2008年9月24日��,國(guó)家863計(jì)劃“基于程序行為自主分析判斷的實(shí)時(shí)防護(hù)技術(shù)”課題組在京召開(kāi)了“病毒現(xiàn)狀與國(guó)際病毒防御技術(shù)最新發(fā)展趨勢(shì)”高端研討會(huì)�,就日益復(fù)雜的信息安全領(lǐng)域未來(lái)的發(fā)展方向進(jìn)行深入探討���。會(huì)議結(jié)束后��,記者有幸采訪到了該課題組組長(zhǎng)����、主動(dòng)防御概念的首創(chuàng)者——著名反病毒專家劉旭先生���。
對(duì)話人:電腦報(bào)社副總編 張曉明
對(duì)話人:微點(diǎn)總經(jīng)理 劉旭
微點(diǎn)總經(jīng)理 劉旭
觀點(diǎn)提要:云安全不是萬(wàn)能
電腦報(bào):安全廠商們都認(rèn)識(shí)到了現(xiàn)有的運(yùn)作模式無(wú)法應(yīng)對(duì)日益復(fù)雜的病毒形勢(shì)����,在云安全、虛擬機(jī)��、啟發(fā)式等方面尋找突破口�。您認(rèn)為云安全或其他幾種技術(shù)是否會(huì)成為下一代防毒系統(tǒng)的主導(dǎo)?云安全在技術(shù)層面的可操作性如何�?
劉旭:云安全是從云計(jì)算的概念中衍生而來(lái)�。對(duì)于云安全�����,我想有幾個(gè)問(wèn)題必須要提出來(lái):
目前基于云安全的操作思路主要有兩種:第一種思路是將“云”作為新病毒惡意代碼的二度搜集和被動(dòng)響應(yīng)處理的系統(tǒng)��。搜集病毒主要借助于安裝在用戶端的一種搜集器�����,一旦發(fā)現(xiàn)異常便匯報(bào)給服務(wù)器����。這種方式確實(shí)能夠起到一定的作用�����,收集的效率也明顯優(yōu)于現(xiàn)有模式��。但是從用戶端后臺(tái)搜集信息,個(gè)人隱私的保護(hù)是個(gè)不可回避的問(wèn)題。用戶覺(jué)得不安全�����,很有可能就不愿意配合�����。再者服務(wù)器收集到的數(shù)以億計(jì)的數(shù)據(jù)如何處理����?人工方式顯然不能勝任。如果采用機(jī)器自動(dòng)識(shí)別病毒,那為何不把這個(gè)環(huán)節(jié)放在用戶端����,而是舍近求遠(yuǎn)放在遙遠(yuǎn)的云端�����?
第二種思路是將特征庫(kù)放在云端��,用戶只要鏈接到服務(wù)器便可共享查殺服務(wù)����。這種方案解決了日后海量的病毒庫(kù)在個(gè)人電腦更新存儲(chǔ)的難題���。但目前優(yōu)勢(shì)并不明顯�����,因?yàn)閺默F(xiàn)在的狀況來(lái)看���,每天更新的特征碼直接下載到用戶端還是很快的�����,沒(méi)有必要放在云端。另外對(duì)不能聯(lián)結(jié)互聯(lián)網(wǎng)的計(jì)算機(jī)���,云安全就可能形同虛設(shè)。
根據(jù)以上的分析����,我認(rèn)為云安全目前還只是概念��,它仍然沒(méi)有回答最重要的問(wèn)題——如何自動(dòng)識(shí)別新病毒。遇到一個(gè)新病毒,不管你的病毒庫(kù)是放在本機(jī)上���,還是放在云上,都需要進(jìn)行有效的判定與查殺。所以����,在更多細(xì)節(jié)與構(gòu)思被提出之前,云安全尚不能成為治本的安全防護(hù)方案�,更不是信息安全領(lǐng)域的救世主��。
虛擬機(jī)與啟發(fā)式應(yīng)用已經(jīng)很長(zhǎng)時(shí)間了,不能算是下一代防毒技術(shù)�����。其中虛擬機(jī)技術(shù)在對(duì)付加殼病毒較為有效����,“刺破”外殼后根據(jù)原有的病毒特征值進(jìn)行判斷并查殺,但對(duì)去殼之后病毒庫(kù)沒(méi)有樣本的病毒束手無(wú)策����。啟發(fā)式則是收集病毒的廣譜特征�����,根據(jù)“DNA”來(lái)判斷族群病毒,達(dá)到查殺的目的�。但對(duì)形式靈活的木馬查殺效果并不理想��。虛擬機(jī)和啟發(fā)式主要還是使用特征值分析,并沒(méi)有擺脫傳統(tǒng)殺毒模式的套路�。目前流行的免殺技術(shù)都可以使其失效��。
觀點(diǎn)提要:主動(dòng)防御是大勢(shì)所趨
電腦報(bào):在下一代防范病毒的技術(shù)中,主動(dòng)防御占據(jù)怎樣的位置��?主動(dòng)防御是否已經(jīng)成為安全廠商的救命稻草����?
劉旭:說(shuō)到下一代技術(shù),順便提一下之前我國(guó)安全行業(yè)經(jīng)歷了兩個(gè)階段����。
第一個(gè)階段是91-95年的防病毒卡階段����,借助PCI擴(kuò)展槽添加硬體防毒設(shè)備��,通過(guò)程序行為分析的方式解決DOS下的病毒�����。隨著Windows 95的出現(xiàn)慢慢被人們廢棄。
第二個(gè)階段是94年至今的傳統(tǒng)殺毒軟件時(shí)代���,從用戶上傳可疑程序中獲取病毒特征,升級(jí)病毒庫(kù)對(duì)舊有病毒起到防范作用��。隨著呈幾何式增長(zhǎng)的新病毒數(shù)量�,這種模式也已經(jīng)走到了盡頭。
即將到來(lái)的第三個(gè)階段我認(rèn)為將是主動(dòng)防御階段����,結(jié)合防病毒卡的行為分析手段與傳統(tǒng)殺軟的特征碼識(shí)別���,以行為分析判斷為主�,以特征碼識(shí)別為輔���,以靜制動(dòng)�,達(dá)到防范效果。從微點(diǎn)主動(dòng)防御軟件來(lái)看�����,已經(jīng)可以識(shí)別并清除99%以上的未知病毒��。這一點(diǎn)��,是當(dāng)前殺毒軟件望塵莫及的。
目前��,國(guó)際上的麥咖啡�����、諾頓,國(guó)內(nèi)的瑞星等安全廠商都在積極推廣旗下的所謂的主動(dòng)防御產(chǎn)品。但在我看來(lái),這些產(chǎn)品還處于概念階段�。舉一個(gè)很常見(jiàn)的例子�,在使用某款號(hào)稱具有主動(dòng)防御功能的產(chǎn)品時(shí)���,經(jīng)常會(huì)遇到“有程序正在向您的計(jì)算機(jī)設(shè)置全局掛鉤����,是否允許”之類的提示,什么叫全局掛鉤����?一般用戶可能不理解����,也就無(wú)從選擇�����。用戶使用殺毒軟件�,就是將殺毒防毒的工作交給軟件��,現(xiàn)在反而要自己進(jìn)行判斷���,這是不合理����,更是不負(fù)責(zé)任的��。所以現(xiàn)在的殺毒軟件越來(lái)越像“高手”專用的�,表面上是易用性和親民性不足�����,實(shí)際上是這些安全軟件還沒(méi)有真正成熟的主動(dòng)防御技術(shù)�����。僅對(duì)單一程序動(dòng)作報(bào)警,而沒(méi)有對(duì)程序動(dòng)作進(jìn)行關(guān)聯(lián)分析��,并不是真正的主動(dòng)防御產(chǎn)品���。而微點(diǎn)的安全產(chǎn)品對(duì)程序的一系列動(dòng)作通過(guò)邏輯關(guān)系分析組成有意義的行為�����,再結(jié)合應(yīng)用病毒識(shí)別規(guī)則知識(shí)���,實(shí)現(xiàn)對(duì)病毒的自主識(shí)別�,明確報(bào)出���、自動(dòng)清除�,讓安全軟件更加易用,這也有賴于深層技術(shù)的支持與保障。
微點(diǎn)的主動(dòng)防御技術(shù)是國(guó)家863計(jì)劃中的重點(diǎn)課題�,并已經(jīng)取得銷售許可證��。技術(shù)和產(chǎn)品上均比較成熟和完善。我們的用戶群也在穩(wěn)步增長(zhǎng)����,據(jù)不完全統(tǒng)計(jì)���,目前注冊(cè)用戶已經(jīng)超過(guò)700萬(wàn)���。軟件推出的兩個(gè)月以來(lái),銷量也在節(jié)節(jié)攀升�。相信在微點(diǎn)的推動(dòng)下����,將有越來(lái)越多的用戶���,認(rèn)可和支持主動(dòng)防御技術(shù)�,并因此等到安全保障的實(shí)惠,安全領(lǐng)域的主動(dòng)防御時(shí)代正在來(lái)臨�。
專家觀點(diǎn):
探討與交流環(huán)節(jié)���,與會(huì)的多位專家發(fā)表了精辟獨(dú)到的見(jiàn)解�,擇其中精彩言論�����,幫助大家更好地了解安全產(chǎn)業(yè)的現(xiàn)狀與未來(lái)發(fā)展的趨勢(shì)�����。
聲音:反病毒軟件的境界事關(guān)網(wǎng)絡(luò)安全
發(fā)言人:中國(guó)工程院院士 周仲義
利益的驅(qū)使成為國(guó)家部委頻繁遭遇黑客攻擊、木馬植入的主要原因�。木馬記錄鍵盤(pán)行為��,竊取登陸口令,進(jìn)而獲得相關(guān)情報(bào)�����,這對(duì)信息要求高度保密的國(guó)家部委來(lái)說(shuō)危害極大��。信息安全問(wèn)題已經(jīng)成為各部委工作任務(wù)的重中之重����。下一代防病毒軟件的境界高低�,已經(jīng)上升到了事關(guān)國(guó)家信息安全的高度�����。
863計(jì)劃課題所研究的主動(dòng)防御產(chǎn)品�,應(yīng)在通過(guò)相關(guān)部門(mén)檢測(cè)認(rèn)定的基礎(chǔ)上�,首先在各部委大力推廣,保證國(guó)家機(jī)密信息的安全�����,讓政府機(jī)關(guān)也受惠于下一代防毒技術(shù)。
聲音:安全行業(yè)應(yīng)“抱團(tuán)”�����,依靠系統(tǒng)來(lái)解決根本問(wèn)題
發(fā)言人:中聯(lián)部信息辦主任 任錦華
在我看來(lái)���,安全領(lǐng)域目前存在的最重要的問(wèn)題是——多數(shù)廠商仍在單打獨(dú)斗���,還沒(méi)有從系統(tǒng)方案上解決安全問(wèn)題���,我認(rèn)為建立一套完善的信息安全系統(tǒng)應(yīng)該盡早地被提上日程�����。國(guó)家在過(guò)去的十幾年里��,在信息化領(lǐng)域投了幾千個(gè)億,雖然得到了很多優(yōu)秀的產(chǎn)品和技術(shù)���,但并沒(méi)有得到一個(gè)成型的系統(tǒng)。這也就決定了現(xiàn)在各殺軟產(chǎn)品各自為政,單打獨(dú)斗�,沒(méi)有形成合力�����,無(wú)法有效地處理安全危機(jī)�����。國(guó)內(nèi)信息安全相關(guān)的大學(xué)研究院所����、科研機(jī)構(gòu)����、商業(yè)公司成千上萬(wàn),如何把他們的研究成果整合成一個(gè)有機(jī)的整體,希望安全界的專家們可以拿到一套好的方案���。我認(rèn)為未來(lái)的安全行業(yè),應(yīng)該借助于成熟穩(wěn)定的系統(tǒng)來(lái)解決問(wèn)題,而非一款或幾款安全產(chǎn)品�。
聲音:下一代反病毒技術(shù)應(yīng)在應(yīng)用反饋中不斷完善
發(fā)言人:中國(guó)工程院院士 倪光南
2008年新病毒的數(shù)量將突破1000萬(wàn)個(gè)�,這是什么概念���?平均下來(lái)每小時(shí)會(huì)涌現(xiàn)出1000多個(gè)新病毒���!這也就意味著傳統(tǒng)的“病毒出現(xiàn)-用戶提交-廠商人工分析-軟件升級(jí)”的思路將被徹底拋棄��,殺毒軟件行業(yè)升級(jí)迫在眉睫�!
正因?yàn)榘l(fā)現(xiàn)了這個(gè)問(wèn)題�����,主動(dòng)防御的概念才被提出來(lái)����,可以說(shuō)主動(dòng)防御是一套在應(yīng)用中發(fā)現(xiàn)的全新模式�����。因?yàn)槭侨碌氖挛铮@也就要求安全廠商在推動(dòng)主動(dòng)防御模式時(shí)�,在應(yīng)用與用戶反饋的過(guò)程中不斷的完善產(chǎn)品���,切不可一勞永逸���,止步不前��。
