반응형
현재 안티버의 가장 큰 장점은 뛰어난 악성코드 진단율입니다. 오진 등을 감안하고 비교해봐도 진단율
면에서 시그니처를 기반으로하는 단일 엔진 중에서는 최정상급에 있는 제품이 아닌가 합니다.
이러한 진단율을 뒷받침하고 있는 것은 안티버의 휴리스틱(의심진단) 진단입니다. 매우 다양한 휴리스틱
진단명을 갖고 있는 안티버는 각각의 의심 진단명마다 개별적인 악성코드를 사전진단함으로써 매우 높
은 진단율을 갖고 있습니다. 이는 안티버에 휴리스틱 기능이 추가된 후 지속적으로 휴리스틱 진단 패턴
을 늘려나가면서 이룬 성과로 보입니다.
안티버에서는 이러한 휴리스틱 진단의 민감도 조절과 활성/비활성화 설정을 환경 설정에서 제공합니다.
그런데 이러한 휴리스틱 환경 설정의 설정 여부와 상관없이 휴리스틱 진단이 이루어지는 것을 종종
보게됩니다. 아래와 같은 경우를 예로 들어보겠습니다.
휴리스틱 설정 - 비활성화
진단된 휴리스틱 진단명들
휴리스틱 설정을 활성화 시키면 아래와 같이 추가적으로 진단되는 파일을 확인할 수 있습니다.
휴리스틱 서정 - 활성화/민간도 최고
추가된 휴리스틱 진단
앞선 포스팅에서 언급을 하였습니다만 위의 경우에서 볼 수 있듯이 안티버의 휴리스틱 설정은 Heur이
포함된 진단에만 영향을 미칩니다. 그렇다면 Gen 진단은 휴리스틱(의심진단) 진단이 아닐까요?
이는 보안 업체의 정책과 휴리스틱 기능에 따라 많이 달라지기는 하나 안티버의 Gen 진단도 일종의
의심진단이라 봐야할 것 같습니다. Gen진단과 Heur 진단의 차이점은 아래와 같습니다.
Gen - Generic 진단은 특정 악성코드에서 발견되는 패턴을 이용하여 진단을 합니다. 따라서 해당 의심
진단은 해당 패턴을 이용하는 악성코드만을 진단하기 때문에 비교적 진단의 범위와 목표가 제한되어
있습니다. 이러한 의심진단은 DB에 추가되지 않은 악성코드를 진단할 수 있으면서도 오진에 대해서도
비교적 안정적입니다.
이에 반해 Heur - Heuristic 진단은 악성코드 전반에서 발견되는 특징을 이용하여 진단을 합니다. 따라서
진단의 범위와 목표가 광범위합니다. Gen 진단에 비해 더 포괄적으로 악성코드를 진단할 수 있어 진단
율은 상승하나 오진이 나타날 확율이 높습니다.
위의 설명만 놓고 보면 기본적으로 정식 DB에 포함되는 악성코드들도 악성코드의 코드를 추가하는 것
이 아니라 일부 코드를 패턴화 해서 진단하는 것이기 때문에 Gen 진단도 정식 진단이 아닌가하는 의견
도 있을 수 있습니다. 전문적인 지식이 부족해서 개인적으로 설명하기 어려운 부분이긴 하나 안티버의
경우 정식 DB에는 악성코드라 확신할 수 있는 고유의 패턴이 담기지만 Gen 진단 경우 특징적인 패턴만
을 가지고 진단하기 때문에 진단 근거에 차이가 있다고 볼 수 있습니다.
비유하자면 정식 DB는 악성코드로 법원에서 확실하게 판결이 난 것이고, Gen 진단은 검찰이 악성코드
로 법원에 기소한 것이라 보면 됩니다. 즉, Gen진단은 악성코드의 증거가 발견되어 기소는 되었으나
정확한 판결이 이루어지지 않은 것이라 볼 수 있습니다. 이와 달리 Heur 진단 경우 경찰이나 검찰이
악성코드로 의심되어 구속하였으나 기소할 만큼의 충분한 증거는 얻지 못한 상태라 보면 될 듯 합니다.
여하튼 안티버는 Gen진단과 Heur진단을 적절히 조합하여 전체적인 의심진단의 진단율과 안정성을 높이
고 있습니다. Gen진단으로 특정 악성코드의 변종에 대처하고, Gen진단에서 놓칠 수 있는 악성코드를
Heur진단으로 대처 하기 때문입니다.
안티버의 이러한 의심진단이 대단하다 생각되는 것은 수많은 Gen 진단 패턴과 Heur 진단 사용시에 신규
패턴 추가와 존재하는 패턴의 민감도 설정, 패턴 재점검 등으로 오진율은 낮추고 진단율을 높이는 작업
이 지속적으로 이루어고 있다는 것입니다. 여담입니다만 간혹 국내 유저들 사이에서 국내 보안 업체들
이 휴리스틱 진단이 없다는 것을 문제삼는 경우가 많은데 안랩의 V3에서도 Gen 진단이나 Suspicios(안티
버의 Heur 진단과 유사)등이 있습니다. 그러나 아쉽게도 국내 보안 업체에서 의심진단은(기술적인 부분도 있겠습
니다만) 안정성을 위해 다소 소극적으로 사용되고 있는 실정입니다.
참고로 앞서 언급한 것처럼 보안 업체마다 휴리스틱 진단에 대한 정책적인 차이 혹은 기능상의 차이가
존재합니다. 예를 들어 이전에 리뷰한 비트디펜더 경우 Gen 진단은 아예 정식 DB에 포함되어 있으며
처리시에도 정식 DB와 동일하게 처리가 됩니다.
위의 경우처럼 보안 업체마다 의심진단에 대해 다소 차이가 있습니다만, 사용자 입장에서는 안티버뿐만
아니라 다른 보안 제품에서도 Gen진단이나 Heur 진단 등은 모두 의심진단이라고 보면 될 듯 합니다.
이러한 의심진단이 나왔을 경우 단순 삭제가 아닌 검역소에 저장을 기본적으로 수행하고 보안 업체에
해당 진단된 객체를 신고하여 악성 여부를 판별하게 하는 것을 권장합니다.
- 이상입니다.
현재 안티버의 가장 큰 장점은 뛰어난 악성코드 진단율입니다. 오진 등을 감안하고 비교해봐도 진단율
면에서 시그니처를 기반으로하는 단일 엔진 중에서는 최정상급에 있는 제품이 아닌가 합니다.
이러한 진단율을 뒷받침하고 있는 것은 안티버의 휴리스틱(의심진단) 진단입니다. 매우 다양한 휴리스틱
진단명을 갖고 있는 안티버는 각각의 의심 진단명마다 개별적인 악성코드를 사전진단함으로써 매우 높
은 진단율을 갖고 있습니다. 이는 안티버에 휴리스틱 기능이 추가된 후 지속적으로 휴리스틱 진단 패턴
을 늘려나가면서 이룬 성과로 보입니다.
안티버에서는 이러한 휴리스틱 진단의 민감도 조절과 활성/비활성화 설정을 환경 설정에서 제공합니다.
그런데 이러한 휴리스틱 환경 설정의 설정 여부와 상관없이 휴리스틱 진단이 이루어지는 것을 종종
보게됩니다. 아래와 같은 경우를 예로 들어보겠습니다.
휴리스틱 설정 - 비활성화
진단된 휴리스틱 진단명들
휴리스틱 설정을 활성화 시키면 아래와 같이 추가적으로 진단되는 파일을 확인할 수 있습니다.
휴리스틱 서정 - 활성화/민간도 최고
추가된 휴리스틱 진단
앞선 포스팅에서 언급을 하였습니다만 위의 경우에서 볼 수 있듯이 안티버의 휴리스틱 설정은 Heur이
포함된 진단에만 영향을 미칩니다. 그렇다면 Gen 진단은 휴리스틱(의심진단) 진단이 아닐까요?
이는 보안 업체의 정책과 휴리스틱 기능에 따라 많이 달라지기는 하나 안티버의 Gen 진단도 일종의
의심진단이라 봐야할 것 같습니다. Gen진단과 Heur 진단의 차이점은 아래와 같습니다.
Gen - Generic 진단은 특정 악성코드에서 발견되는 패턴을 이용하여 진단을 합니다. 따라서 해당 의심
진단은 해당 패턴을 이용하는 악성코드만을 진단하기 때문에 비교적 진단의 범위와 목표가 제한되어
있습니다. 이러한 의심진단은 DB에 추가되지 않은 악성코드를 진단할 수 있으면서도 오진에 대해서도
비교적 안정적입니다.
이에 반해 Heur - Heuristic 진단은 악성코드 전반에서 발견되는 특징을 이용하여 진단을 합니다. 따라서
진단의 범위와 목표가 광범위합니다. Gen 진단에 비해 더 포괄적으로 악성코드를 진단할 수 있어 진단
율은 상승하나 오진이 나타날 확율이 높습니다.
위의 설명만 놓고 보면 기본적으로 정식 DB에 포함되는 악성코드들도 악성코드의 코드를 추가하는 것
이 아니라 일부 코드를 패턴화 해서 진단하는 것이기 때문에 Gen 진단도 정식 진단이 아닌가하는 의견
도 있을 수 있습니다. 전문적인 지식이 부족해서 개인적으로 설명하기 어려운 부분이긴 하나 안티버의
경우 정식 DB에는 악성코드라 확신할 수 있는 고유의 패턴이 담기지만 Gen 진단 경우 특징적인 패턴만
을 가지고 진단하기 때문에 진단 근거에 차이가 있다고 볼 수 있습니다.
비유하자면 정식 DB는 악성코드로 법원에서 확실하게 판결이 난 것이고, Gen 진단은 검찰이 악성코드
로 법원에 기소한 것이라 보면 됩니다. 즉, Gen진단은 악성코드의 증거가 발견되어 기소는 되었으나
정확한 판결이 이루어지지 않은 것이라 볼 수 있습니다. 이와 달리 Heur 진단 경우 경찰이나 검찰이
악성코드로 의심되어 구속하였으나 기소할 만큼의 충분한 증거는 얻지 못한 상태라 보면 될 듯 합니다.
여하튼 안티버는 Gen진단과 Heur진단을 적절히 조합하여 전체적인 의심진단의 진단율과 안정성을 높이
고 있습니다. Gen진단으로 특정 악성코드의 변종에 대처하고, Gen진단에서 놓칠 수 있는 악성코드를
Heur진단으로 대처 하기 때문입니다.
안티버의 이러한 의심진단이 대단하다 생각되는 것은 수많은 Gen 진단 패턴과 Heur 진단 사용시에 신규
패턴 추가와 존재하는 패턴의 민감도 설정, 패턴 재점검 등으로 오진율은 낮추고 진단율을 높이는 작업
이 지속적으로 이루어고 있다는 것입니다. 여담입니다만 간혹 국내 유저들 사이에서 국내 보안 업체들
이 휴리스틱 진단이 없다는 것을 문제삼는 경우가 많은데 안랩의 V3에서도 Gen 진단이나 Suspicios(안티
버의 Heur 진단과 유사)등이 있습니다. 그러나 아쉽게도 국내 보안 업체에서 의심진단은(기술적인 부분도 있겠습
니다만) 안정성을 위해 다소 소극적으로 사용되고 있는 실정입니다.
참고로 앞서 언급한 것처럼 보안 업체마다 휴리스틱 진단에 대한 정책적인 차이 혹은 기능상의 차이가
존재합니다. 예를 들어 이전에 리뷰한 비트디펜더 경우 Gen 진단은 아예 정식 DB에 포함되어 있으며
처리시에도 정식 DB와 동일하게 처리가 됩니다.
위의 경우처럼 보안 업체마다 의심진단에 대해 다소 차이가 있습니다만, 사용자 입장에서는 안티버뿐만
아니라 다른 보안 제품에서도 Gen진단이나 Heur 진단 등은 모두 의심진단이라고 보면 될 듯 합니다.
이러한 의심진단이 나왔을 경우 단순 삭제가 아닌 검역소에 저장을 기본적으로 수행하고 보안 업체에
해당 진단된 객체를 신고하여 악성 여부를 판별하게 하는 것을 권장합니다.
- 이상입니다.
반응형
'▶ 보안 제품 리뷰 > :: Antivir' 카테고리의 다른 글
Avira Antivir Premium Security Suite 9 리뷰 (3-1) - 파일 실시간 감시 (12) | 2009.05.03 |
---|---|
안티버 (Avira Antivir) avwin.ini 파일 수정 (4) | 2009.05.03 |
Avira Antivir (안티버) 특정 기능 삭제/추가 방법 (0) | 2009.04.25 |
Avira Antivir Premium Security Suite 9 리뷰 (2) - 메인 UI (4) | 2009.04.25 |
Avira Antivir (안티버) 제어판 컨트롤 판넬 삭제 (8) | 2009.04.21 |