思科公司的Talos智能与研究小组于本周一公布了一套新的开源框架，专门用于自动生成基于恶意软件的反病毒签名。

根据思科方面的描述，这款名为BASS的新型工具属于一款自动化签名合成器。该框架能够根据以往的恶意软件签名组合创建新签名，其主要目标在于改善资源利用率并简化恶意软件分析的工作流程。

Talos小组解释称，BASS的设计目标在于生成更多基于模式——而非基于哈希值的签名，从而降低思科ClamAV开源反病毒引擎的资源占用量。该款工具亦有助于减少负责编写基于模式之病毒签名的分析师们的日常工作量。

这套由Python语言编写而成的框架作为一套Docker容器集群存在，这种与容器技术相结合的作法保证其能够轻松实现扩展，同时可利用Web服务与其它工具进行交互。

根据Talos小组的介绍，每天被添加至ClamAV数据库当中的签名成千上万，而其中大多数属于基于哈希值的签名。哈希值类签名的最大问题在于，相较于基于字节码与模式的签名相比，其仅可用于标识单一文件而非整体恶意软件集群。另外，其还存在内存占用量更大等其它一些弊端。

相比之下，基于模式的签名较字节码类签名更易于维护，思科公司也正因为如此而更倾向于选择模式类签名机制。

此次公布的BASS框架从多种来源处收集恶意软件集群，并利用ClamAV解包器对各个文件进行解包。一旦恶意软件集群经过过滤并确保文件内容符合BASS所设定的输入预期（即属于便携式可执行文件），则BASS框架会利用IDA Pro或者其它反汇编程序对其二进制文件进行解析，进而搜索样本当中可用于生成签名的通用代码。

目前BASS框架Alpha版本的源代码已经被发布在GitHub之上。思科公司的Talos小组将继续对该工具进行维护，也欢迎一切有助于实现功能改进的反馈意见。

BASS地址：https://github.com/Cisco-Talos/bass