反病毒之路將向何處去?
劉旭在“第九屆中國(guó)信息安全大會(huì)”的講話
劉旭 : 大家對(duì)病毒和防病毒應(yīng)該都是非常熟悉了,在病毒出現(xiàn)10多年來,大家現(xiàn)在也廣泛在應(yīng)用防病毒產(chǎn)品,我想全國(guó)幾乎絕大部分的用戶都配備了殺毒軟件,那么既然大家配備了殺毒軟件,那么現(xiàn)在病毒的危害性是否有所下降?或者我能否成功遏制這樣一些病毒呢?我們看一下現(xiàn)實(shí)的情況,首先我跟大家講,目前病毒的危害情況是相當(dāng)嚴(yán)峻的。
劉旭 : 國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心07年中國(guó)計(jì)算機(jī)病毒疫情調(diào)查技術(shù)分析報(bào)告中顯示,我國(guó)計(jì)算機(jī)病毒感染率07年高達(dá)91.47%,也就是說10臺(tái)計(jì)算機(jī)有9臺(tái)以上的計(jì)算機(jī)被感染,是相當(dāng)高的,而且實(shí)際上我們從這張圖上可以看出,這張圖是國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心從2001年到2007年調(diào)查的一個(gè)曲線圖,我們可以看出2007年是高居首位。
劉旭 : 病毒感染三次以上的用戶數(shù)量達(dá)到53.64%。現(xiàn)在計(jì)算機(jī)病毒一個(gè)非常顯著的特點(diǎn)就是病毒的數(shù)量急劇增加,也就是病毒泛濫。說話看一下國(guó)外的情況,在今年的3月20號(hào),美國(guó)一家著名的媒體就發(fā)布了一篇文章,在這篇文章里面他采訪的主要是國(guó)外的幾家公司,其中一家是德國(guó)的防病毒測(cè)試實(shí)驗(yàn)室,根據(jù)它的統(tǒng)計(jì)可能新出現(xiàn)的病毒數(shù)可能大大超過大家的想象,根據(jù)他們的統(tǒng)計(jì),去年新增的病毒超過550萬種,這是06年的4倍,是05年的15倍。根據(jù)這家公司的統(tǒng)計(jì),今年頭兩個(gè)月他們新發(fā)現(xiàn)的病毒數(shù)量就超過100萬個(gè)。而在同一篇文章中還預(yù)測(cè)了一個(gè)數(shù)據(jù),現(xiàn)在新增的病毒數(shù)量每小時(shí)是2000-3000種,這個(gè)數(shù)量是非常非常可怕的。這個(gè)預(yù)測(cè)圖是從1985年開始統(tǒng)計(jì)的,可以看出1985年到2003年幾乎是在同一水平線上,從04年這條線開始抬頭,到06、07年我們看到這條線已經(jīng)非常非常高了。
劉旭 : 據(jù)F-Secure介紹,現(xiàn)在每天都能收集到2.5萬個(gè)左右的惡意軟件樣本,為歷史最高水平,照此下去,各類病毒木馬數(shù)將在08年底突破1000萬。
劉旭 : 我們?cè)倏匆幌驴ò退够罱念A(yù)測(cè),卡巴斯基07年總共發(fā)現(xiàn)了222萬種新病毒,跟剛才德國(guó)那家公司相比的話少了一半,是06年的4倍,這跟德國(guó)這家公司是一樣的,都說是4倍,根據(jù)他的分析師預(yù)測(cè),08年新增病毒數(shù)將超過2000萬種,這個(gè)數(shù)是07年的10倍,也就是說現(xiàn)在病毒數(shù)的增長(zhǎng)要快于前幾年。
劉旭 : 我們應(yīng)該來看一下幾乎國(guó)際上絕大部分防病毒公司都有一致的看法,08年新增的病毒數(shù)量將超過1000萬種。我們剛才說了病毒數(shù)量現(xiàn)在是急劇增加,那么為什么會(huì)急劇增加呢?那么我們下面介紹一下病毒的特點(diǎn)。
劉旭 : 病毒的特點(diǎn)最關(guān)鍵的一點(diǎn),為什么現(xiàn)在比原先大很多,而且還在快速增長(zhǎng),最主要的首要是病毒編寫目的不同。以前的病毒是“損人不利己”的,現(xiàn)在的病毒的一個(gè)特點(diǎn),現(xiàn)在絕大部分的病毒或者新出現(xiàn)的病毒大都是以“以盈利為主要目的”的。由于這樣的目的不同,所以導(dǎo)致了病毒的特點(diǎn)有很大的不同。
劉旭 : 那么我們來看一下一下現(xiàn)在病毒的第二個(gè)特點(diǎn),叫病毒編寫的組織化。以前病毒編寫絕大部分是個(gè)人行為,現(xiàn)在越來越多的是團(tuán)伙行為,甚至一些病毒是企業(yè)行為。那么我們來看一下,比如說大家熟知的木馬軟件,也可以把它歸為病毒類,把它歸為惡意程序類的話,實(shí)際上它就是非常典型的企業(yè)行為。
劉旭 : 那么另外一個(gè)特點(diǎn),現(xiàn)在的病毒已經(jīng)形成產(chǎn)業(yè)鏈。病毒上游可能會(huì)提供一些加殼工具、免殺工具,下游利用這些工具對(duì)病毒進(jìn)行加工,以逃避殺毒軟件的查殺;上游編寫病毒,下游銷售病毒。
劉旭 : 另外病毒現(xiàn)在有一個(gè)非常突出的特點(diǎn),叫多變種、小批量感染。為什么會(huì)這樣呢?就是說以前的病毒編寫者利用一種病毒感染所有計(jì)算機(jī)。但是采用這種方式一旦病毒被發(fā)現(xiàn),殺毒軟件升級(jí)后就可能全部被查殺掉,這樣的話,病毒的生存能力就不是很強(qiáng),而現(xiàn)在,病毒編寫者為了避免編寫的所有病毒被殺毒軟件全部清除,采用不斷變種病毒的方式進(jìn)行感染。即使某些變種病毒被殺毒軟件清除,仍然保持相當(dāng)多的病毒不被清除。這樣的話,殺毒軟件可能發(fā)現(xiàn)其中一些變種,但是它有可能清除不完全。
劉旭 : 變種要需要大量的人力物力,大家知道很著名的熊貓燒香病毒,它在短短的幾個(gè)月里面編寫了幾百萬個(gè),投入了大量的人力物力,那么這樣他們也意識(shí)到了這是一個(gè)很復(fù)雜的過程,所以現(xiàn)在他要進(jìn)行對(duì)病毒編寫自動(dòng)化。以前病毒主要是手工編寫,現(xiàn)在已經(jīng)開始自動(dòng)化,利用自動(dòng)加殼機(jī)和自動(dòng)免殺機(jī)自動(dòng)生成。這樣就能使得這個(gè)病毒有比較好的生存能力。我們國(guó)內(nèi)某些網(wǎng)站被病毒感染,這個(gè)網(wǎng)站會(huì)每隔59分鐘病毒就自動(dòng)升級(jí)。也就是說你頭59分鐘用戶訪問這個(gè)網(wǎng)站的話,感染的是這個(gè)病毒,下一個(gè)59分鐘感染的是另外一個(gè)病毒,之所以選擇59分鐘,病毒編輯者認(rèn)為現(xiàn)在的殺毒軟件升級(jí)再頻繁,你升級(jí)的間隔至少在1個(gè)小時(shí)以上,而我相信現(xiàn)在還有很多殺毒軟件廠商還沒有達(dá)到一天24小時(shí),那么這種他就能確保他的病毒不可能被全部清除。
劉旭 : 第六個(gè)特點(diǎn),病毒數(shù)量呈幾何級(jí)數(shù)增長(zhǎng)。以前的病毒數(shù)量非常非常少,以前像06年一年只有幾種病毒,后面就變成了幾十種。大家使用殺毒軟件,最早的時(shí)候殺毒軟件廠商怎么說呢?要求用戶說半年內(nèi)必須升級(jí),后面說你三個(gè)月必須升級(jí),為什么?就是說在這個(gè)時(shí)間段里面病毒數(shù)量增加了很多,而現(xiàn)在要求用戶是每天升級(jí),主要原因就是病毒數(shù)量在急劇增加,數(shù)量太多。
劉旭 : 另外一個(gè)特點(diǎn),病毒的危害性更大,以前病毒主要是破壞計(jì)算機(jī)信息以及一些數(shù)據(jù),那么你如果采取備份的方式就可以避免或者降低損失。那么現(xiàn)在是以商業(yè)興為目的,比如說竊取商業(yè)秘密、金融財(cái)產(chǎn)、虛擬財(cái)產(chǎn)為主,這樣直接造成的損失更大,而且這一旦遭受損失,就很難以挽回。以前說的是亡羊補(bǔ)牢,那么亡羊補(bǔ)牢的效果究竟有多少作用?這是一個(gè)很大的問題,因?yàn)榫退隳阃鲅蜓a(bǔ)牢你還是損失了一些東西。
劉旭 : 90年代初病毒都具有發(fā)作時(shí)期,而現(xiàn)在的病毒都不再這樣。比如說計(jì)算機(jī)病毒之所以被稱為病毒,是因?yàn)樗c生物病毒有很多類似之處,它也有潛伏期,也有發(fā)作期。比如著名CIH病毒(1.2版本),發(fā)作日為每年4月26日,即使計(jì)算機(jī)被CIH感染,只要將計(jì)算機(jī)的時(shí)鐘調(diào)過4月26日,病毒也不會(huì)發(fā)作,也就不會(huì)破壞用戶的信息。再比如“黑色星期五”病毒,其發(fā)作日是十三號(hào)同時(shí)是星期五的日子。也就是說你躍過這個(gè)發(fā)作日,即使病毒在你的機(jī)器里面也不會(huì)發(fā)作。那么現(xiàn)在的病毒沒有這種說法了,一旦被病毒感染,病毒將隨時(shí)竊取用戶的主要信息和財(cái)產(chǎn),損失可能立即造成。比如說你采取的是QQ,機(jī)器里存在盜號(hào)木馬,你剛一使用QQ,你的帳號(hào)就已經(jīng)被盜了。
劉旭 : 病毒現(xiàn)在有這么多特點(diǎn),那么我們看一看作為主要防范病毒的工具,實(shí)際上就是殺毒軟件,而我認(rèn)為殺毒軟件現(xiàn)在還面臨著很大的尷尬。殺毒軟件主要的特點(diǎn)是什么?它主要是利用病毒特征碼發(fā)現(xiàn)病毒,而病毒的特征碼是從病毒體里面提取出來的,比如防病毒發(fā)現(xiàn)了這是一個(gè)病毒,那就從病毒體里面提煉出幾段或者一段代碼,然后他就跟機(jī)器里面的文件做比對(duì),發(fā)現(xiàn)相同的就是會(huì)報(bào)這是病毒。這就注定了殺毒軟件只能發(fā)現(xiàn)反病毒公司已經(jīng)收集到的病毒,對(duì)于未收集到的病毒沒有防范能力。當(dāng)前,病毒是呈幾何級(jí)數(shù)的增長(zhǎng),因此在任何一個(gè)時(shí)刻,病毒軟件不能防范病毒的數(shù)量非常多。
劉旭 : 殺毒軟件的尷尬最關(guān)鍵的一點(diǎn),就是因?yàn)樗倪@種方式是滯后于病毒的,而病毒是在層出不窮的發(fā)展的,這已經(jīng)成為了其致命的缺陷。為什么?也就是你剛提供給用戶,你就發(fā)現(xiàn)自己已經(jīng)滯后于病毒了。
劉旭 : 下面介紹一下殺毒軟件遏制病毒能力相對(duì)下降。另外是殺毒軟件保護(hù)用戶財(cái)產(chǎn)能力相對(duì)下降。我們說它保護(hù)財(cái)產(chǎn)的能力已經(jīng)相對(duì)下降了,而現(xiàn)在發(fā)現(xiàn)病毒也越來越困難了。
劉旭 : 因?yàn)楝F(xiàn)在有些病毒編寫者會(huì)招聘一些高精尖專業(yè)技術(shù)人員,尤其現(xiàn)在殺病毒軟件跟操作系統(tǒng)也有兼容性問題,所以通常情況下有很多病毒是不會(huì)被殺毒軟件發(fā)現(xiàn)的。另外殺毒軟件處理病毒的能力已經(jīng)逼近當(dāng)前電腦的極限,現(xiàn)在病毒庫(kù)大概就要占到好幾個(gè)G。
劉旭 : 后面主要介紹主動(dòng)防御技術(shù),這已經(jīng)成為了未來反病毒技術(shù)的主要方向。也就是說,殺毒軟件主要是靠特征值來看的,那么我們能不能從他們的行為中察看到它是一個(gè)病毒呢?也就是說病毒分析人員可以分析出這是一個(gè)病毒,那能不能把它的識(shí)別做到自動(dòng)化、智能化呢?我們認(rèn)為是可以的。主動(dòng)防御技術(shù)的三大判定原則,這不是具有監(jiān)控程序動(dòng)作就能成為主動(dòng)防御,一如HIPS系統(tǒng)就不是主動(dòng)防御技術(shù),它只是動(dòng)作報(bào)警器。主要防御技術(shù)作為下一代反病毒與其他反病毒技術(shù)一樣,它必須對(duì)程序是否有病毒作出明確的結(jié)論。
劉旭 : 我們公司發(fā)布了主動(dòng)防御技術(shù),到目前為止我們?cè)诰W(wǎng)上已經(jīng)測(cè)試了三年,對(duì)著名的熊貓燒香病毒,當(dāng)然這個(gè)病毒感染的非常厲害,熊貓燒香病毒是2006年編寫、傳播的,而我們對(duì)它的防御非常好。
劉旭 : 我們認(rèn)為主動(dòng)防御技術(shù)我們認(rèn)為是未來防范計(jì)算機(jī)病毒的出路。我的講話到此為止,謝謝大家。
