反病毒定义数据库有多大?
参考HowToGeek:
反病毒软件依赖病毒定义来检测恶意软件。这就是为什么它自动下载新的,更新的定义文件-一天一次,甚至更频繁。定义文件包含在野外遇到的病毒和其他恶意软件的签名。
我的问题是,存放这样的签名数据库所需的存储空间不是很大吗?然而,情况似乎并非如此,因为每天的AV更新看起来并不大,安装下载也不是这样。
这些签名定义不像我想象的那么大吗?
回答 3
Security用户
发布于 2016-12-10 08:19:14
截至目前,ClamAV更新服务器的数据库大小为109.1MB。这些签名数据库的创建和存储方式可以压缩它们,正如您所能想象的那样。
ESET说它们的更新(每天执行2-3次)平均大小为60 on (尽管可能更大)。
安装将只包括安装程序的二进制文件,程序将与更新服务器联系以检索最新的数据库,正如您所想象的那样。
这些数据库是AV供应商的知识产权,代表了供应商为产品提供的唯一价值之一,因此它们不会提供有关如何管理数据库的所有详细信息。但是,开放源码程序为它们的工作方式提供了一瞥。
Security用户
发布于 2016-12-10 11:46:08
有了最新的高级、持久和多态恶意软件及其附带的属性,对于每10行恶意代码,AV签名代码就会持续到1000行。
有了这样的相关性,一个平均的AV定义DB可以在几百个MBs的大小!!然而,现在他们中的大多数人正在走向行为检测,因为拥有沉重的签名数据库是不切实际的!
谢谢
Security用户
发布于 2016-12-10 08:35:34
AV供应商使用了多种方法来缩小数据库的大小。一种是压缩技术,供应商将压缩数据库并将其提供给用户下载。
二是泛化,这是机器学习中的一种技术。为此,他们使用模式匹配或正则表达式。假设供应商具有以下格式的4个签名:
aaaaa
aaaab
aaaac
aaaad这4个定义可以推广到:aaaa?,而不是对上面的每一个定义都有单独的定义。
在这里,?是一个外卡字符,它代表任何一个字符.这种技术大大减少了数据库的大小。
不过,这里有一个警告。假设AV产品在一些合法软件中找到aaaax。当然,它也被标记为恶意程序(实际上,它不是)。这就产生了假阳性。在这种情况下,AV供应商将在下一次更新数据库时给aaaax一个例外,这样以后就不会出现红色标记。
也许还有其他的技术,它们可能是专有的,但是上面的2种技术通常是被广泛使用的。
正如注释中所要求的那样,以下是泛化技术的链接:
因泰戈搜索泛型检测
GPU中的模式匹配
https://security.stackexchange.com/questions/144937
复制相似问题
腾讯云开发者
