供稿种子AV-Comparatives McAfee Artemis技术预览
在过去两年,McAfee的检出率有一定的下滑(从Advanced+到Advanced),但今年晚些时候McAfee在放出一个新技术
(代号Project Artemis)之后,预计成绩会有所提高。AV-Comparatives对这项技术进行了一次测试。虽然是2月的测试,不过对于我们了解McAfee的新技术还是有帮助的。
这项新技术会对新威胁或是尚未放出每日特征码更新的威胁作出有效而又快速的反应。McAfee计划今年晚些时候在单机客户和企业中全面部署这项技术。关于Project Artemis的更多信息,可以查看这里。
这项技术是如何工作的:
它会搜索可疑的PE文件,并在发现时将该文件的某种校验值发送至McAfee AVERT 实验室的中央数据库进行比对。这个中央数据库在不间断地更新新发现的有害程序,并且,这个数据库中队列中的有害程序都是尚未创建正式的DAT更新的。如果在与数据库的比对中发现与之相符的记录,扫描器就会报告和处理这个有害程序。在McAfee的这个队列中的文件虽然尚未进行任何分析,但是它们已经经过了McAfee庞大的白名单的交叉检查来避免误报。
在这个远程的黑名单系统的支持下,它就能够比厂商每日数次更新新的特征码更快的应对随时出现的大量新威胁。
对比测试结果:
这个测试使用和2008年2月测试同样的McAfee ViruScan Plus版本和相同的特征码更新记录(2008年2月4日的),唯一的不同是其中一个添加了一个可以激活这项新功能的extra.dat文件(在进行这项测试时尚在封闭beta测试阶段)。
左边是没有Artemis技术的,右边是启用了Artemis技术的,可以看出检出率有非常明显的提高。在这次测试中这项新技术也产生了大量的误报,可能和它没有被完全测试过和尚在内部Beta阶段有关。
其实说白了,这项技术就是将那些McAfee已经收到的并且判定为有害程序但是尚未放出对应的特征码更新的这些有害程序弄成一个数据库,用户每次扫描时遇到可疑文件McAfee都会联网与此数据库比对,这样的话就将”发现有害程序到放出特征码更新”这一段时间省下来了,可以做到更快的反应…以前McAfee对新威胁的反应速度可真是….
很期待所有装备了这项技术的McAfee产品~就是不知道这技术是仅在全盘扫描时启用还是在实时监控中也能发挥作用呢…
![[cusFace:3]](http://zuoshen.com/wordpress/wp-includes/images/smilies/40.gif)
这是誰...
| 
留言