“主动防毒”杀来
新软件
病毒出现,造成用户电脑和网络大面积瘫痪;
杀毒软件厂商收到信息反馈,开始收集病毒资料进行分析;
反病毒代码被放入升级文件,用户升级杀毒软件。
上面就是一个传统的反病毒体系运作流程。自从电脑病毒诞生后,反病毒厂商和病毒之间就保持着这样的关系:厂商捕获病毒→分析病毒→升级产品。有没有可能在新病毒被发现前就将它“拒之门外”?看看反病毒厂商们的表现吧,似乎正在印证杀毒软件主动防御时代的到来。
反病毒厂商纷纷变“主动”
5月24日,金山推出了一款面向中小企业安全市场的杀毒软件——金山毒霸2005。值得注意的是,这款软件里面除了普通功能之外,更增加了“主动防御、分布管理”功能。据金山毒霸技术总监陈睿介绍,这个主动防御计划是金山致力于改善信息安全的一个长远计划。
金山并不是唯一一家宣称推出主动防御技术的厂商。5月19日,江民公司宣布推出一款具有主动防范技术的防病毒软件——“江民木马终结者”。在江民公司提供的资料中,记者看到,“这是一款自动判别病毒行为的安全软件,应用这款软件,可以自动判别目前系统进程的安全状况,用户据此判别系统目前的安全性并视情况采取进一步措施。”
方正安全技术总经理金锴和瑞星副总裁毛一丁在接受采访时都表示,互联网攻击越来越频繁和致命,这要求反病毒软件公司更加强大并且响应更快,以避免攻击泛滥。预防性技术为主的杀毒软件肯定是一个趋势,这方面也有相关产品会很快上市,它们能预防企图执行恶意操作的未知病毒和入侵的攻击。
不仅国内如此,在国外,微软正在研究 的“behavioural blocking”(动作阻挡)技术原理是以病毒的可疑动作作为判断依据,因此在一定程度上可以实现“病毒预防”的作用。
从厂商的举动来看,主动防御并不是一个天方夜谭,至少在产品上面已经出现了这样的雏形。
主动防御不是天方夜谭
实际上,主动防御概念在几年前就出现了,但由于病毒的多样性和不可判定性,让电脑自动识别、防范新病毒一直是一个难题。那么,从技术上能否解决这个难题呢?记者为此采访了“国家八六三计划反计算机入侵和防病毒研究中心”专家委员会专家、著名反病毒专家刘旭。
刘旭肯定地告诉记者“主动防御是可能的”。他指出很多人认为想研制一种主动防御的反病毒产品,就如同要为一种未知的疾病制作特效药一样异想天开,这里面其实有个误区。计算机病毒要比生物界的病毒简单多了,首先它是人编写的,另外计算机病毒概念是人依据程序行为来定义的,因此识别病毒的另一种方法是采用动态分析,直接通过程序的行为来判断它是否是病毒。实际上目前反病毒公司要确定可疑程序是不是病毒,采用的就是动态分析法,只是这个过程是由反病毒公司的研究人员来完成。简单说,如果把人通过行为识别病毒的能力程序化,就可以让反病毒产品具备主动防御功能。
刘旭也谈到,尽管病毒越来越多,但真正有创意的、技术上有突破的病毒很少,不到总数的1%。而且这类病毒通常是概念病毒,一般破坏性不大。绝大多数病毒都是模仿其它病毒编写的,这些病毒的传播、感染、加载、破坏等行为特点都可以从已经存在的病毒中找到,因此人工识别绝大多数新病毒,并不是一件很难的事。
基于这样的事实,刘旭认为,将现有病毒行为进行分析、归纳、总结,通过对反病毒专家分析判断新病毒的经验科学提炼,实现软件自动识别病毒不仅是可能的,而且是可行的。
“虽然不存在一个程序或算法能识别所有病毒,但只要反病毒产品能预防90%以上的新病毒,那它就是一个成功的产品。”刘旭最后如是说。
杀毒软件的未来之路
在用户的心目中,对杀毒软件的理想要求是:提供可靠的安全保障,而不是无休无止的“升级→升级→再升级”。
理论上的“主动防御”已经为用户描绘出了这样一个美丽的未来,这个未来距离现实究竟有多远,还要看反病毒厂商是把“主动防御”当做一块“遮羞布”,还是真正落到实处,而市场会很快检验出这一点的。
但无论如何,反病毒厂商这次能够步调一致地承认“主动防御”是反病毒产业发展的方向,并正在朝这个方向努力,尽管他们的主动防御理念和成果可能各不相同,但对用户来说,这始终是件好事,毕竟用户并不会关心谁是新病毒的第一个发现者,他们看重的是谁能更有效地防御新病毒。
这场“主动防御”的竞争已经开始,“固步自封”者,必将被市场所淘汰。