随着这几年网络的迅猛发展,由于杀毒软件对新病毒的防范滞后于病毒出现,因此使得“道高一尺,魔高一丈”的恶性循环在持续。作为“国家863计划反计算机入侵和防病毒研究中心”专家委员会专家,刘旭近日向记者深入剖析了病毒这么多年的变化以及反病毒领域的新进展。
网络颠覆传统病毒概念
伴随网络的成长,利用网络技术、以网络为载体频频暴发的间谍程序、蠕虫病毒、游戏木马、邮件病毒、MSN病毒、黑客程序等网络新病毒,已经颠覆了传统的病毒概念。与传统病毒相比,网络病毒呈现传播速度空前、数量与种类剧增、全球性暴发、攻击途径多样化、以利益获取为目的、造成损失具灾难性等突出特点,使杀毒软件面临严峻挑战。
固定思维带来滞后杀毒
特征值扫描是目前国际上反病毒公司普遍采用的查毒技术。其核心是从病毒体中提取病毒特征值构成病毒特征库,杀毒软件将用户计算机中的文件或程序等目标,与病毒特征库中的特征值逐一比对,判断该目标是否被病毒感染。该技术要求从病毒体中提取病毒特征值,所以只有等到新病毒出现后,才有可能获得病毒体,并针对它进行单独处理。这种方法的固有缺陷是,对新病毒的防范始终滞后于病毒的出现。
计算机病毒概念是人依据程序行为来定义的,因此识别病毒的另一种方法是采用动态分析,直接通过程序的行为判断它是否是病毒。即根据程序的行为是否符合病毒定义做出判断,如果符合就是病毒,不符合就不是病毒。
刘旭指出,尽管杀毒软件主要采用静态扫描方式,但是反病毒公司发现新病毒并不是采用静态扫描方式,而恰恰是采用动态分析方法。即便是反病毒公司收集到可疑程序时,也不能确定是不是新病毒,为了做出准确判断,必须先运行可疑程序,然后再根据程序的行为判断是否是病毒。
突破传统 主动出击
刘旭认为,虽然目前防病毒产品主要沿用传统的“亡羊补牢”的事后“补丁”式技术路线,但通过将现有病毒的行为进行分析、归纳、总结,对反病毒专家分析判断新病毒的经验科学提炼,实现软件自动识别病毒是可行的。
例如,我们定义这样一条病毒判断规则:如果MSN接收的某个文件运行后,模拟键盘或鼠标动作,自动点击MSN的“发送文件”命令,把它或它的生成物自动发送给其他MSN联系人,则这个文件就是MSN蠕虫病毒。
这位业界权威指出,从反病毒领域的实践和计算机技术的发展趋势可以看出,开发病毒主动防御系统不仅是可能的,而且是可行的。因此,我国反病毒领域应该跳出传统技术路线,尽快研制以行为自动监控、行为自动分析、行为自动诊断为新思路的主动防毒产品,建立主动防御为主、结合现有反病毒技术的综合防范体系。
(责任编辑:zhaohb)
|
软件开发培训班 >> 网络技术 >> 网络安全
