火眼识别是什么 火眼有什么设计动机

一、什么是火眼识别

火眼（文件行为分析网站）

“火眼”系统是一套自动化的病毒样本动态行为分析系统，可对未知文件的具体行为给出详细的分析报告。之前，要分析一个可疑文件是否有害，需要使用杀毒软件扫描文件（或多引擎扫描）。但对可疑文件的具体行为分析，往往需要依赖专业病毒分析师的人工分析。

由金山网络出品的在线病毒检测网站，类似于的Comodo在线沙箱，可以精准的分析出恶意程序的行为。

危险行为识别

启发式的识别恶意程序的危险行为基于完善的日志记录，启发式行为识别能提供更为清晰的危险行为报告，即使后台运行的隐匿行为也无处藏身。

文件监控

系统中文件的增加、删除、修改精确记录而已程序运行造成的文件系统的变化，包括恶意程序释放文件、修改系统文件、删除文件等等，让隐藏文件无处藏身。

　注册表监控

注册表关键位置的变动记录恶意程序的注册表操作（例如，比较常见的创建启动项、修改注册表键值、破坏安全模式等等），让恶意程序的注册表操作一目了然。

　网络操作监控

控制恶意程序的网络活动（发送数据、下载等）清晰展现盗号、后门、下载者等恶意程序的网络活动，并对这些网络活动进行协议解析、数据揭秘等。

恶意程序运行后的进程活动精确识别恶意程序的进程创建活动。

二、火眼系统来源于哪里

　1、传说

孙大圣在太上老君的八卦炉里炼了七七四十九天，炼就了火眼金睛。但凡妖魔鬼怪被大圣的火眼一照，便立刻显露原形。

某年月日，安全实验室几个技术宅被老板关进八卦炉炼也不知过了几个七七四十九天，待到技术宅们开光显身之际，他们也炼成了一双“火眼”。

2、“火眼”来源于什么？

简单说，“火眼”就是一套自动化的病毒样本动态行为分析系统，可对未知文件的行为给出详细的分析报告。

这一点来讲，火眼和静态文件鉴定是两回事，这是火眼和云鉴定的本质区别。

将火眼系统与医学检验设备类比可以很容易理解：

以前生病去医院做检查，检验师须配制分析试剂处理血样，在显微镜下仔细判读细胞的形态、数量、评估生理特性。效率很低，且受经验影响很大，同一份血样由不同的医师判读，可能相差甚远。

现在简单了，检验师直接将采集的样品放到一个自动分析仪中，几秒钟即可打印出化验单。医师看了化验单就大致了解病情，而一个比较了解医学知识的人，对着化验单，也能看个八九不离十。

“火眼”就是这样一套自动化的病毒样本分析系统，安全爱好者将自己采集到的可疑样本提交到系统中，等几分钟，系统就会给这个病毒样本打印出一份“化验单”。不太专业的安全爱好者对照这份“化验单”也能猜个八九不离十。

三、火眼的设计动机是什么

毫无疑问，和医学科研一样，计算机病毒自动分析仪产生的最初动机，就是提升病毒分析的效率，用系统去模拟一个专业病毒分析师对可疑文件进行专业分析。

在没有“火眼”之前，安全软件发烧友一般用下面三种方法来分析鉴定文件是不是病毒：

　1、杀毒软件扫描

用杀毒软件对目标文件执行扫描是最常见的作法，一个杀毒软件可能不准，就用多个杀毒软件，常见有网民在一台电脑使用2，3个杀毒软件检查。或者将样本提交到VirSCAN扫描，若有多个杀毒软件报毒，就判断这个文件是病毒。到底这个文件是不是病毒呢？实际上扫描之后仍然是吃不准的。因为不清楚这个可疑文件到底有哪些具体的恶意行为。

2、专业分析

通过解壳、解密，反汇编，或者使用IDA、OllySafe这样的专业工具对可疑样本进行分析。这只有具备相应专业技能的软件工程师才能做到。

　3、简单行为分析

很多人不具备逆向分析的能力，会使用一些简单的工具完成病毒行为分析和指导手工清除。可采用的工具有：Sreng、AutoRuns、Xuetr等等。比如前几年就流行使用Sreng，发现问题就扫描一个日志，再交给更专业的人分析日志，然后再做一个手动恢复的建议。

也有使用Sandboxie运行可疑文件，观察具体行为，或先用installwatch记录文件运行前后的系统配置镜像变化，用Regshot这样的软件比较都有哪些注册表条目被修改，然后判断这个可疑文件是不是有害的，或者花更多时间使用虚拟机来更清晰的观察程序运行之后的结果。

以上这些方法虽相对精确，但明显存在以下问题需要克服：

1、疲劳

分析员使用IDA、OllySafe静态分析病毒代码，就如同常人阅读一本书，需要从头看到尾，才能大致了解这本书的意图。而分析员可能需要一天到晚看病毒代码，头晕眼花看走眼极有可能出现分析结论出错或者分析不全面。

　2、效率

一个分析员处理一般的病毒，一个工作日不过三、五十个，如果需要详细的出具一份病毒分析报告，则需要大量时间。在遇到难缠的病毒时，还可能需要几天时间。普通网友用虚拟机等工具观察一个可疑文件需要花更长的时间。

　3、门槛较高

不是随便拉个人过来就能做病毒分析，病毒分析师的门槛较高。一般安全爱好者同样需要对系统有相当的了解。

　4、简单分析无法完整展现可疑文件的具体行为

对职业病毒分析员也一样，有人擅长分析蠕虫，可能更了解网络方面的病毒指令，而对其他部分可能会忽略，完整而详尽的病毒分析相当耗时间。

四、火眼的现实例子有吗

有。今天上午，在泉州市鲤城区临江街道溪亭社区中山花园小区，泉州市首创的“火眼”识别系统正式启用，泉州市公安局鲤城分局上午也通报了此情况。

安装在校园旁边的“火眼”系统。

从小区入口往小区内走，经过“火眼”识别系统时，耳边就会传来了一阵清晰的语音提醒：“访客，您好，请主动登记。”走入保安亭，只见墙上挂着一个液晶显示屏，上面清晰记录着笔者进入时的画面。

对此，临江派出所邱首艺所长介绍，该系统的作用，就像一道安全门。该系统安放在小区入口右侧的空中，外形类似普通监控探头。不同于一般摄像头，其一旁还设有一个红色报警灯，除具备普通视频监控功能外，该系统提前录入了整个小区300多户业主的身份信息，非该小区业主进入小区时，系统会自动甄别，红色报警灯将闪烁，同时发出警报声提醒保安。

鲤城公安分局召开新闻发布会通报“火眼”系统正式启用。

据悉，鲤城区临江街道溪亭社区中山花园小区，属老旧小区，由于安保力量比较薄弱，该小区曾多次发生过盗窃案件。8月份“火眼”系统投入使用，试运行3个月来，该小区实现了案件“零发案”。该系统不仅可以对进出小区的车辆和人员，进行24小时不间断的实时抓拍监控，还兼具语音报警功能，可以一秒钟识别进入者是否为业主，识别率达到90%以上。该系统达到了防范前置，震慑犯罪分子，提高安全感的目的。

由于“火眼”识别系统试点效果良好，10月初，临江派出所在辖区鲤城区实验小学也启用了该系统。为保障师生安全，该系统提前录入了鲤城区嫌疑人员的身份信息，一旦这些人员在小学门口出现，即会被系统“捕捉”，该系统会立刻语音通知保安室。

鲤城区实验小学校长蔡晓芹对此套系统颇为赞许，自从学校安装了“火眼”识别系统，学校多了一道安全防线，把嫌疑人员阻挡在校园之外，师生的平安多了一份保障。