今日,安天即将上线计算机病毒分类命名知识百科(域名Virusview.net),百科以计算机病毒(恶意代码)的结构化命名为索引和框架,已经上线超过五万种计算机病毒家族信息词条,基本在家族级别实现了完整覆盖,现有计算机病毒和恶意代码的1300万个变种,基本都是这种家族的成员。这些知识词条是安天赛博超脑通过样本剖析的特点向量积累自动化生成的,这一工作是安天以共性能力和公共知识赋能产业计划的一部分。安天公众号转发安天研究院编撰的Virusview.net网站的About信息。以让更多人了解相关工作。
安天上线计算机病毒分类命名知识百科(域名Virusview.net)
关于计算机病毒分类命名知识百科
安天研究院
计算机病毒分类命名知识百科,简称“计算机病毒百科”(域名Virusview.net),是安天研究院面对业界、研究机构和公众开放的计算机病毒/恶意代码公共知识资源,这套资源基于严格的分类命名索引展开,基于安天的恶意代码八个基础类别作为一级分类、按照现有恶意代码家族的环境前缀逐层展开,目前颗粒度抵达病毒家族一级。目前有家族知识词条超过5万个,基本覆盖了超过99%的计算机病毒/恶意代码已知家族,并迭代持续更新。
1986年,第一个IBM-PC体系下的计算机病毒形成,标志着信息安全的对抗从原始的操作对抗步入到代码对抗。今天计算机病毒的概念和概貌都已然发生了巨大变化,其早已不是原有简单的感染寄主的代码片断,而外延成为以恶意目的编撰或运行后能实现侵犯行为和后果的代码和数据,其学术上的名称也常常被恶意代码所取代。从安天创业的2000年,我们看见恶意代码种类数不超过几千个家族的三万个变种,有效样本素数万个,到明天早已有超过五万个家族,一千三百万个变种,可以映射到超过百亿恶意样本HASH空间。
而提供恶意代码的精确命名与配套的知识体系,是从最早的反病毒领域到网路安全业界的重要工作。1991年的CARO大会奠定了关于计算机病毒命名的初始行业共识原则,提出了最初的四段式命名法则,业内称之为“CARO公约”。基于CARO公约,卡巴斯基、赛门铁克、趋势等安全厂商基于自己的命名体系,提供了带有自身特色的恶意代码知识资源尝试,其中比较知名的包括卡巴斯基的Viruslist等等。但因为病毒/恶意代码的快速海量膨胀,不同安全厂商在处理方法和命名标准上都存在很大差别,这就使恶意代码统一命名成为一种不太现实的工作。特别是CARO公约产生于感染式病毒为主流的DOS时代,其既留下了精确分段命名的遗产,但也留下 “分类”概念缺位的遗憾。这就使计算机病毒的知识体系缺乏一个相对统一的科学的分类知识框架。
因此我们也希望跳脱出作为一个反病毒引擎研制组织的本位视角,站在一个公共所需的安全知识体系的角度,来尝试做一些相关工作。
历史沿革
我们希望将计算机病毒的相关信息转化成一个公共知识体系的看法源于2001年初,我们在规划ArrectNET预警检测体系中,也规划了一部分知识化工作,我们注册了Virusview.net的域名,并最初命名为“病毒观察”。我们把我们在剖析响应工作中,积累剖析结果转化为描述文字和一些状态标签信息。我们还和《计算机应用文摘》一起开办了“病毒观察”专栏并编撰连载。
早期病毒观察网站截图
在2006年开始,我们尝试基于静态的自动化剖析结果,构建一个配套的知识体系,并把其作为一种副产品提供给使用安天AVL SDK反病毒引擎的合作伙伴,我们开放了一个面向合作伙伴的平台,来查询和支撑相关信息。这就是最早的分类命名知识体系。
随着2012年安天的算力成长,我们开始从最早的ArrectNET的自动化剖析开始建立一个大规模的算力平台“赛博超脑”,此时我们早已才能让动态沙箱剖析覆盖更多样本。在2012年,我们进行了第二个版本的更新,利用安天引擎的解析结果和自动化剖析平台对恶意代码的行为剖析,并手动输出结构化的恶意代码知识描述信息。此后因为我们的精力问题,我们没有坚持和维护,导致virusview仍然处在没有后续更新的状态。
2012年的Virusview.net
从2001年开始研究恶意代码自动化特点提取开始,我们仍然追求的是以自动化作为恐吓对抗的主闭环,并不断把人的经验迭代到特点工程中去,我们仍然追求的是用更高水平的自动化,适应代码对象的复杂性成长和对象的规模膨胀。今天我们也在进一步加强基于场景的复杂性实现高水平的自动化。我们因此持续改善赛博超脑,不断提高算力与储存能力,我们在原有的近4万个CPU核的基础上近几年来的名称计算机病毒有哪些,开始逐步降低GPU算力。病毒百科的即将恢复,就是我们用大模型改善特点工程和知识工程质量的一个“副产品”。当然,目前的工作距离我们的目标还是有着巨大的差别,我们期盼按照工业界和研究界的需求来迭代改进。每天约有3000个词条会手动更新,我们后续会再充分建立和丰富家族命名词条的质量,未来也有计划将知识体系开放的颗粒度从变种一级抵达HASH的知识。
关于的关于
由于我们的经验水平所限,加之病毒百科是自动化生成迭代的,其必然有很多不严谨之处。最后想告诉你们的是,本篇“关于计算机病毒分类命名知识百科”,这是整个百科所有页面中惟一不是由“安天赛博超脑”自动化生成的内容,事实上我们曾尝试让本页也基于我们一些信息输入来手动形成,但输出的结果总是不能令我们满意。平台输出的内容很有条理近几年来的名称计算机病毒有哪些,很清晰,但总是缺乏哪些?
有人问我们安天的赛博超脑是哪些?
它以巨大的吞吐能力剖析安天每日新增的数百万个新的恐吓样本,并按照算法和工程师的预设条件发觉隐蔽的恐吓,它以我们无法想像的速率和无法理解的形式遍历并重塑海量的特点与知识体系,它持续形成恐吓检测的特点与范式并发布升级。它是我们每晚工作所依赖的平台。
它无法真正理解我们这些置于人类信息技术演化中非常微渺,但我们又为之奉献了青春和智慧的工作历程;它无法获得实现有效防护价值时工程师的内心荣誉和成就;它无法联接工程师团队与恐吓在刀锋对抗时的热血与情感。
所以人类信息社会的历史永远是人机工程的演进史,我们相信未来的计算机病毒百科也是这么。
安天研究院计算机病毒百科兴趣小组
2023/08