使用的偵測方法不同,也就連帶著影 響到偵測準確率優劣、掃描速度快慢、所消耗的系統資源多寡、以及誤判率高低的差異。然而,為什麼有越來越多的防毒軟體開始轉型、採用所謂的「啟發式偵測技 術」(Heuristic Detection Technology)呢?這必須先從「病毒程式」以及「正常程式」的區別來說起,這兩者之間比較明顯的差異在於,病毒程式在被執行時,通常的作法都是直 接進行自動脫殼解碼、寫入操作、或搜索特定路徑下的可執行程式,來進行入侵或感染的行為,而正常程式則可能需要額外添加參數、會主動顯示進度資訊、或含有 需確認系統特定權限身份的命令後才能動作的特性行為。在防毒軟體中,若是僅使用病毒資料庫的偵測方式,則很容易會遭遇遺漏掉未被添加入資料庫的新型病毒以 及變種病毒的零天攻擊(Zero-day Attack),但若把未知程式在運行或存取時的行為,事先偵測分析判定其是否合法,此類似人工智能的思考技術,就是啟發式偵測模式。啟發式偵測就是能不 完全仰賴病毒資料庫、即能判定檔案是否具有威脅性的一種智能偵測技術。

zero day attack

啟發式,就字面上來解釋,可以代表著「運用現有的資訊來擴展、衍生更進一步的想法,或 自我智能判定發現」的行為動作。所以,啟發式偵測並不全然是單一運行的原理,基本的病毒資料庫也是需要用來從旁輔助的。有了現有基礎的病毒資料庫為基底, 啟發式偵測能在病毒從外入侵存入系統、或瀏覽到內含威脅檔案的資料夾時,就早一步啟用並調閱病毒資料庫的資訊,而且也不一定需要完整的病毒資訊,可能僅需 分析比對出一部份重要的病毒特徵碼、即可確定該檔案是否具有合法性。在此狀況下,若是完全仰賴病毒資料庫偵測模式的方法,就需比對該檔案是否符合資料庫中 的病毒資訊,此時將造成判定時所花費的時間以及需要更多的系統效能。

然而,倘若該威脅檔案是尚未入庫至病毒資料庫中,或是改變了加殼技術、有了完全不同特徵編碼的變種且又是全新的病毒呢?此時就需啟發式偵測來自我智能判定 了,通常此部份也是會搭配另一種技術:虛擬機脫殼引擎(Virtual Unpack Engine,以下簡稱 VUE),所謂的 VUE 就是模擬出系統的一種虛擬處理環境,在此虛擬環境中,先將其檔案脫殼、或開始運行此程式的動作行為,啟發式掃描即可針對脫殼後的檔案、來進行病毒特徵碼的 比對,或是判定該程式在虛擬機中的執行動作,是否帶有非法行為的模式,如未經允許即自行掛載某系統檔案、隱藏自己的處理程序、或沒有要求用戶確認繼續進行 的權限即自動進行所有程序等等,此些含有高度系統威脅風險的行為動作。啟發式引擎即是將此對系統具有威脅性的檔案透過 VUE 的環境事先偵測出來,並加以阻止該非法程序繼續執行於實體系統中。

虛擬機脫殼引擎


在資訊流通速度比以往快上數倍的現今,傳統的針對已探測分析完畢特徵字串、使用病毒特徵碼來掃描檔案的比對技術已經不敷使用,防毒軟體需要的是能自動面對 各式新病毒以及攻擊入侵的技術,而啟發式即是一種具備智能、進化的偵測方法,能有效地來應對各種類型的病毒威脅程式,並會逐步進化成可自行偵測出極高比率 的病毒偵測率、和維持極低的誤判率───即使在不更新病毒資料庫的情況之下。啟發式偵測能運用著有限的資源,同時一併減少了防毒軟體在主程式以及病毒資料 庫的更新容量和次數,來達到最低的系統負載和最大效用的優勢,此必然將會是防毒產業的一大寵兒。

ESET 研究團隊歷年來於防毒軟體上,致力開發的專利 ThreatSense© Engine中,即是使用此啟發式掃描技術,涵蓋了基因特徵碼、代碼分析和動態模擬行為的偵測方式,在使用系統資源、掃描速度、偵測率的部份,早已達到了 輕快準狠的標準,亦能兼顧到即低的誤判率而不至於造成正常檔案系統的運行。其他的防毒廠商也紛紛轉型,開始重視投入啟發式掃描偵測的技術。而啟發式掃描技 術也不負眾望,配合各家防毒系統定義的資料庫和偵測技術,均個別有效改善了以往過於仰賴病毒資料庫、病毒資料庫肥大、佔用過多系統資源以及掃描時間的缺 點。

回到最初的問題:唸書是要「照單全收」還是要「融會貫通」?照單全收的研讀方式,不但耗時、耗力,在遇到了靈活的考題,或完全無標準答案的申論題時,可能 就會造成無法應答的狀況,而融會貫通的思考模式,將能突破此困境,以一應百、並持續延展進步而不受既有限制。在病毒層出不窮、攻擊入侵手法不斷翻新、惡意 威脅程式越來越複雜聰明的時代,防毒軟體偵測技術豈可不更加智能進步呢?而啟發式偵測即代表著一種特有的技術,以用來應對千變萬化的病毒威脅,相信這將會 是你往後在選擇眾多防毒軟體時,所需秉持的重要考量!

為何選擇ESET?

ESET擁有超過25年以上防病毒軟件開發經驗,讓我們更安全享受科技。ESET軟件對硬件要求低,對惡意軟件毫不留情。

ESET技術

ESET NOD32®防毒軟件獲獎技術,始終位於數字安全行業的最前沿。軟件每日更新,保護用戶數據安全。

免費支援

為您免費提供業內領先的本地售後技術支援。如有任何問題或查詢請在辦公時間內致電 (852) 2893 8186 查詢。