最新病毒库并非“最新” 仍需要主动拦截

现在很多人写博客,或是习惯将照片上传网络相册,以及类似YouTube的网站也愈来愈盛行。现在这些基于Web 2.0架构制作的网页数量相当庞大,可能或多或少都会被植入一些恶意程序。比方说讨论区,黑客可能在上面放一些网络连结引诱你点选,或是贴了一张相片,告诉你如果要看其他相册你可以点这里,点选之后你可能就中毒了。像我们现在讲的这些东西,没有杀毒软件根本很难辨识哪里有问题,而且就算你有杀毒软件也不见得抓得到。因为现在的病毒变种很多,而且病毒的数量成长更是惊人,所以你必须时时更新病毒库,可是更新的病毒库却也不见得是最新的。

我的意思是,就算你拿到了最新发布的病毒库,然而那也许是杀毒软件公司三、五天前收集到的样本,所以对于黑客来说早就不是最新版本的病毒,而最新的病毒却还在外面四处流窜。所以除了病毒库要时时保持最新的状态外,就是依赖像是云端主动拦截这样的技术。

目前很多杀毒厂商都已经运用云端主动拦截技术。主动拦截即时防恶意程序入侵解决了现在杀毒软件的普遍问题,就是病毒库不够即时。譬如说今天我们发现了一个样本,我们把它加到病毒库给使用者下载,但是每几秒钟就会有一个新病毒被发现,你不可能每几秒钟就发布一次新的病毒库,最多可能每几个小时就更新一次病毒库,那么这中空期怎么办?主动拦截技术的好处就是,我们发现一些可疑的文件时,就可以利用主动拦截技术快速查到,这个文件是放在什么样的网址,而这个网址又是谁注册,这个注册者的IP和DNS存在了多久时间等资讯,查出他们背后所有的关联性,大致上就可以勾勒出这个文件究竟是从哪里来,甚至他跟哪一些僵尸电脑有关系,然后直接判断这个文件是不是病毒。对使用者来讲,他不需要更新病毒库,他每开一个网页,里面的所有素材在连结之前,就会透过杀毒软件询问我们的病毒库,然后病毒库就会告诉杀毒软件,开启这些文件究竟是不是安全的。也就是说运用主动拦截技术,没有更新病毒库的问题,因为得到的永远是在网络上即时提供的最新资讯,而且资讯每秒钟都在更新改变。现在的病毒几乎都是为了偷病毒,因此恶意连结可能会放在原本就有很多人登入的知名网站,所以突然很多使用者询问同一个网址或文件,就代表这个连结可能有问题。因此,我们的架构就是使用者愈多,我们的病毒就愈齐全,查询的结果也愈精确。