5月9日��,《計算機世界》《殺毒廠商大賣過期藥?》刊出,各大網站轉載,并在互聯網上引發了廣泛討論�。
5月19日��,江民宣布,他們已經研發成功一款具有“主動防范”技術的防病毒軟件——“江民木馬終結者”。5月19日�����,瑞星副總裁毛一丁向媒體宣告瑞星“全面實施‘主動防御’策略”��。
5月24日,金山在柏彥大廈20層的一個小會議室里公布了其“主動防御”計劃(ADP)����。
至此��,國內殺毒軟件三甲皆已聲稱實施“主動防御”。
殺毒廠商傾情演出肥皂劇 主動防御畫餅充饑�?
《計算機世界》記者 歐陽斌
殺毒軟件“過期藥”這一說法出現后���,某殺毒軟件公司負責人在公開場合表示���,“打擊面太廣了吧”���。
齊說“藥沒問題”
“沒有可以治愈一切疾病的良藥��,病毒和生活中的生病非常相似�。人們永遠不可預知未來的東西���,對于軟件同樣如此�����。” 金山軟件信息安全與工具事業群市場經理劉金光對媒體說��。
“反病毒落后于病毒是不爭的事實。” 江民科技策劃部經理曹凌翔向媒體解釋。
這些說法似乎都和走在病毒前面的“主動防御”思路相矛盾,恰恰這二者正在演繹著主次之爭�����。
瑞星副總裁毛一丁對媒體表示��,“我相信���,瑞星現在不是,以后也絕對不會成為‘過期藥’�����。”
并且他要“澄清一個事實”:“目前國內���、國際上的所有反病毒產品����,都采用‘特征碼’技術作為最基礎的反病毒技術。”
“經過十幾年的實踐證明��,這一技術是成熟�����、可靠���、有效的反病毒技術��������?梢钥隙ǖ卣f,‘特征碼’絕對沒有過時�����。”
可是老牌殺毒廠商江民卻不這么看�,江民科技總經理陶新宇認為,“以江民殺毒軟件為代表的國內殺毒軟件已經在主動病毒防范技術上取得了重大的突破���,目前已經領先于國外的殺毒廠商��。”
“持有這種看法(過期藥)的人首先可以說沒有認真了解我國的殺毒軟件”���。陶如是說����。
一方面����,殺毒廠商們雖然聲明并堅持“特征碼掃描”技術依然是最有效的技術,另一方面,它們也已經意識到了“主動防御”是必行之路����,幾乎同時宣布了自己的“主動防御”計劃���。
那么�,江民所代表的殺毒廠商們如何從否定“過期藥”到積極推廣“主動防御”?
都喊“主動防御”
在“過期藥”言論出來不久后�����,5月15日����,新華網上刊登了“國家863計劃反計算機入侵和防病毒研究中心”專家委員會專家劉旭提出的“滯后殺毒難擔網絡防御重任,殺毒軟件亟待克服重大缺陷”這一產業觀點�,并提出了“主動防御”概念���。
其實�����,幾年前就出現過所謂的“主動查殺”����、“百毒不侵”的殺毒軟件,但當時采取了“驗證碼”這一并不成熟的技術,致使誤報率很高,效果差,被傳為業內笑柄����。
但三年之后��,“主動防御”卷土重來。
5月19日,江民發布“江民木馬終結者”,并聲稱�,這款獨立的系統安全分析軟件��,可以自動判別目前系統進程的安全狀況。據江民反病毒專家介紹該產品可脫離殺毒軟件獨立運行,軟件運行后��,自動對系統中的進程進行可疑性分析�����,可疑概率分三檔:0-25%是一般可疑�、25-75%為中度可疑����、75-97%為高度可疑,中度、高度的可能為病毒����,而一般可疑的可能是一些驅動或監控程序��,大多數系正常的進程。
所以,江民認為自己“目前已形成一套從處理未知病毒到已知病毒��,從主動防御到特征碼查殺的一整套立體防范系統�。”
而瑞星提出的“主動防御”主要包括兩個方面。一是在查殺未知病毒和未知程序方面,瑞星聲稱����,通過“行為判斷”技術,開發出了“危險行為監控”��、“行為自動分析和診斷”等技術���,他們可以識別大部分未被截獲的未知病毒和變種�。除此之外,瑞星聲稱“大力強化了系統漏洞管理模塊”�����。
金山則公布了其“金山毒霸主動防御計劃”(ADP)���。它包括終端自防御(TSD)����、“網絡自防御”(NSD)、整體自防御(WSD)三部分��。
金山毒霸事業部技術總監陳睿介紹:“主動防御是一個概念和范疇�����,它的具體實現需要長期的不懈探索和努力��,金山毒霸已經在為這個目標進行準備�。”
這個主動防御系統里實現的主要功能包括“主動實時升級”���、“主動漏洞掃描”���、“搶先式防毒”等等��。
在人們紛紛質疑殺毒軟件是不是“過期藥”的時候�,這場集中的“主動防御”發布無疑是受歡迎的�。然而�,廠商們的態度何以轉變如此之快?是不是“主動防御”已經開始取代“特征碼掃描”的主流地位了���?
“及時雨”?
無論毛一丁還是陳睿都認為�����,“特征碼掃描”還是目前使用的“最基礎”的技術����。
但是他們也承認“特征碼掃描”技術的確有缺陷,例如滯后問題��,例如����,一些小范圍發作的病毒,或者惡意定制的病毒��,這種“最基礎”的技術也是無能為力的����。
陳睿認為,大家最近熱烈討論的“行為判斷”屬于“預防式技術”而區別于傳統的“響應式技術”�,這種技術是金山“主動防御”中的一部分���。
陳睿表示��,目前金山毒霸的“啟發式掃描”與瑞星的“行為自動分析和診斷”都屬于“預防式技術”。但是陳睿很坦誠地指出����,目前該技術本身還不成熟�,依賴于虛擬機技術和人工智能技術的發展�����,“目前識別率和誤報率都不理想”。
而另一種“主動防御”如IDS則是按照規則識別網絡包,其缺點需要人工干預�����,不能阻止入侵�����,也不能自動防護�����,也還不成熟。
金山目前的“主動防御”計劃中比較實質的內容是指現有產品中的諸如“主動實時升級”之類的技術,它們還是在試圖提高殺毒軟件的升級速度���。
仔細研究一下就會注意到,其實金山的“主動防御”是建立在傳統的“捕獲——分析——升級”這三個環節的后兩個環節,在盡力提高“分析——升級”之間的速度和主動性——而業界質疑的基礎恰恰在“捕獲”這一環節上殺毒軟件的無能為力��。也就是說���,金山目前實現的“主動防御”也并沒有從本質上解決問題��。
面對記者的這一問題����,陳睿從另外一個角度予以解答。
陳睿認為�����,當前流行病毒的傳播方式都是“混合型”的��,會利用漏洞����、郵件���、局域網等多種途徑傳播自己��。陳睿說,“所以,我們需要一種更具主動性的網絡安全模型��,及時隔離感染源����,自動切斷感染途徑。”而“主動防御計劃”就是這樣一個“概念和范疇”。
他坦然承認���,目前,這種行為判斷技術還沒有很成熟的產品,但是金山正在研發“可疑事件關聯和行為攔截”和“網絡惡意數據包檢測”技術���,其內部代號分別為“leopard”和“olive”,“預計年底可以面世”。
瑞星的說法是�����,2002年它們的專利技術“行為模式分析(BMAT)”在演示中就已經達到了70%的查殺率�����,并且該技術得到了國際專家的認可�。但不知出于什么原因����,直至2005年,該技術還未能成熟應用。
專家劉旭提出,“開發科學、實用的病毒主動防御系統不僅是可能的�����,而且是可行的”�。
“主動防御”對于傳統殺毒軟件“過期藥”這一弊端無異于一場“及時雨”�,這已經從近期的“主動防御”發布的密集度中得到了印證。現在的問題是���,這場“雨”,什么時候才能真的下起來����?
評論
換湯不換藥���?
歐陽斌
是藥三分毒這話真不錯����,“過期藥”這個詞仿佛是個病毒���,被殺毒廠商們迅速“捕獲”��、分析�,并升級����,而“主動防御”這個詞仿佛是個專殺工具。
似乎忽然之間大家都覺悟了�����,這架勢真的仿佛整個產業半個月之間完成“轉型”���,盡管事實并非這樣���。
在這場產業討論期間��,空氣里充滿了指責��、不安、解釋以及它們的“變種”��。但真正的討論并不是充斥在媒體版面和網站標題上����,而是在廠商們的行動中悄然演繹。由當初駁斥���、維護轉換到討論新的技術方向,這個過程很快����。
所幸���,大家最后意見一致��,終于承認了殺毒軟件的方向:“主動防御”。所以不管目前的實質應用如何��,廠商們已經開始或者加速了這一進程����,這是用戶們的大幸,也是媒體發起產業批判的最好收場��。
在這個成熟而又利好的市場里�,“捕獲”機制弊端的存在是大家心照不宣的,就好像范偉在廣告中推銷藥�,“一般人我不告訴他”����,而這對用戶是不負責任的�����。反之,從業者自己要指出問題并反思出路是需要勇氣的。
但隨著這場產業討論里的“主動防御秀”,各種“主動防御”思路紛紛登場,“同志們”終于結束了這場尷尬��,正視現實�。
給我印象很深的是金山的反病毒專家陳睿,他有著技術人員的直接和坦誠。他承認目前殺毒軟件存在的弊端并予以技術分析�,承認了自己的主動防御技術“啟發式掃描”效果“不理想”�,更重要的是��,他也提出了新的思路并正在付諸行動����。
殺毒產業需要的正是勇于反思��、付諸行動�����。
但不得不提到的是,目前的情況是,一方面��,殺毒產業在向用戶們維護形象——“殺毒軟件不是過期藥”�;另一方面,邊高喊著“主動防御”邊繼續著“特征碼掃描”。所以我們是不是可以說,目前整個產業現狀還無異于“換湯不換藥”?
毛一丁對媒體說,殺毒產業“不能固步自封”,否則��,“也許5到10年”���,“真的會過時”��。而陳睿則以個人身份預言����,07年之后產業應該完全轉為“主動防御”模式���。
在“主動防御秀”后�����,是一場廠商之間的競賽,真正實現它����,才是產業發展方向����、才是廠商生存根本。
因為,現在霧里看花或者高瞻遠矚的“主動防御”已經是一個良好的開端�����,但是����,最重要的是用戶們需要什么?
“別看廣告,看療效�����。”
