殺毒技術哪家強？看25年三代殺毒引擎的演變

2014-11-05

1989年，第一款殺毒軟件Mcafee誕生，至今殺毒軟件已經有了25年的歷史，最近幾天有幾篇有關殺毒引擎的水稿突然冒了出來，這幾篇水稿對殺毒引擎歷史缺乏基本的瞭解，概念混亂，低級的讓人不忍直視，所以憤然梳理了一下殺毒引擎的歷史，算是做個基礎知識普及，也給製造水稿者一些基本素材，以正視聽，首先聲明，部分內容摘自多位前輩的歷史作品，只為普及教育，無商業目的，請多多見諒。

第一代：特徵碼殺毒引擎

1989年，第一款殺毒軟件Mcafee誕生，開啓第一代依賴特徵碼的殺毒引擎時代。

這一代殺毒軟件無論是查殺還是防禦，都是基於特徵碼的，查殺用特徵碼比對，防禦即時監控。

特徵碼引擎的基本原理就是“殺毒引擎+特徵碼匹配”，殺毒引擎是槍，特徵碼是子彈，子彈越多，能殺的病毒就越多。

特徵庫是由殺毒廠商收集到的病毒樣本的特徵碼組成，而特徵碼則是病毒分析工程師從病毒程序中找到和正當軟件的不同之處，截取一段類似於“搜索關鍵詞”的程序代碼。

電腦一開機，特徵碼就被讀到內存中，當用殺毒引擎掃描硬盤、或者監控一個文件的動作時（比如下載、修改註冊表等等），它會讀取文件並且與特徵庫中的所有特徵碼“關鍵詞”進行匹配，如果發現文件程序代碼被“關鍵詞”命中，就把那個文件判定為病毒，然後報警和攔截。

特徵庫匹配是查殺已知病毒很有效的一項技術，也是殺毒引擎賴以工作的基礎（掃描、監控都需要調用特徵庫），一直被殺毒軟件沿用下來，所有特徵碼都需要嚴格的測試和比對，否則極易造成誤傷。早期的殺毒引擎都是特徵碼殺毒引擎。

第二代：啓發式殺毒引擎

啓發式引擎掃描指的“運用某種方式去判定事物的知識和技能”，是讓殺毒軟件具有學習能力的一項技術，通過行為判斷、文件結構分析等手段，在較少依賴特徵庫的情況下能夠查殺未知的木馬病毒。

啓發式又分為行為啓發和靜態啓發兩種，能夠通過一些行為規則或靜態特徵來識別出一些未知的病毒，對未知病毒有一定的檢測能力，但啓發式仍然要依賴特徵碼，比如它會按家族來查殺，即使一些病毒特徵碼變了，但可以通過一些靜態特徵來識別和查殺。啓發式可以部分地進行智能查殺，但都必須和上一代的特徵碼引擎配合使用，並且仍然需要人工分析。

啓發式引擎公認比較強的是小紅傘、NOD32，其檢測能力比較高。

互聯網高速普及的今天，基於特徵碼的殺毒引擎也受到越來越多質疑：木馬數量急劇增加，人工截取特徵碼的效率有限。即使假設所有樣本都能及時處理，特徵庫變大也會帶來資源佔用過大的問題，特別是殺毒引擎隨系統啓動時都要把特徵庫寫入內存，這是殺毒軟件遭到詬病的一大原因。

第三代：人工智能引擎

人工智能引擎主要依靠於人工智能技術，這一代引擎已經擺脱了對病毒特徵庫的依賴，它在海量病毒樣本數據中歸納出一套智能算法，自己來發現和學習病毒變化規律。它無需頻繁更新特徵庫、無需分析病毒靜態特徵、無需分析病毒行為，但是病毒檢出率卻遠遠超過了第一、二代引擎的總和，而且查殺速度比傳統引擎至少快一倍。人工智能引擎的代表是360的QVM人工智能引擎，這個引擎在2010年5月研發成功，當年正式應用於360殺毒產品中，QVM人工智能引擎目前已經發展到第二代。

360的QVM引擎QVM是未知病毒識別領域的一個突破，它將人工智能技術應用於病毒識別的過程當中，首先通過對病毒樣本的分析和分類形成樣本向量和向量機，然後建立一個機器學習的決策機模型，利用決策樹和向量機，對大量樣本進行學習，從而識別惡意程序或非惡意程序。隨着學習樣本數量的增加，再配合白名單，就能夠在識別未知惡意程序的同時，降低誤報，使未知病毒識別技術真正商用。

引擎的在不停演進，在360 QVM引擎取得成功後，紅傘等2代引擎領先廠商意識到3代引擎的技術優勢，開始緊鑼密鼓的研製3代引擎。

仔細研究了一下，最近幾篇水稿中鼓吹的百度雪狼引擎，本質上還是一個第一代最古老的特徵碼引擎，使用的都是瑞星和江民時代的殺毒技術，在3代引擎已經成熟商業化的時候，雪狼引擎還停留在第一代，技術明顯落後了。面對今天的安全威脅形勢，第一代基於特徵碼的殺毒引擎技術已經接近於被淘汰，目前美國政府已經停止對第一代引擎技術的研發投資和支持，業已經明確禁止採購這類基於特徵碼的殺毒產品。

其實引擎並非萬能的

安全是木桶理論，引擎僅是安全中的一環，最短板決定整體安全性，面對今天的安全威脅，需要有全系統的防護能力，需要一套系統的安全體系，脱離安全體系，吹噓引擎萬能，顯然對於安全的理解太膚淺。

在360的整體防護體系中，引擎本身僅只是其中的一個有機組成部分，在這個防護體系內，有自主傳統引擎AVE的對於已知病毒的精確查殺；有QVM高度人工智能、自學習和對未知病毒預測和高檢出能力；有世界上最大最全的高純度白名單庫防止誤殺誤攔；有基於雲的主動防禦系統對於未知惡意行為的攔截防範；也有基於世界上最大用户基數的安全客户端之上的、世界上最大的基於大數據的對未知風險的即時感知和監控雲安全後台；所有這些建立起了360全方位立體防護體系，已經遙遙領先於國內外安全軟件企業，並且已經建立了難以逾越的技術高門檻。