“正氣存內(nèi),邪不可干,邪之所湊,其氣必虛”是中醫(yī)對(duì)人體免疫的概括——正氣即免疫,正氣足則邪不侵正。自然界中存在著對(duì)人體有害的病源微生物和其它有毒有害物質(zhì),中醫(yī)稱之為“邪氣”,人之所以不發(fā)病,是因?yàn)槿梭w對(duì)外環(huán)境的影響和變化有適應(yīng)能力,即“正氣”。
自然界的“邪氣”無(wú)處不在,可是這并不意味著人時(shí)時(shí)刻刻都處于病態(tài),就是因?yàn)槿梭w中有“正氣”存在。
這種現(xiàn)象不僅存在于生物界,在IT領(lǐng)域何嘗不是如此?無(wú)論是PC、筆記本電腦,還是整個(gè)互聯(lián)網(wǎng),都會(huì)時(shí)刻面對(duì)“邪氣”——病毒、木馬等數(shù)量眾多的惡意軟件——侵襲。然而結(jié)果卻不盡相同:有的終端因此崩潰,有的網(wǎng)絡(luò)因此癱瘓,當(dāng)然也有很多終端系統(tǒng)和網(wǎng)絡(luò)巋然不動(dòng)。究其原因,其本質(zhì)就是“正氣存內(nèi),邪不可干”。
信息安全嚴(yán)峻形式催生新技術(shù)
近些年來(lái),人們由過(guò)去有病看病發(fā)展到定期體檢,預(yù)防為主的健康理念。而在信息安全領(lǐng)域在安全威脅防御方面的理念同樣發(fā)生著變化。
“特征碼”識(shí)別病毒是目前殺毒軟件主要技術(shù)手段,但不可否認(rèn)的是,這一手段只能起到亡羊補(bǔ)牢的作用——只有某一段代碼被編制出來(lái)之后,才能判斷這個(gè)代碼是不是病毒,才能談到去檢測(cè)或清除這種病毒。殺毒軟件廠商只有發(fā)現(xiàn)并捕獲到新病毒后,才有可能從病毒體中提取其特征值。這使得殺毒軟件對(duì)新病毒的防范始終滯后于病毒出現(xiàn)。
“特征碼”識(shí)別對(duì)目前安全威脅而言,顯然有些力不從心——
德國(guó)AV測(cè)試實(shí)驗(yàn)室的數(shù)據(jù)顯示,去年全球新出現(xiàn)病毒超過(guò)550萬(wàn)種,而根據(jù)國(guó)內(nèi)反病毒公司2007年安全最多一家捕獲到91萬(wàn)種;盜取用戶帳號(hào)密碼、商業(yè)秘密、虛擬財(cái)產(chǎn)和重要文件的木馬病毒已占到病毒總數(shù)80%以上,病毒已轉(zhuǎn)變?yōu)橹\取高額利益的黑色產(chǎn)業(yè)鏈,病毒的工業(yè)化生產(chǎn)使得近年來(lái)病毒數(shù)量年增長(zhǎng)率高達(dá)400%以上。目前,我國(guó)網(wǎng)民已突破2.1億人,互聯(lián)網(wǎng)的普及,進(jìn)一步加速病毒泛濫。殺毒軟件已成為裝機(jī)必備軟件,裝機(jī)量高達(dá)1億臺(tái)以上,但是國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心統(tǒng)計(jì)用戶中病毒的情況反而大幅度上升至91.47%(即91.47%的電腦在過(guò)去的一年內(nèi)曾被病毒感染)。
因此,安全需求催生了主動(dòng)防御技術(shù),即由具備仿真反病毒專家系統(tǒng)的主動(dòng)防御軟件,在用戶計(jì)算機(jī)上自動(dòng)分析程序行為,自主識(shí)別、明確報(bào)出并自動(dòng)清除病毒。國(guó)內(nèi)最先提出此理念的是劉旭。
劉旭認(rèn)為,從反病毒領(lǐng)域的實(shí)踐和計(jì)算機(jī)技術(shù)的發(fā)展趨勢(shì)可以看出,開(kāi)發(fā)病毒主動(dòng)防御系統(tǒng)不僅是可能的,而且是可行的。因此,跳出傳統(tǒng)技術(shù)路線,盡快研制以行為自動(dòng)監(jiān)控、行為自動(dòng)分析、行為自動(dòng)診斷為新思路的主動(dòng)防御型產(chǎn)品,從根本上克服現(xiàn)有殺毒軟件的重大缺陷,建立主動(dòng)防御為主、結(jié)合現(xiàn)有反病毒技術(shù)的綜合防范體系,實(shí)現(xiàn)反病毒技術(shù)的革命性飛躍和反病毒產(chǎn)業(yè)的升級(jí),是全球反病毒領(lǐng)域共同面臨的巨大挑戰(zhàn),具有極現(xiàn)實(shí)的信息安全急迫性。
于是,劉旭通過(guò)對(duì)病毒行為規(guī)律分析、歸納、總結(jié),并結(jié)合反病毒專家判定病毒的經(jīng)驗(yàn),提煉成病毒識(shí)別規(guī)則知識(shí)庫(kù);模擬專家發(fā)現(xiàn)新病毒的機(jī)理,通過(guò)分布在操作系統(tǒng)的眾多探針,動(dòng)態(tài)監(jiān)視所運(yùn)行程序調(diào)用各種應(yīng)用程序編程接口(API)的動(dòng)作,將程序的一系列動(dòng)作通過(guò)邏輯關(guān)系分析組成有意義的行為,再綜合應(yīng)用病毒識(shí)別規(guī)則知識(shí),終于研發(fā)出了自動(dòng)判定病毒的主動(dòng)防御系統(tǒng)。2005年2月,微點(diǎn)主動(dòng)防御系統(tǒng)誕生。
微點(diǎn)主動(dòng)防御系統(tǒng)的誕生,為用戶建立計(jì)算機(jī)免疫系統(tǒng)創(chuàng)造了條件。
此“免疫”非彼“免疫”
在計(jì)算機(jī)領(lǐng)域用到“免疫”這個(gè)詞匯還只是近一兩年的事情。眾所周知,“免疫”這個(gè)詞匯來(lái)源于生物學(xué)領(lǐng)域。有一點(diǎn)需要注意的是,二者存在著本質(zhì)的區(qū)別,北京東方微點(diǎn)信息技術(shù)有限責(zé)任公司副總經(jīng)理田亞葵對(duì)此做了很好的詮釋:“業(yè)界常常有人用人類病毒的醫(yī)治來(lái)解釋計(jì)算機(jī)病毒防范。然而,與生物界的病毒復(fù)雜性不同,計(jì)算機(jī)病毒是人編寫的,遠(yuǎn)比生物界的病毒簡(jiǎn)單。計(jì)算機(jī)病毒概念是人依據(jù)程序行為來(lái)定義的,因此識(shí)別病毒的另一種方法是采用動(dòng)態(tài)分析,直接通過(guò)程序的行為判斷它是否是病毒。”
從計(jì)算機(jī)病毒發(fā)展趨勢(shì)來(lái)看,對(duì)田亞葵的觀點(diǎn)也有所印證。雖然病毒越來(lái)越多,但真正有創(chuàng)意的、技術(shù)上有突破的病毒很少,不到總數(shù)的1%。而且這類病毒通常是概念病毒,一般破壞性不大。絕大多數(shù)病毒都是模仿其他病毒編寫的,這些病毒的傳播、感染、加載、破壞等行為特點(diǎn)都可以從已經(jīng)存在的病毒找到,一個(gè)計(jì)算機(jī)本科畢業(yè)生經(jīng)過(guò)短期培訓(xùn),通常都可勝任人工識(shí)別這類新病毒的工作。因此人工識(shí)別絕大多數(shù)新病毒,并不是一件很難的事。
新病毒產(chǎn)生過(guò)程也是“特征碼”殺毒防范安全威脅乏力的主要原因。從上個(gè)世紀(jì)八十年代病毒出現(xiàn)后,反病毒技術(shù)就有兩種思路,一種是采用靜態(tài)掃描方式,即特征值掃描技術(shù),另一種采用動(dòng)態(tài)分析方法。特征值掃描是目前國(guó)際上反病毒公司普遍采用的查毒技術(shù)。其核心是從病毒體中提取病毒特征值構(gòu)成病毒特征庫(kù),殺毒軟件將用戶計(jì)算機(jī)中的文件或程序等目標(biāo),與病毒特征庫(kù)中的特征值逐一比對(duì),判斷該目標(biāo)是否被病毒感染。反病毒公司把捕獲到并已處理的病毒稱為已知病毒,否則就稱為未知病毒。只有采用特征值掃描技術(shù)時(shí),才區(qū)分已知和未知病毒。
由于新病毒卻往往只是模仿編寫,而且要頻繁更改特征值,甚至是自動(dòng)地動(dòng)態(tài)調(diào)整特征值的方法以躲避殺毒軟件的追殺。即便是反病毒公司收集到可疑程序時(shí),也不能確定是不是新病毒,為了做出準(zhǔn)確判斷,必須先運(yùn)行可疑程序,然后再根據(jù)程序的行為判斷是否是病毒靜態(tài)掃描方式顯然應(yīng)對(duì)乏力。
東方微點(diǎn)把相當(dāng)于人腦的人工智能程序放到軟件里,由軟件自行識(shí)別,準(zhǔn)確報(bào)出并自動(dòng)清除,基本上與生物學(xué)的免疫機(jī)能吻合了。因此,該公司把主動(dòng)防御系統(tǒng)出現(xiàn)的時(shí)代稱為病毒免疫時(shí)代。信息安全防御新時(shí)代來(lái)臨了,安全威脅與安全防護(hù)的戰(zhàn)爭(zhēng)上升到一個(gè)新的層級(jí)。 |
