如何预防未知病毒木马发起的第一波攻击,是摆在安全厂商面前的一道难题。面对越来越多的未知病毒木马,杀毒软件能否做到防患于未然?我国信息安全专家陈拂晓日前接受记者采访时指出,从被动挨打走向主动防御,应该是杀毒软件产品的发展方向。但是,真正做到主动防御并非易事。目前,一些反病毒厂商跟风炒作,给自己带上“主动防御”的光环,是误导消费者的行为。
●未知病毒木马防不胜防
目前,病毒木马的泛滥使电脑用户战战兢兢。通常情况下,普通电脑用户都会使用杀毒软件保障电脑安全,可是,现有的杀毒软件并不能抵御所有的病毒木马,尤其是对于那些未知病毒木马的攻击,许多杀毒软件束手无策。
据悉,市场上的杀毒软件大都采用特征值扫描技术,该技术要求一个新病毒至少感染一台计算机,并被反病毒公司搜集到被感染文件后,再通过分析从病毒体中取得的特征代码,将该特征代码添加到病毒特征库中。当新病毒再次攻击用户电脑时,杀毒软件即可扫描到其攻击行为并进行查杀。这种“先发现后查杀”的杀毒原理,导致杀毒软件面对新病毒木马时无从下手。一位不愿透露姓名的业内人士告诉记者,许多靠病毒木马敛财的黑客,都掌握着众多的功能强大的病毒木马,这些病毒木马都是新的,从没被捕获过,因而不易被杀毒软件发现。同时,病毒通过网络得到了进化,正逐渐变得“聪明”,有的病毒自带源码库和编译器,在感染不同的系统时会根据不同情况修改源码,然后重新编译,自动生成数百上千不同特征的新病毒,这多少也让反病毒软件显得力不从心。
值得注意的是,电脑和网络还未普及时,人们对电脑病毒木马也并不十分关心,病毒木马只是少数电脑高手交流技术的“小游戏“,功利性不强,攻击面不广,破坏性不大。但是,随着电脑互联网日益贴近百姓生活,病毒木马制造者的目的在发生转变。如果说原来他们只是兴趣使然,显示自己的技术才干,现在的病毒木马制造者则是利益趋使。病毒木马从破坏计算机,到泄露信息,再到现在的盗窃资产,正在经历质变。
目前,网络的飞速发展,使病毒木马借着这个载体散布得几乎无处不在,人们甚至开始谈虎色变。根据2006年全国信息网络安全报告,54%的被调查单位发生过信息网络安全事件,感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况。虽然我国计算机用户的计算机病毒防范意识和防范能力在增强,但面对更加强悍的病毒冲击,当前的杀毒软件表现得并不尽如人意。
●主动防御是发展趋势
针对反病毒行业出现的疲于招架的现象,一些业内人士形象地将传统的病毒防御软件比喻成“盾”,这个“盾”始终处于被动挨打的境地,显然,再坚强的“盾”也有被攻破的那一天。与其拿着伤痕累累的“盾”,不如造一把锋利的“剑”。 陈拂晓分析认为,被动杀毒并不是唯一方法,主动防御才是对抗病毒第一波攻击、防范未知新病毒的有效方式。
专家指出,计算机病毒是人为编制的,所以它的行为能力不会超出人的思维范畴。计算机病毒还有一个特殊的生存环境,那就是操作系统,它的行为规范受到操作系统所允许操作范围的限制,因此,相对于生物病毒而言,计算机病毒的行为能力要差得多。另外,为了便于传播和隐藏,计算机病毒往往希望尽可能地缩小自身的尺寸,许多程序行为的实现都是通过调用操作系统的标准接口来完成的,于是更加限制了计算机病毒的行为能力。这样,就为人们设法解决计算机病毒的问题提供了一种可能。如果人们能够将计算机病毒有限的行为能力进行归纳、总结,设计出能够自动判断病毒的工具,那么对计算机病毒的主动防御就将成为现实。
目前,这种新的主动防御杀毒思路已经实现。北京北方计算中心曾经通过测试得出结论,通过关联性分析,主动防御软件能够发现复杂的、未知的攻击行为,从而实现识别和防御未知病毒。该中心有关专家指出,主动防御软件能够有效克服现有反病毒产品以被动预防为主、识别未知攻击行为能力弱的缺陷,是反病毒核心技术的重大突破和创新。
●主动防御标签不能乱贴
目前,各种新病毒此起彼伏,传统杀毒软件面临的形势愈来愈严峻。尽管许多安全厂商不断做一些相对的改良,甚至每周都在不停地更新病毒库,但病毒库更新的速度滞后于新病毒的出现,同时,不断扩大的工作量需要投入更多的人力物力,这形成一个令人担忧的恶性循环。
虽然一些安全厂商也在宣称主动防御,但其主动防御多数是对一个可疑行为动作的预警:比如更改注册表等,并不能分析出其行为的合法性。有的杀毒软件宣称的所谓“主动防御”,只是提示计算机正受病毒威胁,并不能对此进行分析处理,致使电脑用户即便明知面临威胁也无所适从。
陈拂晓指出,先找到病毒,提取特征值,添加到病毒库,然后通过对比来杀毒的原理,无法做到真正的主动防御。主动防御运作机理的显著特征是,没有病毒库依然可以杀毒,这是目前多数杀毒软件做不到的。
北京东方微点信息技术公司田亚葵日前接受记者采访时进一步分析指出,主动防御的定义应当是采用动态仿真技术,模拟专家判定病毒的机理,自动准确判断新病毒,主动实时防御并查杀新病毒。类似于一对一的服务,直接把专家安排到最终端,时刻准备着为用户服务,及时应付各种问题,第一时间把病毒拒之门外,把破坏降到最低,实时确保用户的安全。
“可以肯定地说,主动防御是具有革命性的一种杀毒新方式。”陈拂晓说,“主动防御对于防止未知病毒木马发起的第一波打击具有重要的意义。但是,主动防御也不可能做到百分之百地抵御未知病毒木马,主动防御软件功能的完善还有很长的路要走。”