传统的静态病毒检测方法主要有 MD5、病毒特征码和规则匹配
  

一二 2505

{{ttag.title}}
传统的静态病毒检测方法主要有 MD5、病毒特征码和规则匹配这三大类。这些传统技术本质上都是对文件的字节信息进行匹配,这导致他们通常无法检测新变种、新家族等未知威胁。正是由于传统病毒检测方法存在无法调和的缺陷,深信服下一代防火墙应用机器学习技术检测未知病毒或新变种,提升病毒文件检测的准确率。 深信服下一代防火墙采用自研杀毒引擎SAVE(人工智能恶意文件检测引擎),该引擎利用深度学习技术对数亿维的原始特征进行分析和综合,结合安全专家的领域知识,最终挑选了数千维最有效的高维特征进行恶意文件的鉴定,相比基于病毒特征库的传统检测引擎,SAVE 的主要优势有: 1)具备强大的泛化能力,甚至能够做到在不更新模型的情况下识别新出现的未知病毒; 2)这对威胁最高的勒索病毒检测达到业界领先的检出率,包括影响广泛的 WannaCry、BadRabbit 等病毒; 3)云+端联动,依托于深信服安全云脑基于海量大数据的运营分析,SAVE 能够持续进化,不断更新模型并提升检测能力,从而形成本地传统引擎、人工智能检测引擎和云端查杀引擎的完美结合。 SAVE 的检测过程分为本地查杀和云端查杀两个阶段。本地查杀阶段会调用规则引擎,AI 引擎,变形对抗引擎,数字签名引擎。SAVE 通过规则引擎快速处理已知常见病毒,通过 AI 引擎应对新型未知攻击,变形对抗引擎能有效处理恶意文件的免杀手段,数签引擎可以有效处理可信白文件。云端查杀主要处理本地引擎判为可疑的文件。在用户允许的前提下,SAVE会上传文件的检测特征到云端进行更细粒度的检测。云端部署了检测能力更强同时需要更多计算资源的检测引擎,可以对文件进行更深入的分析,做出准确判断。 SAVE 引擎的检测模型在云端(安全云脑—深信服云端安全中心)会自动持续演进,包括机器学习特征集更新、AI 检测模型演进等。通过升级服务下发最新检测模型到终端或者防火墙产品上,不断提升本地防火墙的病毒检测能力。

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

平凡的小网工 发表于 2024-10-3 20:10
  
感谢分享传统病毒查杀的基本原理,学习了。
嘀嘀柠柠 发表于 2024-10-5 04:50
  
不错的,吸收了解下。
fjqx 发表于 2024-10-8 15:12
  
不错的测试,……感谢分享,学习。
飞翔的苹果 发表于 2024-10-11 08:37
  
感谢分享,学习学习
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
技术盲盒
社区新周刊
新版本体验
干货满满
技术咨询
每日一问
纪元平台
产品连连看
标准化排查
GIF动图学习
功能体验
社区帮助指南
信服课堂视频
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
143
63

发帖

粉丝

关注

5
8
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人