|
|
|
 |
|
病毒囂張難防 殺毒軟件尋求免疫
|
|
來源:賽迪網 2008-08-14 15:59:26
|
|
用戶總在抱怨,現在是不用殺毒軟件不行,用了殺毒軟件作用也不大。到底有沒有一種新的殺毒方法,像人體免疫機能一樣,能夠對病毒實行主動防御呢?
傳統反病毒的流程始終無法防范未知病毒 “殺毒軟件在核心技術的研發上,已經達到了一個相對成熟的時期,但還是不能解決肆意泛濫的病毒,若想有所突破很難。”這已經成為業內專家和廠商的一套常用辭令。病毒確實難防。 用戶總在抱怨,現在是不用殺毒軟件不行,用了殺毒軟件作用也不大。剛剛結束了與瑞星在單機版軟件渠道上的合作,連邦軟件常務副總裁邢曉煒覺得,目前用戶對現有的防病毒軟件雖然不滿,但也很無奈。 越來越囂張的病毒 十多年來,反病毒領域已經經歷了兩個發展階段:以防毒卡為代表的防毒階段和以殺毒軟件為代表的殺毒階段。雖然絕大多數用戶的計算機中都安裝了各種品牌的反病毒軟件,可令人遺憾的是,用戶所面臨的病毒危害并沒有因此顯著降低。 反病毒技術的研究主要禁錮于特征值掃描法,而如今卡巴斯基、金山、瑞星、江民等公司都在倡導主動防御技術,但也只是把主動防御作為其中一項功能,并不能代表產品本身就是一套完整的主動防御體系。 據今年3月19日的《華盛頓郵報》報道,德國AV測試實驗室(AV Test Labs)僅2007年就收集到550萬個新病毒樣本,這個數量是2006年的4倍,2005年的15倍。現在,國內外反病毒公司普遍認為2008年新病毒的數量將突破1000萬個。2007年,國外安全分析師曾經預言:如果反病毒技術沒有徹底革新,“殺毒軟件將死”。 黑客和病毒制造者越來越狡猾,他們正改變以往的病毒編寫方式,研究各種網絡平臺系統和網絡應用的流程,甚至殺毒軟件的查殺、防御技術,尋找各種漏洞進行攻擊。 以目前最流行的“機器狗”為例,其最大的特點就是隱蔽性和攻擊的定向性,它不僅可以對抗常見的安全軟件,還能利用迅雷、QQ、聯眾等一切應用程序的漏洞侵入用戶電腦。 最近,有一批受害企業和網民在互聯網上發起了所謂的打“狗”行動。甚至,一家杭州企業發出了懸賞50萬元通緝“機器狗”病毒作者的公告。 如今的病毒發展越來越成熟,也越來越囂張。曾經風靡一時的加殼技術已經落伍,病毒不再需要藏身的“馬甲”,甚至已經從對殺毒軟件實施“免殺”進展到“追殺”。 滯后的安全防線 從殺毒軟件的核心技術來說,大多數市場上主流的殺毒軟件的核心依然是基于“特征值”識別技術,這也決定了殺毒軟件本質上是一種亡羊補牢的軟件。 可以理解為,只有某一段代碼被編制出來之后,才能判斷這個代碼是不是病毒,才能談到去檢測或清除這種病毒。現在的反病毒技術殺毒的流程為:當用戶發現計算機出現異常現象,懷疑可能被病毒感染→具有一定反病毒知識的用戶將可疑文件通過郵件等途徑發送至反病毒公司→反病毒公司收到可疑文件后,由病毒分析工程師進行人工分析→如果認定是病毒,則從病毒代碼中提取該病毒的特征值,然后制作升級程序并將其放在互聯網上→最后,待用戶升級反病毒軟件后,才能對這個病毒進行查殺。但在用戶升級之前,用戶計算機上的傳統反病毒產品無法阻止該病毒的感染和破壞。 反病毒公司已經提取特征值的病毒稱為已知病毒,未提取特征值的病毒就稱為未知病毒。特征值掃描技術依賴于從病毒體中提取的特征值,未獲得病毒體就無法取得特征值。其技術原理決定了,特征值掃描技術只能識別已知病毒,不能防范未知病毒。 就在這個世紀初,專家也都還認為防范未知病毒是基本上不能完成的構想。有專家指出:電腦如果能夠做到防范未知病毒,那么人工智能的水平將超過通過圖靈試驗的程度。 面對每分鐘數以千計新出現的各種病毒,如何創造某種形式未知病毒發現技術已經成為信息安全產業亟待解決的問題。 病毒作者每天對病毒進行更新,升級速度甚至超過了殺毒軟件。瑞星公司研發部副總經理馬杰說,“熊貓燒香”病毒不斷更新,使得殺毒軟件也要被迫不斷升級,可“熊貓燒香”病毒的感染和破壞并沒有因此而得到有效遏制。在這場長達數月的較量中,傳統殺毒軟件無力為用戶提供有效保護,直到病毒編寫者被捕后才告結束。“熊貓燒香”病毒的出現,已經凸顯傳統反病毒技術的致命缺陷。 國內反病毒專家劉旭認為,殺毒軟件對新病毒的防范始終滯后于病毒出現,這種滯后的殺毒技術使得防范網絡新病毒被動地處在一個又一個“時間差”的危險之中。即從一種新病毒出現,到廠商人工捕獲病毒,再到分析病毒樣本,最后完成殺毒軟件升級之前,這一段時間內,用戶對該病毒沒有防范能力,處在“滯后”狀態。 從防毒到免疫 中國工程院院士沈昌祥多次談到關于利用可信計算和主動防御實現增強信息安全的“免疫”問題。 那么,到底有沒有一種新的殺毒方法,像人體免疫機能一樣,能夠對病毒實行主動防御呢? IBM曾經提出數字免疫系統,采用的是模擬人體的免疫功能,從人工智能入手,建立一套比較完整的、實時攻防的防御體系。從實現的模式來看,是多臺機器通過中央計算機的調配實現防御能力,起到類似人體的免疫系統的作用。 而微點主動防御軟件描述的程序行為是指利用軟件監控程序運行過程中的一系列動作,綜合應用病毒識別規則進行判斷。這與IBM的防御理論和思想大相徑庭,相當于把類似人腦功能的人工智能程序放到軟件里,由軟件自行識別,準確預報病毒并自動清除。 劉旭在2005年首次提出了“主動防御”的概念。其核心思想就是從最基本的病毒定義出發,將程序的行為作為判斷病毒的依據,通過分析、歸納各種病毒行為,形成病毒行為知識庫,建立起仿真反病毒專家系統,模擬人工識別病毒的過程,融合仿真反病毒評估模型的智能化技術,實現對未知病毒和新病毒的自主識別、明確報出和自動清除,從而達到抵御病毒的效果。 面對當前形形色色的主動防御概念,劉旭指出,與所有的反病毒技術一樣,主動防御技術也必須要對程序的性質做出明確判定,是病毒,就應明確報警并提示用戶發現病毒。如果只是對程序的單一動作報警,由用戶自己判斷這個動作是否具有威脅,就不是主動防御。這里所說的程序動作,是指反病毒軟件監控到程序調用了Windows提供的某個應用程序編程接口(API)。 API是Windows為程序開發提供的功能,正常程序可以使用,病毒也可以使用,也就是說API本身并沒有善惡之分。如果僅僅依據程序的一個動作就報警,那么普通用戶實在難以判斷這個動作究竟是否有害,更會感到無所適從,這顯然不是廣大計算機用戶所需要的反病毒技術。 于是,劉旭通過對病毒行為規律分析、歸納、總結,并結合反病毒專家判定病毒的經驗,提煉成病毒識別規則知識庫;模擬專家發現新病毒的機理,通過分布在操作系統的眾多探針,動態監視所運行程序調用各種API的動作,將程序的一系列動作通過邏輯關系分析組成有意義的行為,再綜合應用病毒識別規則知識,終于研發出了自動判定病毒的主動防御系統。 在東方微點公司副總經理田亞葵看來,面對如今越來越“成熟”的病毒,用戶真正需要的是通過主動防御的殺毒方式構建起計算機的免疫系統,一方面可以有效減少電腦的中毒概率,另一方面提高電腦的病毒抵抗能力,從而使用戶更加從容地應對病毒。 如果說數字免疫系統類似于人體免疫系統,主動防御就如同人體免疫系統的免疫細胞。前者建立一個計算機群實現防御,后者是一個落到實處的個體防御,但能否成功依賴于人工智能的發展。 |
