¿Qué tan grandes son las bases de datos de definición de antivirus?

Navega tus respuestas
1

De acuerdo con HowToGeek:

  

Su software antivirus se basa en definiciones de virus para detectar malware. Es por eso que descarga automáticamente archivos de definición nuevos y actualizados, una vez al día o incluso más a menudo. Los archivos de definición contienen firmas de virus y otros programas maliciosos que se han encontrado en la naturaleza.

Mi pregunta es, ¿el espacio de almacenamiento requerido para mantener tales bases de datos de firmas sería bastante grande? Sin embargo, este no parece ser el caso, ya que las actualizaciones diarias de AV no parecen tan grandes, ni la descarga de la instalación.

¿Estas definiciones de firmas no son tan grandes como las imagino?

    
pregunta Gavin Youker 10.12.2016 - 08:22
fuente

3 respuestas

0

El tamaño de la base de datos de ClamAV desde su servidor de actualizaciones es de 109.1MB a partir de hoy. Estas bases de datos de firmas se crean y almacenan de forma tal que se comprimen, como se puede imaginar.

ESET dice que sus actualizaciones (realizadas 2-3 veces al día) tienen un tamaño promedio de 60 KB ( aunque puede ser más grande).

Las instalaciones solo incluirían los binarios para instalar el programa, y el programa se pondría en contacto con el servidor de actualizaciones para recuperar la base de datos más reciente, también, como usted podría imaginar.

Estas bases de datos son propiedad intelectual del proveedor de AV y representan uno de los valores únicos que proporciona el proveedor con el producto, por lo que no recibirán todos los detalles sobre cómo administran sus bases de datos. Pero los programas de código abierto ofrecen una visión de cómo podría funcionar.

    
respondido por el schroeder 10.12.2016 - 09:19
fuente
0

Con la última versión avanzada, persistente & El malware polimórfico y el tipo de atributos con los que vienen, por cada 10 líneas de código malicioso, el código de firma AV va hasta 1000 líneas.

¡Con tal correlación, un DB de definición de AV promedio puede ser de unos cientos de MB de tamaño! ¡Sin embargo, ahora la mayoría de ellos se están moviendo hacia la detección de comportamiento, ya que no es práctico tener una base de datos de firmas pesada!

Gracias

    
respondido por el CyberDude 10.12.2016 - 12:46
fuente
-1

Los proveedores de AV emplean varios métodos para reducir el tamaño de la base de datos. Una es la técnica de compresión, en la que el proveedor comprimirá la base de datos y los pondrá a disposición de los usuarios para que los descarguen.

La segunda es la generalización, una técnica utilizada en el aprendizaje automático. Usan expresiones de coincidencia de patrones o expresiones regulares para esto. Supongamos que un proveedor tiene 4 firmas con el siguiente formato: 

aaaaa
aaaab
aaaac
aaaad

En lugar de tener definiciones separadas para cada uno de los anteriores, estas 4 definiciones se pueden generalizar a: aaaa?

Aquí, ? es un carácter comodín, que representa cualquier carácter. Esta técnica reduce significativamente el tamaño de la base de datos.

Sin embargo, aquí hay una advertencia. Supongamos que el producto AV encuentra aaaax en algún software legítimo. Naturalmente, también se marca como un programa malicioso (en realidad, no lo es). Esto da lugar a falsos positivos. En tales casos, el proveedor de AV dará una excepción a aaaax en su próxima actualización de la base de datos, para que no se marque en rojo en el futuro.

También puede haber otras técnicas, que pueden ser propietarias, pero las dos técnicas anteriores son generalmente de uso general.

Tal como se solicita en los comentarios, aquí están los enlaces para las técnicas de generalización:

Wikipedia

Intego Buscar para la detección genérica

Coincidencia de patrones en las GPU

Avira

    
respondido por el pri 10.12.2016 - 09:35
fuente

Lea otras preguntas en las etiquetas

Arquitectura de niveles de firewall y marcas de firewall en el contexto actual Algoritmo de cifrado del lado del cliente: seguridad + ¿se necesita un algoritmo de relleno en este caso?