何謂啟發式偵測技術(Heuristic Detection Technology)
2008-11-12
何謂啟發式偵測技術(Heuristic Detection Technology)
簡朝璋-2008-11-07
當還在求學階段時,面對著所需研讀、厚厚的一疊教科書時,您是將整本書照單全收地全背下來、還是針對關鍵重點來思考融會貫通?
在電腦系統的世界中,偵測一個檔案是否合法的判定方式,各家防毒軟體均有著不同的偵測技術和其所屬的病毒資料庫,因為所使用的偵測方法不同,也就連帶著影響到偵測準確率優劣、掃描速度快慢、所消耗的系統資源多寡、以及誤判率高低的差異。然而,為什麼有越來越多的防毒軟體開始轉型、採用所謂的「啟發式偵測技術」(Heuristic Detection Technology)呢?這必須先從「病毒程式」以及「正常程式」的區別來說起,這兩者之間比較明顯的差異在於,病毒程式在被執行時,通常的作法都是直接進行自動脫殼解碼、寫入操作、或搜索特定路徑下的可執行程式,來進行入侵或感染的行為,而正常程式則可能需要額外添加參數、會主動顯示進度資訊、或含有需確認系統特定權限身份的命令後才能動作的特性行為。在防毒軟體中,若是僅使用病毒資料庫的偵測方式,則很容易會遭遇遺漏掉未被添加入資料庫的新型病毒以及變種病毒的零天攻擊(Zero-day Attack),但若把未知程式在運行或存取時的行為,事先偵測分析判定其是否合法,此類似人工智能的思考技術,就是啟發式偵測模式。啟發式偵測就是能不完全仰賴病毒資料庫、即能判定檔案是否具有威脅性的一種智能偵測技術。
啟發式,就字面上來解釋,可以代表著「運用現有的資訊來擴展、衍生更進一步的想法,或自我智能判定發現」的行為動作。所以,啟發式偵測並不全然是單一運行的原理,基本的病毒資料庫也是需要用來從旁輔助的。有了現有基礎的病毒資料庫為基底,啟發式偵測能在病毒從外入侵存入系統、或瀏覽到內含威脅檔案的資料夾時,就早一步啟用並調閱病毒資料庫的資訊,而且也不一定需要完整的病毒資訊,可能僅需分析比對出一部份重要的病毒特徵碼、即可確定該檔案是否具有合法性。在此狀況下,若是完全仰賴病毒資料庫偵測模式的方法,就需比對該檔案是否符合資料庫中的病毒資訊,此時將造成判定時所花費的時間以及需要更多的系統效能。
然而,倘若該威脅檔案是尚未入庫至病毒資料庫中,或是改變了加殼技術、有了完全不同特徵編碼的變種且又是全新的病毒呢?此時就需啟發式偵測來自我智能判定了,通常此部份也是會搭配另一種技術:虛擬機脫殼引擎(Virtual Unpack Engine,以下簡稱 VUE),所謂的 VUE 就是模擬出系統的一種虛擬處理環境,在此虛擬環境中,先將其檔案脫殼、或開始運行此程式的動作行為,啟發式掃描即可針對脫殼後的檔案、來進行病毒特徵碼的比對,或是判定該程式在虛擬機中的執行動作,是否帶有非法行為的模式,如未經允許即自行掛載某系統檔案、隱藏自己的處理程序、或沒有要求用戶確認繼續進行的權限即自動進行所有程序等等,此些含有高度系統威脅風險的行為動作。啟發式引擎即是將此對系統具有威脅性的檔案透過 VUE 的環境事先偵測出來,並加以阻止該非法程序繼續執行於實體系統中。
在資訊流通速度比以往快上數倍的現今,傳統的針對已探測分析完畢特徵字串、使用病毒特徵碼來掃描檔案的比對技術已經不敷使用,防毒軟體需要的是能自動面對各式新病毒以及攻擊入侵的技術,而啟發式即是一種具備智能、進化的偵測方法,能有效地來應對各種類型的病毒威脅程式,並會逐步進化成可自行偵測出極高比率的病毒偵測率、和維持極低的誤判率───即使在不更新病毒資料庫的情況之下。啟發式偵測能運用著有限的資源,同時一併減少了防毒軟體在主程式以及病毒資料庫的更新容量和次數,來達到最低的系統負載和最大效用的優勢,此必然將會是防毒產業的一大寵兒。
ESET 研究團隊歷年來於防毒軟體上,致力開發的專利 ThreatSense© Engine中,即是使用此啟發式掃描技術,涵蓋了基因特徵碼、代碼分析和動態模擬行為的偵測方式,在使用系統資源、掃描速度、偵測率的部份,早已達到了輕快準狠的標準,亦能兼顧到即低的誤判率而不至於造成正常檔案系統的運行。其他的防毒廠商也紛紛轉型,開始重視投入啟發式掃描偵測的技術。而啟發式掃描技術也不負眾望,配合各家防毒系統定義的資料庫和偵測技術,均個別有效改善了以往過於仰賴病毒資料庫、病毒資料庫肥大、佔用過多系統資源以及掃描時間的缺點。
回到最初的問題:唸書是要「照單全收」還是要「融會貫通」?照單全收的研讀方式,不但耗時、耗力,在遇到了靈活的考題,或完全無標準答案的申論題時,可能就會造成無法應答的狀況,而融會貫通的思考模式,將能突破此困境,以一應百、並持續延展進步而不受既有限制。在病毒層出不窮、攻擊入侵手法不斷翻新、惡意威脅程式越來越複雜聰明的時代,防毒軟體偵測技術豈可不更加智能進步呢?而啟發式偵測即代表著一種特有的技術,以用來應對千變萬化的病毒威脅,相信這將會是你往後在選擇眾多防毒軟體時,所需秉持的重要考量!
