|
|
|
 |
|
扶IT“正氣” 微點打造“免疫”體系
|
|
來源:IT專家網 2008-08-06 10:52:43
|
|
“正氣存內,邪不可干,邪之所湊,其氣必虛”是中醫對人體免疫的概括——正氣即免疫,正氣足則邪不侵正。自然界中存在著對人體有害的病源微生物和其它有毒有害物質,中醫稱之為“邪氣”,人之所以不發病,是因為人體對外環境的影響和變化有適應能力,即“正氣”。 自然界的“邪氣”無處不在,可是這并不意味著人時時刻刻都處于病態,就是因為人體中有“正氣”存在。 這種現象不僅存在于生物界,在IT領域何嘗不是如此?無論是PC、筆記本電腦,還是整個互聯網,都會時刻面對“邪氣”——病毒、木馬等數量眾多的惡意軟件——侵襲。然而結果卻不盡相同:有的終端因此崩潰,有的網絡因此癱瘓,當然也有很多終端系統和網絡巋然不動。究其原因,其本質就是“正氣存內,邪不可干”。 信息安全嚴峻形式催生新技術 近些年來,人們由過去有病看病發展到定期體檢,預防為主的健康理念。而在信息安全領域在安全威脅防御方面的理念同樣發生著變化。 “特征碼”識別病毒是目前殺毒軟件主要技術手段,但不可否認的是,這一手段只能起到亡羊補牢的作用——只有某一段代碼被編制出來之后,才能判斷這個代碼是不是病毒,才能談到去檢測或清除這種病毒。殺毒軟件廠商只有發現并捕獲到新病毒后,才有可能從病毒體中提取其特征值。這使得殺毒軟件對新病毒的防范始終滯后于病毒出現。 “特征碼”識別對目前安全威脅而言,顯然有些力不從心—— 德國AV測試實驗室的數據顯示,去年全球新出現病毒超過550萬種,而根據國內反病毒公司2007年安全最多一家捕獲到91萬種;盜取用戶帳號密碼、商業秘密、虛擬財產和重要文件的木馬病毒已占到病毒總數80%以上,病毒已轉變為謀取高額利益的黑色產業鏈,病毒的工業化生產使得近年來病毒數量年增長率高達400%以上。目前,我國網民已突破2.1億人,互聯網的普及,進一步加速病毒泛濫。殺毒軟件已成為裝機必備軟件,裝機量高達1億臺以上,但是國家計算機病毒應急處理中心統計用戶中病毒的情況反而大幅度上升至91.47%(即91.47%的電腦在過去的一年內曾被病毒感染)。 因此,安全需求催生了主動防御技術,即由具備仿真反病毒專家系統的主動防御軟件,在用戶計算機上自動分析程序行為,自主識別、明確報出并自動清除病毒。國內最先提出此理念的是劉旭。 劉旭認為,從反病毒領域的實踐和計算機技術的發展趨勢可以看出,開發病毒主動防御系統不僅是可能的,而且是可行的。因此,跳出傳統技術路線,盡快研制以行為自動監控、行為自動分析、行為自動診斷為新思路的主動防御型產品,從根本上克服現有殺毒軟件的重大缺陷,建立主動防御為主、結合現有反病毒技術的綜合防范體系,實現反病毒技術的革命性飛躍和反病毒產業的升級,是全球反病毒領域共同面臨的巨大挑戰,具有極現實的信息安全急迫性。 于是,劉旭通過對病毒行為規律分析、歸納、總結,并結合反病毒專家判定病毒的經驗,提煉成病毒識別規則知識庫;模擬專家發現新病毒的機理,通過分布在操作系統的眾多探針,動態監視所運行程序調用各種應用程序編程接口(API)的動作,將程序的一系列動作通過邏輯關系分析組成有意義的行為,再綜合應用病毒識別規則知識,終于研發出了自動判定病毒的主動防御系統。2005年2月,微點主動防御系統誕生。 微點主動防御系統的誕生,為用戶建立計算機免疫系統創造了條件。 此“免疫”非彼“免疫” 在計算機領域用到“免疫”這個詞匯還只是近一兩年的事情。眾所周知,“免疫”這個詞匯來源于生物學領域。有一點需要注意的是,二者存在著本質的區別,北京東方微點信息技術有限責任公司副總經理田亞葵對此做了很好的詮釋:“業界常常有人用人類病毒的醫治來解釋計算機病毒防范。然而,與生物界的病毒復雜性不同,計算機病毒是人編寫的,遠比生物界的病毒簡單。計算機病毒概念是人依據程序行為來定義的,因此識別病毒的另一種方法是采用動態分析,直接通過程序的行為判斷它是否是病毒。” 從計算機病毒發展趨勢來看,對田亞葵的觀點也有所印證。雖然病毒越來越多,但真正有創意的、技術上有突破的病毒很少,不到總數的1%。而且這類病毒通常是概念病毒,一般破壞性不大。絕大多數病毒都是模仿其他病毒編寫的,這些病毒的傳播、感染、加載、破壞等行為特點都可以從已經存在的病毒找到,一個計算機本科畢業生經過短期培訓,通常都可勝任人工識別這類新病毒的工作。因此人工識別絕大多數新病毒,并不是一件很難的事。 新病毒產生過程也是“特征碼”殺毒防范安全威脅乏力的主要原因。從上個世紀八十年代病毒出現后,反病毒技術就有兩種思路,一種是采用靜態掃描方式,即特征值掃描技術,另一種采用動態分析方法。特征值掃描是目前國際上反病毒公司普遍采用的查毒技術。其核心是從病毒體中提取病毒特征值構成病毒特征庫,殺毒軟件將用戶計算機中的文件或程序等目標,與病毒特征庫中的特征值逐一比對,判斷該目標是否被病毒感染。反病毒公司把捕獲到并已處理的病毒稱為已知病毒,否則就稱為未知病毒。只有采用特征值掃描技術時,才區分已知和未知病毒。 由于新病毒卻往往只是模仿編寫,而且要頻繁更改特征值,甚至是自動地動態調整特征值的方法以躲避殺毒軟件的追殺。即便是反病毒公司收集到可疑程序時,也不能確定是不是新病毒,為了做出準確判斷,必須先運行可疑程序,然后再根據程序的行為判斷是否是病毒靜態掃描方式顯然應對乏力。 東方微點把相當于人腦的人工智能程序放到軟件里,由軟件自行識別,準確報出并自動清除,基本上與生物學的免疫機能吻合了。因此,該公司把主動防御系統出現的時代稱為病毒免疫時代。信息安全防御新時代來臨了,安全威脅與安全防護的戰爭上升到一個新的層級。 |
