安全厂商表示,传统的基于签名的病毒扫描将在2009年让位给白名单、黑名单、基于行为的检测和声誉分析。
步骤1:识别计算机病毒样本。步骤2:创建一个“签名”来检测和根除病毒,并将签名文件推出到计算机。步骤3:对于新病毒及其变体,不断重复步骤1和2。
这就是几十年来抗击病毒的方法杀毒软件行业。但现在,一些业内最大的公司表示,由于恶意软件迅速蔓延,这种方法将在2009年走下坡路。
at的产品管理总监杰里•伊根(Jerry Egan)表示,基于签名的扫描是“静态的、老派的”赛门铁克安全技术和反应部门。每天有12,000个新的恶意软件样本需要检测和根除,“我们认为这项技术的使用寿命即将结束,”伊根说。
另一个复杂之处是恶意软件现在设计得如此巧妙,“它在变异之前会扩散到20或30台机器上,”伊根指出。这意味着“你的邻居有一种变异,而你有另一种。”每个签名的效力都降低了。“虽然赛门铁克不太准备抛弃基于特征码的检测方法,未来一年将会转向其他防病毒技术,包括基于行为的保护、启发式等检查好的和坏的文件特征,声誉分析,甚至白名单和黑名单,允许或不允许代码运行,伊根说。
在谈到赛门铁克未来的产品开发时,伊根表示:“将转向采用这些技术的混合模式。”
卡巴斯基实验室的高级产品营销经理Peter Beardmore说:“我们的经验是,仅去年一年,恶意软件的数量就增长了700%。“这绝对是对传统签名方法的挑战。”
卡巴斯基也看到了它的探测模式的转变。Beardmore说:“不是代码的模式,而是代码中调用的模式。”“它可能会调用打印机或注册表,”因此恶意软件将通过更多基于行为的方法被识别。
卡巴斯基还将在其所有桌面产品中加入去年夏天通过与Bit9合作在消费产品中尝试过的白名单和黑名单方法。这些技术现在似乎更适合桌面电脑,所以卡巴斯基还没有确定在服务器上使用这种技术的策略。
趋势科技公司负责核心技术解决方案的副总裁约翰·麦迪森(John Maddison)也认为,恶意软件的流行正在挑战传统的基于签名的检测方法,即将签名文件下载并存储在计算机上。
麦迪森说:“到2015年,我们预计每小时会有超过25000个新签名。”
趋势科技的方法,由首席执行官概述陈伊娃在2008年初,是把签名模式“云”,与趋势科技的智能保护检测。这种方法目前在30个客户中进行测试,预计将在2009年第二季度推出。它涉及的计算机使用趋势科技基于代理的软件进行保护,该软件可以查询云,以检测和根除已知的恶意软件。
麦迪森说,对于企业而言,趋势科技只需“在服务器上复制一个云”,然后“云就会来找他们”。“云必须变得实时,通过复杂的更新方法,几乎可以立即更新。”麦迪森说,网络威胁保护是检测恶意软件的另一支箭。
戴夫·马库斯,安全研究和通讯总监迈克菲他认为,“考虑到恶意软件的数量之多,基于签名的检测不如五年前那么重要。”
McAfee已经开始转向基于云计算的恶意软件检测,并认为基于行为的检测也是一种很好的增强方法。但马库斯补充道:“基于签名的识别将永远是安全技术发展的一部分。”