5月9日,《计算机世界》《杀毒厂商大卖过期药?》刊出,各大网站转载,并在互联网上引发了广泛讨论。
5月19日,江民宣布,他们已经研发成功一款具有“主动防范”技术的防病毒软件——“江民木马终结者”。5月19日,瑞星副总裁毛一丁向媒体宣告瑞星“全面实施‘主动防御’策略”。
5月24日,金山在柏彦大厦20层的一个小会议室里公布了其“主动防御”计划(adp)。
至此,国内杀毒软件三甲皆已声称实施“主动防御”。
杀毒厂商倾情演出肥皂剧 主动防御画饼充饥?
《计算机世界》记者 欧阳斌
杀毒软件“过期药”这一说法出现后,某杀毒软件公司负责人在公开场合表示,“打击面太广了吧”。
齐说“药没问题”
“没有可以治愈一切疾病的良药,病毒和生活中的生病非常相似。人们永远不可预知未来的东西,对于软件同样如此。” 金山软件信息安全与工具事业群市场经理刘金光对媒体说。
“反病毒落后于病毒是不争的事实。” 江民科技策划部经理曹凌翔向媒体解释。
这些说法似乎都和走在病毒前面的“主动防御”思路相矛盾,恰恰这二者正在演绎着主次之争。
瑞星副总裁毛一丁对媒体表示,“我相信,瑞星现在不是,以后也绝对不会成为‘过期药’。”
并且他要“澄清一个事实”:“目前国内、国际上的所有反病毒产品,都采用‘特征码’技术作为最基础的反病毒技术。”
“经过十几年的实践证明,这一技术是成熟、可靠、有效的反病毒技术。可以肯定地说,‘特征码’绝对没有过时。”
可是老牌杀毒厂商江民却不这么看,江民科技总经理陶新宇认为,“以江民杀毒软件为代表的国内杀毒软件已经在主动病毒防范技术上取得了重大的突破,目前已经领先于国外的杀毒厂商。”
“持有这种看法(过期药)的人首先可以说没有认真了解我国的杀毒软件”。陶如是说。
一方面,杀毒厂商们虽然声明并坚持“特征码扫描”技术依然是最有效的技术,另一方面,它们也已经意识到了“主动防御”是必行之路,几乎同时宣布了自己的“主动防御”计划。
那么,江民所代表的杀毒厂商们如何从否定“过期药”到积极推广“主动防御”?
都喊“主动防御”
在“过期药”言论出来不久后,5月15日,新华网上刊登了“国家863计划反计算机入侵和防病毒研究中心”专家委员会专家刘旭提出的“滞后杀毒难担网络防御重任,杀毒软件亟待克服重大缺陷”这一产业观点,并提出了“主动防御”概念。
其实,几年前就出现过所谓的“主动查杀”、“百毒不侵”的杀毒软件,但当时采取了“验证码”这一并不成熟的技术,致使误报率很高,效果差,被传为业内笑柄。
但三年之后,“主动防御”卷土重来。
5月19日,江民发布“江民木马终结者”,并声称,这款独立的系统安全分析软件,可以自动判别目前系统进程的安全状况。据江民反病毒专家介绍该产品可脱离杀毒软件独立运行,软件运行后,自动对系统中的进程进行可疑性分析,可疑概率分三档:0-25%是一般可疑、25-75%为中度可疑、75-97%为高度可疑,中度、高度的可能为病毒,而一般可疑的可能是一些驱动或监控程序,大多数系正常的进程。
所以,江民认为自己“目前已形成一套从处理未知病毒到已知病毒,从主动防御到特征码查杀的一整套立体防范系统。”
而瑞星提出的“主动防御”主要包括两个方面。一是在查杀未知病毒和未知程序方面,瑞星声称,通过“行为判断”技术,开发出了“危险行为监控”、“行为自动分析和诊断”等技术,他们可以识别大部分未被截获的未知病毒和变种。除此之外,瑞星声称“大力强化了系统漏洞管理模块”。
金山则公布了其“金山毒霸主动防御计划”(adp)。它包括终端自防御(tsd)、“网络自防御”(nsd)、整体自防御(wsd)三部分。
金山毒霸事业部技术总监陈睿介绍:“主动防御是一个概念和范畴,它的具体实现需要长期的不懈探索和努力,金山毒霸已经在为这个目标进行准备。”
这个主动防御系统里实现的主要功能包括“主动实时升级”、“主动漏洞扫描”、“抢先式防毒”等等。
在人们纷纷质疑杀毒软件是不是“过期药”的时候,这场集中的“主动防御”发布无疑是受欢迎的。然而,厂商们的态度何以转变如此之快?是不是“主动防御”已经开始取代“特征码扫描”的主流地位了?
“及时雨”?
无论毛一丁还是陈睿都认为,“特征码扫描”还是目前使用的“最基础”的技术。
但是他们也承认“特征码扫描”技术的确有缺陷,例如滞后问题,例如,一些小范围发作的病毒,或者恶意定制的病毒,这种“最基础”的技术也是无能为力的。
陈睿认为,大家最近热烈讨论的“行为判断”属于“预防式技术”而区别于传统的“响应式技术”,这种技术是金山“主动防御”中的一部分。
陈睿表示,目前金山毒霸的“启发式扫描”与瑞星的“行为自动分析和诊断”都属于“预防式技术”。但是陈睿很坦诚地指出,目前该技术本身还不成熟,依赖于虚拟机技术和人工智能技术的发展,“目前识别率和误报率都不理想”。
而另一种“主动防御”如ids则是按照规则识别网络包,其缺点需要人工干预,不能阻止入侵,也不能自动防护,也还不成熟。
金山目前的“主动防御”计划中比较实质的内容是指现有产品中的诸如“主动实时升级”之类的技术,它们还是在试图提高杀毒软件的升级速度。
仔细研究一下就会注意到,其实金山的“主动防御”是建立在传统的“捕获——分析——升级”这三个环节的后两个环节,在尽力提高“分析——升级”之间的速度和主动性——而业界质疑的基础恰恰在“捕获”这一环节上杀毒软件的无能为力。也就是说,金山目前实现的“主动防御”也并没有从本质上解决问题。
面对记者的这一问题,陈睿从另外一个角度予以解答。
陈睿认为,当前流行病毒的传播方式都是“混合型”的,会利用漏洞、邮件、局域网等多种途径传播自己。陈睿说,“所以,我们需要一种更具主动性的网络安全模型,及时隔离感染源,自动切断感染途径。”而“主动防御计划”就是这样一个“概念和范畴”。
他坦然承认,目前,这种行为判断技术还没有很成熟的产品,但是金山正在研发“可疑事件关联和行为拦截”和“网络恶意数据包检测”技术,其内部代号分别为“leopard”和“olive”,“预计年底可以面世”。
瑞星的说法是,2002年它们的专利技术“行为模式分析(bmat)”在演示中就已经达到了70%的查杀率,并且该技术得到了国际专家的认可。但不知出于什么原因,直至2005年,该技术还未能成熟应用。
专家刘旭提出,“开发科学、实用的病毒主动防御系统不仅是可能的,而且是可行的”。
“主动防御”对于传统杀毒软件“过期药”这一弊端无异于一场“及时雨”,这已经从近期的“主动防御”发布的密集度中得到了印证。现在的问题是,这场“雨”,什么时候才能真的下起来?
评论
换汤不换药?
欧阳斌
是药三分毒这话真不错,“过期药”这个词仿佛是个病毒,被杀毒厂商们迅速“捕获”、分析,并升级,而“主动防御”这个词仿佛是个专杀工具。
似乎忽然之间大家都觉悟了,这架势真的仿佛整个产业半个月之间完成“转型”,尽管事实并非这样。
在这场产业讨论期间,空气里充满了指责、不安、解释以及它们的“变种”。但真正的讨论并不是充斥在媒体版面和网站标题上,而是在厂商们的行动中悄然演绎。由当初驳斥、维护转换到讨论新的技术方向,这个过程很快。
所幸,大家最后意见一致,终于承认了杀毒软件的方向:“主动防御”。所以不管目前的实质应用如何,厂商们已经开始或者加速了这一进程,这是用户们的大幸,也是媒体发起产业批判的最好收场。
在这个成熟而又利好的市场里,“捕获”机制弊端的存在是大家心照不宣的,就好像范伟在广告中推销药,“一般人我不告诉他”,而这对用户是不负责任的。反之,从业者自己要指出问题并反思出路是需要勇气的。
但随着这场产业讨论里的“主动防御秀”,各种“主动防御”思路纷纷登场,“同志们”终于结束了这场尴尬,正视现实。
给我印象很深的是金山的反病毒专家陈睿,他有着技术人员的直接和坦诚。他承认目前杀毒软件存在的弊端并予以技术分析,承认了自己的主动防御技术“启发式扫描”效果“不理想”,更重要的是,他也提出了新的思路并正在付诸行动。
杀毒产业需要的正是勇于反思、付诸行动。
但不得不提到的是,目前的情况是,一方面,杀毒产业在向用户们维护形象——“杀毒软件不是过期药”;另一方面,边高喊着“主动防御”边继续着“特征码扫描”。所以我们是不是可以说,目前整个产业现状还无异于“换汤不换药”?
毛一丁对媒体说,杀毒产业“不能固步自封”,否则,“也许5到10年”,“真的会过时”。而陈睿则以个人身份预言,07年之后产业应该完全转为“主动防御”模式。
在“主动防御秀”后,是一场厂商之间的竞赛,真正实现它,才是产业发展方向、才是厂商生存根本。
因为,现在雾里看花或者高瞻远瞩的“主动防御”已经是一个良好的开端,但是,最重要的是用户们需要什么?
“别看广告,看疗效。”