計算機病毒百科專題

專題一：計算機病毒分類命名知識百科上線試運行（安天研究院出品）

本期為計算機病毒百科專題第二期:?新增計算機病毒百科的統(tǒng)計專欄。

2023年9月8日，計算機病毒百科(virusview.net)的統(tǒng)計專欄正式上線，在第一批上線的統(tǒng)計圖表中，我們分別按照惡意代碼家族的維度、變種的維度，以及有效計算機病毒樣本的維度，提供惡意代碼8個基礎(chǔ)分類的階段性全量統(tǒng)計數(shù)據(jù)、以及2014年以來的歷年增量數(shù)據(jù)和年度總量數(shù)據(jù)。后續(xù)，我們還會從不同的維度提供按照其他統(tǒng)計方式的其他統(tǒng)計數(shù)據(jù)和圖表。我們進行相關(guān)統(tǒng)計工作的基礎(chǔ)是，始終堅持嚴(yán)格按照惡意代碼的8個基礎(chǔ)分類進行基于互斥原則的樣本分類、始終堅持投入人力與算力資源進行惡意代碼的同源性分析判斷、始終堅守以“CARO公約”為基礎(chǔ)的結(jié)構(gòu)化命名并尊重先發(fā)廠商的家族命名權(quán)、始終執(zhí)行嚴(yán)謹(jǐn)?shù)摹胺诸惽熬Y/環(huán)境前綴.家族名.變種號<核心行為標(biāo)簽>”為結(jié)構(gòu)的命名規(guī)則、始終堅持將全量樣本進行元數(shù)據(jù)化和知識轉(zhuǎn)化，這使我們能夠在作為一個反病毒引擎團隊所必須的特征工程基礎(chǔ)上，持續(xù)積累了可以支撐惡意代碼知識工程的形式化基礎(chǔ)。

惡意代碼種類發(fā)展變化圖

首先需要說明，我們的年度統(tǒng)計從2014年開始，而不是從安天開始創(chuàng)業(yè)研發(fā)反病毒引擎的2000年開始，是由于安天賽博超腦的基礎(chǔ)原型T系統(tǒng)，是從2014年開始上線運行的。我們現(xiàn)行的分類和命名結(jié)構(gòu)，也是2014年開始執(zhí)行的。T系統(tǒng)前身的VX Platform是從2004年開始運行，到2014年直接被T系統(tǒng)取代，由于兩個系統(tǒng)所執(zhí)行的分類命名標(biāo)準(zhǔn)是有差異的，因此，我們在2014年初只導(dǎo)入了存量樣本、特征和必要的標(biāo)簽信息，并沒有導(dǎo)入歷史分析的軌跡數(shù)據(jù)和歷史的年份統(tǒng)計數(shù)據(jù)。但回頭來看，惡意代碼整體的分類分布的重大變化以及惡意代碼的增長趨勢，由2000年前后的慢速線性增長轉(zhuǎn)化為一次幾何式的膨脹，是發(fā)生在2006年左右。而2014年之后，則是在新的大基數(shù)下進入一個新的線性增長期。缺失了2000年至2014年的統(tǒng)計，不能不說是一個遺憾。因此，我們在統(tǒng)計專欄中提供了一份2000年安天所擁有的病毒樣本庫的統(tǒng)計情況，可以與當(dāng)前的情況作一個對比。

惡意代碼整體分類分布圖

?

其次，在整個惡意代碼分類命名的知識工程中，分類標(biāo)準(zhǔn)基于MECE原則（相互獨立、完全窮盡），是可以基于一個科學(xué)式邏輯來執(zhí)行的；在環(huán)境前綴上，同樣基于樣本最終形態(tài)格式是可以精確區(qū)分的；但在家族命名上，則面臨很多需要平衡和妥協(xié)的選項。先發(fā)者命名優(yōu)先原則，形成了反病毒廠商之間很好的尊重，也減少了在重大惡意代碼事件中命名不同對安全運營人員和公眾的信息干擾，但這也導(dǎo)致每一個反病毒引擎的研發(fā)團隊都無法嚴(yán)格的執(zhí)行自身的家族命名規(guī)則。與此同時，反病毒團隊擁有的算力資源和人力資源情況，也會制約同源分析的質(zhì)量，特別是面對一個百億量級的Hash的整體樣本空間，以及每日超過200萬新的Hash的樣本增量，堅持全量樣本的同源性關(guān)聯(lián)分析，是需要大量的算力與人力投入的。這也使安天繼續(xù)要維護一套完全獨立的同源分析機制，與此同時又需要在家族命名輸出上兼顧反病毒的業(yè)界共識。

此外，我們依然堅持有效樣本統(tǒng)計原則，以減少統(tǒng)計數(shù)據(jù)對于趨勢判斷的干擾。早在DOS感染式病毒時代，對于每一種感染式病毒（變種）需要在樣本庫中留存多少個樣本，是有非常嚴(yán)格的技術(shù)規(guī)范的，包括針對DOS_COM宿主大小、是否同時感染DOS_COM和DOS_MZ、是不是變形病毒等情況，都有具體的數(shù)量規(guī)范。一方面，避免因樣本數(shù)量留存不足，影響特征碼的提取和清除模塊的編寫質(zhì)量；另一方面，也約束由于感染式病毒每感染一個文件就會帶來一個新Hash的樣本，導(dǎo)致對分析和統(tǒng)計工作的干擾。由于Win32系列的操作系統(tǒng)平臺默認有大量的PE文件，一些Win32感染式病毒會感染幾乎所有的PE文件，特別是在云查殺的機制上，由于這些感染后的Hash必然是新的，導(dǎo)致了反病毒廠商的樣本庫中有大量的類似的樣本文件，而以互聯(lián)網(wǎng)安全模式運營的團隊，由于云查殺的策略和提交策略相對更寬泛，類似情況可能更為明顯。還有，針對木馬免殺和在200X年就已經(jīng)出現(xiàn)的Poly By Server（投放端變形）技術(shù)，也使同一個變種的惡意代碼在每一次投放中Hash均不同。因此，如果基于全量樣本作為統(tǒng)計度量衡，則很容易得出感染式病毒是主流的錯誤結(jié)論或者誤判某種木馬的風(fēng)險程度。所以，我們在原有DOS感染式樣本規(guī)范的有效樣本數(shù)規(guī)則基礎(chǔ)上，完善了包括PE/ELF/Macro等感染式樣本的有效樣本統(tǒng)計原則，并依托安天AVL SDK引擎的脫殼、虛擬執(zhí)行和預(yù)處理能力，以及賽博超腦的其他同源向量分析方法，對類似Poly By Server、變形殼等產(chǎn)生的樣本，建立了有效性樣本的統(tǒng)計修正方法。

GPU算力的增強，有效的彌補了我們以密集的CPU核為主的分析體系，大模型方法的應(yīng)用也為我們改善上面的工作以及對賽博超腦的升級，起到了很大的促進作用。依托我們持續(xù)的特征工程和推進工作，我們后續(xù)會按照產(chǎn)業(yè)界、研究者和公眾對于惡意代碼和威脅統(tǒng)計的相關(guān)需求，開放更多的統(tǒng)計信息。當(dāng)然，我們推動網(wǎng)絡(luò)安全建立公共知識體系的路程終將是漫長的，期待有更多的同路人發(fā)現(xiàn)問題、提出需求，和我們一起推動。

對我們希望開放相關(guān)統(tǒng)計信息，也包括對病毒百科的改善意見，歡迎大家發(fā)送郵件到ti_support@antiy.cn。當(dāng)然，如果你的朋友圈里有安天人，那就直接把你的需要轉(zhuǎn)發(fā)給他（她）。?

安天研究院計算機病毒百科興趣小組

2023年9月8日

?