为什么N-gram内容搜索是威胁检测的关键？

VirusTotal推出的企业版本通过引入更快速的恶意软件搜索功能，并采用N-gram内容搜索技术来识别威胁。那么，什么是N-gram内容搜索？它为何如此重要？

威胁识别与信息共享的演进

识别威胁并向防御者共享威胁信息的实践，是长期用于防御病毒和恶意软件的签名技术的延伸。虽然这是一种极其有效的恶意软件识别方式，但后来已通过行为启发式、异常检测和其他更新进行了改进。过去，大规模应用这种实践并允许企业防御者访问底层数据可能并不常见，但VirusTotal的最新发展推出了企业版本，为大型组织提供了调查事件的另一种选择。

VirusTotal包含恶意软件提交和其他相关数据，可能包括来自研究人员、防御者和攻击者的文件、电子邮件、IP地址和URL，每个用户都有自己使用该服务的理由。企业版本引入的众多新功能之一就是N-gram内容搜索。大多数企业使用VirusTotal来查看特定文件是否被任何包含的反恶意软件引擎检测到。通过企业版本，客户可以将其提交和信息对其他VirusTotal用户保密。

N-gram内容搜索的工作原理

N-gram内容搜索是指在特定顺序下同时搜索一个或多个字符串，以确定文件是否与其他文件或恶意软件相关。这些字符串可能是恶意软件中的特定功能，恶意软件作者可能已在布局中进行了足够更改，以改变恶意软件的整体检测签名。

通过搜索文件中的多个特定签名，可以在没有恶意软件特定签名的情况下识别相关恶意软件，并且正如VirusTotal所指出的，这提高了搜索速度。例如，企业客户可以提交感兴趣的文件，查看它是否已被检测到或与先前检测到的恶意软件相关——这有助于优先处理对恶意软件的后续分析。

专家问答：有关企业威胁的问题？ 立即通过电子邮件发送。（所有问题均为匿名。）