如何預防未知病毒木馬發起的第一波攻擊,是擺在安全廠商面前的一道難題。面對越來越多的未知病毒木馬,殺毒軟件能否做到防患于未然?我國信息安全專家陳拂曉日前接受記者采訪時指出,從被動挨打走向主動防御,應該是殺毒軟件產品的發展方向。但是,真正做到主動防御并非易事。目前,一些反病毒廠商跟風炒作,給自己帶上“主動防御”的光環,是誤導消費者的行為。
●未知病毒木馬防不勝防
目前,病毒木馬的泛濫使電腦用戶戰戰兢兢。通常情況下,普通電腦用戶都會使用殺毒軟件保障電腦安全,可是,現有的殺毒軟件并不能抵御所有的病毒木馬,尤其是對于那些未知病毒木馬的攻擊,許多殺毒軟件束手無策。
據悉,市場上的殺毒軟件大都采用特征值掃描技術,該技術要求一個新病毒至少感染一臺計算機,并被反病毒公司搜集到被感染文件后,再通過分析從病毒體中取得的特征代碼,將該特征代碼添加到病毒特征庫中。當新病毒再次攻擊用戶電腦時,殺毒軟件即可掃描到其攻擊行為并進行查殺。這種“先發現后查殺”的殺毒原理,導致殺毒軟件面對新病毒木馬時無從下手。一位不愿透露姓名的業內人士告訴記者,許多靠病毒木馬斂財的黑客,都掌握著眾多的功能強大的病毒木馬,這些病毒木馬都是新的,從沒被捕獲過,因而不易被殺毒軟件發現。同時,病毒通過網絡得到了進化,正逐漸變得“聰明”,有的病毒自帶源碼庫和編譯器,在感染不同的系統時會根據不同情況修改源碼,然后重新編譯,自動生成數百上千不同特征的新病毒,這多少也讓反病毒軟件顯得力不從心。
值得注意的是,電腦和網絡還未普及時,人們對電腦病毒木馬也并不十分關心,病毒木馬只是少數電腦高手交流技術的“小游戲“,功利性不強,攻擊面不廣,破壞性不大。但是,隨著電腦互聯網日益貼近百姓生活,病毒木馬制造者的目的在發生轉變。如果說原來他們只是興趣使然,顯示自己的技術才干,現在的病毒木馬制造者則是利益趨使。病毒木馬從破壞計算機,到泄露信息,再到現在的盜竊資產,正在經歷質變。
目前,網絡的飛速發展,使病毒木馬借著這個載體散布得幾乎無處不在,人們甚至開始談虎色變。根據2006年全國信息網絡安全報告,54%的被調查單位發生過信息網絡安全事件,感染計算機病毒、蠕蟲和木馬程序是最突出的網絡安全情況。雖然我國計算機用戶的計算機病毒防范意識和防范能力在增強,但面對更加強悍的病毒沖擊,當前的殺毒軟件表現得并不盡如人意。
●主動防御是發展趨勢
針對反病毒行業出現的疲于招架的現象,一些業內人士形象地將傳統的病毒防御軟件比喻成“盾”,這個“盾”始終處于被動挨打的境地,顯然,再堅強的“盾”也有被攻破的那一天。與其拿著傷痕累累的“盾”,不如造一把鋒利的“劍”。
陳拂曉分析認為,被動殺毒并不是唯一方法,主動防御才是對抗病毒第一波攻擊、防范未知新病毒的有效方式。
專家指出,計算機病毒是人為編制的,所以它的行為能力不會超出人的思維范疇。計算機病毒還有一個特殊的生存環境,那就是操作系統,它的行為規范受到操作系統所允許操作范圍的限制,因此,相對于生物病毒而言,計算機病毒的行為能力要差得多。另外,為了便于傳播和隱藏,計算機病毒往往希望盡可能地縮小自身的尺寸,許多程序行為的實現都是通過調用操作系統的標準接口來完成的,于是更加限制了計算機病毒的行為能力。這樣,就為人們設法解決計算機病毒的問題提供了一種可能。如果人們能夠將計算機病毒有限的行為能力進行歸納、總結,設計出能夠自動判斷病毒的工具,那么對計算機病毒的主動防御就將成為現實。
目前,這種新的主動防御殺毒思路已經實現。北京北方計算中心曾經通過測試得出結論,通過關聯性分析,主動防御軟件能夠發現復雜的、未知的攻擊行為,從而實現識別和防御未知病毒。該中心有關專家指出,主動防御軟件能夠有效克服現有反病毒產品以被動預防為主、識別未知攻擊行為能力弱的缺陷,是反病毒核心技術的重大突破和創新。
●主動防御標簽不能亂貼
目前,各種新病毒此起彼伏,傳統殺毒軟件面臨的形勢愈來愈嚴峻。盡管許多安全廠商不斷做一些相對的改良,甚至每周都在不停地更新病毒庫,但病毒庫更新的速度滯后于新病毒的出現,同時,不斷擴大的工作量需要投入更多的人力物力,這形成一個令人擔憂的惡性循環。
雖然一些安全廠商也在宣稱主動防御,但其主動防御多數是對一個可疑行為動作的預警:比如更改注冊表等,并不能分析出其行為的合法性。有的殺毒軟件宣稱的所謂“主動防御”,只是提示計算機正受病毒威脅,并不能對此進行分析處理,致使電腦用戶即便明知面臨威脅也無所適從。
陳拂曉指出,先找到病毒,提取特征值,添加到病毒庫,然后通過對比來殺毒的原理,無法做到真正的主動防御。主動防御運作機理的顯著特征是,沒有病毒庫依然可以殺毒,這是目前多數殺毒軟件做不到的。
北京東方微點信息技術公司田亞葵日前接受記者采訪時進一步分析指出,主動防御的定義應當是采用動態仿真技術,模擬專家判定病毒的機理,自動準確判斷新病毒,主動實時防御并查殺新病毒。類似于一對一的服務,直接把專家安排到最終端,時刻準備著為用戶服務,及時應付各種問題,第一時間把病毒拒之門外,把破壞降到最低,實時確保用戶的安全。
“可以肯定地說,主動防御是具有革命性的一種殺毒新方式。”陳拂曉說,“主動防御對于防止未知病毒木馬發起的第一波打擊具有重要的意義。但是,主動防御也不可能做到百分之百地抵御未知病毒木馬,主動防御軟件功能的完善還有很長的路要走。”
