第三代反病毒技术--应用程序控制技术

　　2008年是互联网中恶意威胁大爆发的一年，每天都有数以万计的新恶意程序出现并被截获。截至目前为止，卡巴斯基实验室的反病毒数据库已经能够对超过1400万的恶意程序进行检测和处理。作为反病毒行业内反病毒数据库更次频率最高的厂商，卡巴斯基实验室每天能够进行超过24次的反病毒数据库更新，也就是不到一个小时就会有一次更新。但是，即便有如此高的更新频率，如果只依靠反病毒数据库进行检测，我们仍然不能保证能够在第一时间就对所有新的威胁进行有效防御。要解决这一问题，显而易见地，我们可以有两个方案：一，就是进一步缩短响应时间，提高响应速度。二，就是让程序本身具备对未知威胁的防御能力。

　　为了进一步提高对新威胁的响应速度，卡巴斯基实验室在2008年初推出了我们的“云安全”技术 - 卡巴斯基安全网络，以进一步缩短对新威胁的响应时间。该技术是“云计算”技术在安全行业中的一个应用，能够将卡巴斯基的所有用户组成一张大网，依托卡巴斯基实验室的“云安全”平台，在最短的时间内对新的安全威胁进行响应。但是，就算响应时间再短，也还是需要响应时间的。从恶意程序爆发到反病毒厂商发起响应这段时间内，用户的安全防御系统仍然会有缺失。因此，高密度的“反病毒数据库更新” + “云安全”技术虽然能够大大提高用户计算机和隐私信息的安全性，但是仍然无法避免某些最新威胁的快速攻击。

　　正是因为这样，反病毒软件还需要具有对未知威胁的检测和防御能力。卡巴斯基实验室在2008年初推出“云安全”技术的同时，还推出了颠覆整个安全行业传统的“应用程序控制”技术。要介绍“应用程序控制”技术，我们就不得不先看看反病毒行业核心技术的演进过程。

　　反病毒行业核心技术的演进，主要分为以下三个阶段：

　　1、在第一代技术中，所有的程序被分为两类：恶意程序和未知程序，通过反病毒数据库对恶意程序进行阻止操作，对未知程序进行允许操作。这种技术具有十分明显的缺陷，因为所有的新威胁都隐藏在未知程序中。目前还有一些厂商在沿用这种较为落后的第一代技术。

　　2、在第二代技术中，所有的程序仍然被分为两类：恶意程序和未知程序。然而，与第一代技术有所不同的是，第二代技术会对未知程序进行观察，并根据观察结果进行相应的控制。这种技术的优点在于，能够通过对未知程序行为的观察，判断其是否有恶意的意图，能够较及时地发现未知恶意威胁。这个技术在反病毒产品中的体现，就是前几年比较热门的“主动防御”技术。但是，它也有一个十分显著的缺点，就是误报率较高。目前大部分的厂商都在沿用这种第二代技术。

　　3、正式由于看到了前二代技术中的不足，卡巴斯基实验室根据近20年来与恶意程序斗争的经验，以及深厚的技术积累，与今年年初推出了颠覆传统的第三代核心技术。在第三代核心技术中，卡巴斯基实验室创新性地将反病毒软件所面临的软件分为了三类：恶意程序，正常程序和位置程序。对于恶意程序，还是采取跟之前一样的处理方式，进行阻止。对于正常程序，则对其进行允许操作。对于未知程序，将会在它运行的初期对其进行分析，根据分析结果将它归入不同的安全级别类中，并且根据安全级别的不同而分配给它不同的运行权限、资源使用权限、资源访问权限。

　　卡巴斯基实验室的第三代核心技术，就是我在前面提到过的“应用程序控制”技术。该技术由“安全分级技术”、“白名单技术”和“危险行为监控技术”共同协作，以实现对未知程序、正常程序和恶意程序的防御，100%保障用户免受未知恶意威胁的侵袭。

　　卡巴斯基的“应用程序控制”技术，不仅能对操作系统的关键服务及使用权限进行限制和保护，还能够对程序的网络访问权限和机密数据访问权限进行限制和保护，及保护了用户的计算机安全，又保护了用户的机密信息安全。