Quanto sono grandi i database di definizioni antivirus?

Naviga le tue risposte
1

Secondo HowToGeek:

Your antivirus software relies on virus definitions to detect malware. That’s why it automatically downloads new, updated definition files – once a day or even more often. The definition files contain signatures for viruses and other malware that have been encountered in the wild.

La mia domanda è, lo spazio di archiviazione richiesto per contenere tali database di firme non dovrebbe avere dimensioni abbastanza grandi? Tuttavia, questo non sembra essere il caso in cui gli aggiornamenti AV quotidiani non sembrano così grandi, né il download dell'installazione.

Queste definizioni di firma non sono così grandi come immagino che siano?

    
posta Gavin Youker 10.12.2016 - 08:22
fonte

3 risposte

0

La dimensione database di ClamAV dal loro server di aggiornamento è di 109,1 MB a partire da oggi. Questi database di firme vengono creati e archiviati in modo tale da comprimerli, come puoi immaginare.

ESET dice che i loro aggiornamenti (eseguiti 2-3 volte al giorno) hanno una dimensione di 60 KB in media ( anche se può essere più grande).

Le installazioni includevano solo i file binari per installare il programma, e il programma avrebbe contattato il server di aggiornamento per recuperare il database più recente, anche come si potrebbe immaginare.

Questi database sono la proprietà intellettuale del rivenditore AV e rappresentano uno dei valori unici forniti dal fornitore al prodotto, quindi non saranno disponibili con tutti i dettagli su come gestiscono i loro database. Ma i programmi open source forniscono uno sguardo su un metodo per il loro funzionamento.

    
risposta data 10.12.2016 - 09:19
fonte
0

Con l'ultima versione avanzata, persistente e amp; Il malware polimorfico e il tipo di attributi con cui vengono forniti, per ogni 10 righe di codice dannoso, il codice della firma AV va fino a 1000 righe.

Con una tale correlazione, un DB di definizione AV medio può essere in poche centinaia di MB di dimensioni !! Tuttavia, ora la maggior parte di essi si sta spostando verso il rilevamento comportamentale in quanto non è pratico disporre di un pesante database delle firme !!

Grazie

    
risposta data 10.12.2016 - 12:46
fonte
-1

Esistono vari metodi utilizzati dai produttori di AV per ridurre le dimensioni del database. Uno è rappresentato dalle tecniche di compressione, in cui il fornitore comprime il database e le rende disponibili per il download agli utenti.

Il secondo è la generalizzazione, una tecnica utilizzata nell'apprendimento automatico. Usano le corrispondenze di pattern o le espressioni regolari per questo. Supponiamo che un venditore abbia 4 firme nel seguente formato: 

aaaaa
aaaab
aaaac
aaaad

Invece di avere definizioni separate per ciascuno dei precedenti, queste 4 definizioni possono essere generalizzate a: aaaa?

Qui, ? è un carattere jolly, che rappresenta qualsiasi carattere. Questa tecnica riduce significativamente le dimensioni del database.

Qui giace un avvertimento, però. Supponiamo che il prodotto AV trovi aaaax in alcuni software legittimi. Naturalmente, è anche segnalato come programma malevolo (in realtà, però, non lo è). Ciò dà luogo a falsi positivi. In questi casi, il fornitore AV fornirà un'eccezione a aaaax nel loro prossimo aggiornamento del database, in modo che non venga contrassegnato in rosso in futuro.

Potrebbero esserci anche altre tecniche, che potrebbero essere proprietarie, ma le 2 tecniche sopra descritte sono generalmente di uso comune.

Come richiesto nei commenti, ecco i link per le tecniche di generalizzazione:

Wikipedia

Intego Cerca per rilevamento generico

Pattern Matching in GPU

Avira

    
risposta data 10.12.2016 - 09:35
fonte

Leggi altre domande sui tag

Come fermare lo strumento "mitmf" sulla mia rete domestica? Perché nessun certificato SSL con più sottodomini [duplicato]