|
|
|
 |
|
主動防御電腦病毒并非天方夜譚
|
|
來源:光明日報 2007-09-24 16:10:50
|
|
近日,反病毒領域展開的反病毒產(chǎn)業(yè)發(fā)展趨勢大討論引起了各方關注。一方面,殺毒軟件廠商承認當前反病毒技術(shù)落后于病毒是不爭的事實,另一方面,又用病后就醫(yī)的邏輯解釋傳統(tǒng)的滯后殺毒方法。那么,主動防御新病毒的道路究竟是否可行?反病毒領域能否實現(xiàn)重大突破? 長期以來,人們把殺毒軟件作為最主要的反病毒工具,殺毒軟件幾乎成了所有反病毒產(chǎn)品的代名詞,殺毒軟件賴以生存的“特征值掃描技術(shù)”也幾乎成了所有反病毒技術(shù)的代名詞。正因如此,殺毒軟件對新病毒的防范始終滯后于病毒出現(xiàn)的重大缺陷,似乎成為既合情又合理的邏輯,導致人們普遍認為反病毒產(chǎn)品不可能主動防御新病毒,甚至有人認為,想研制一種主動防御的反病毒產(chǎn)品,就如同要為一種未知的疾病制作特效藥一樣異想天開。 焦點一:人能否發(fā)現(xiàn)新病毒 殺毒軟件本身基本上不能發(fā)現(xiàn)新病毒,是眾所周知的客觀事實。但是,如果人不能發(fā)現(xiàn)新病毒,同為自然人的反病毒公司研發(fā)人員也就不可能發(fā)現(xiàn)新病毒,由此帶來的問題是,殺毒軟件每天升級的是什么,反病毒公司每次宣稱發(fā)現(xiàn)的新病毒又是誰來發(fā)現(xiàn)的?回答是肯定的,人可以發(fā)現(xiàn)新病毒。新病毒一定是人通過相應的方法判斷出來的。 焦點二:人如何判斷新病毒 從上個世紀八十年代病毒出現(xiàn)后,反病毒技術(shù)就有兩種思路,一種是采用靜態(tài)掃描方式,即特征值掃描技術(shù),另一種采用動態(tài)分析方法。特征值掃描是目前國際上反病毒公司普遍采用的查毒技術(shù)。其核心是從病毒體中提取病毒特征值構(gòu)成病毒特征庫,殺毒軟件將用戶計算機中的文件或程序等目標,與病毒特征庫中的特征值逐一比對,判斷該目標是否被病毒感染。反病毒公司把捕獲到并已處理的病毒稱為已知病毒,否則就稱為未知病毒。只有采用特征值掃描技術(shù)時,才區(qū)分已知和未知病毒。 業(yè)界常常有人用人類病毒的醫(yī)治來解釋計算機病毒防范。然而,與生物界的病毒復雜性不同,計算機病毒是人編寫的,遠比生物界的病毒簡單。計算機病毒概念是人依據(jù)程序行為來定義的,因此識別病毒的另一種方法是采用動態(tài)分析,直接通過程序的行為判斷它是否是病毒。 盡管殺毒軟件主要采用靜態(tài)掃描方式,但是反病毒公司發(fā)現(xiàn)新病毒并不是采用靜態(tài)掃描方式,而恰恰是采用動態(tài)分析方法。即便是反病毒公司收集到可疑程序時,也不能確定是不是新病毒,為了做出準確判斷,必須先運行可疑程序,然后再根據(jù)程序的行為判斷是否是病毒。 焦點三:識別新病毒有多難 反病毒領域從未向業(yè)界公開過一個“秘密”——雖然病毒越來越多,但真正有創(chuàng)意的、技術(shù)上有突破的病毒很少,不到總數(shù)的1%。而且這類病毒通常是概念病毒,一般破壞性不大。絕大多數(shù)病毒都是模仿其他病毒編寫的,這些病毒的傳播、感染、加載、破壞等行為特點都可以從已經(jīng)存在的病毒找到,一個計算機本科畢業(yè)生經(jīng)過短期培訓,通常都可勝任人工識別這類新病毒的工作。因此人工識別絕大多數(shù)新病毒,并不是一件很難的事。 焦點四:病毒主動防御是否可行 在反思國際國內(nèi)反病毒領域的思維模式的基礎上,筆者認為,將現(xiàn)有病毒的行為進行分析、歸納、總結(jié),通過對反病毒專家分析判斷新病毒的經(jīng)驗科學提煉,實現(xiàn)軟件自動識別病毒是可行的。 例如,我們定義這樣一條病毒判斷規(guī)則:如果MSN接收的某個文件運行后,模擬鍵盤或鼠標動作,自動點擊MSN的“發(fā)送文件”命令,把它或它的生成物自動發(fā)送給其他MSN聯(lián)系人,則這個文件就是MSN蠕蟲病毒。 此規(guī)則可用于發(fā)現(xiàn)“性感燒雞”MSN蠕蟲病毒,以及所有采用這種傳播方式的MSN蠕蟲病毒,而不論該病毒是什么時候編的,也不論是已知的還是未知的。 十多年來,反病毒技術(shù)的研究主要禁錮于特征值掃描法,很少對病毒主動防御技術(shù)進行深入的探討和研究。從反病毒領域的實踐和計算機技術(shù)的發(fā)展趨勢可以看出,開發(fā)病毒主動防御系統(tǒng)不僅是可能的,而且是可行的。因此,跳出傳統(tǒng)技術(shù)路線,盡快研制以行為自動監(jiān)控、行為自動分析、行為自動診斷為新思路的主動防御型產(chǎn)品,從根本上克服現(xiàn)有殺毒軟件的重大缺陷,建立主動防御為主、結(jié)合現(xiàn)有反病毒技術(shù)的綜合防范體系,實現(xiàn)反病毒技術(shù)的革命性飛躍和反病毒產(chǎn)業(yè)的升級,是全球反病毒領域共同面臨的巨大挑戰(zhàn),具有極現(xiàn)實的信息安全急迫性。 (作者系“國家八六三計劃反計算機入侵和防病毒研究中心”專家委員會委員) 劉旭 |
