滯后殺毒嚴重制約反病毒產業進步 走病毒主動防御之路并非天方夜譚
長期以來,人們把殺毒軟件作為最主要的反病毒工具,殺毒軟件幾乎成了所有反病毒產品的代名詞,殺毒軟件賴以生存的“特征值掃描技術”也幾乎成了所有反病毒技術的代名詞。正因為如此,殺毒軟件對新病毒的防范始終滯后于病毒出現的重大缺陷,似乎成為既合情又合理的反病毒邏輯,導致人們普遍認為反病毒產品不可能主動防御新病毒,甚至有些人認為,想研制一種主動防御的反病毒產品,就如同要為一種未知的疾病制作特效藥一樣異想天開。反病毒思想和反病毒技術的當前思維模式究竟能否實現突破,病毒主動防御之路是否能走得通?“國家八六三計劃反計算機入侵和防病毒研究中心”專家委員會專家劉旭日前就業界關注和探討的焦點問題接受了記者采訪。
焦點一:人能否發現新病毒?<
殺毒軟件本身基本上不能發現新病毒,是眾所周知的客觀事實。但是,人能否發現新病毒呢?劉旭首先提出了這個容易被忽視的簡單而至關重要的問題。如果人不能發現新病毒,同為自然人的反病毒公司研發人員也就不可能發現新病毒,由此帶來的問題是,殺毒軟件每天升級的是什么,反病毒公司每次宣稱發現的新病毒又是誰來發現的?
回答是肯定的,人可以發現新病毒。新病毒一定是人通過相應的方法判斷出來的。
焦點二:反病毒公司是如何判斷新病毒的?
劉旭介紹,從上個世紀八十年代病毒出現后,反病毒技術就有兩種思路,一種是采用靜態掃描方式,即特征值掃描技術,另一種采用動態分析方法。
特征值掃描是目前國際上反病毒公司普遍采用的查毒技術。其核心是從病毒體中提取病毒特征值構成病毒特征庫,殺毒軟件將用戶計算機中的文件或程序等目標,與病毒特征庫中的特征值逐一比對,判斷該目標是否被病毒感染。該技術要求從病毒體中提取病毒特征值,所以只有等到新病毒出現后,才有可能獲得病毒體,并針對它進行單獨處理。這種方法的固有缺陷是,對新病毒的防范始終滯后于病毒的出現。反病毒公司把捕獲到并已處理的病毒稱為已知病毒,否則就稱為未知病毒。只有采用特征值掃描技術時,才區分已知和未知病毒。
劉旭針對業界常常有人用人類病毒的醫治來解釋計算機病毒防范的現象指出,與生物界的病毒復雜性不同,計算機病毒是人編寫的,它遠比生物界的病毒簡單的多。計算機病毒概念是人依據程序行為來定義的,因此識別病毒的另一種方法是采用動態分析,直接通過程序的行為判斷它是否是病毒。即根據程序的行為是否符合病毒定義做出判斷,如果符合就是病毒,不符合就不是病毒。
劉旭介紹,盡管殺毒軟件主要采用靜態掃描方式,但是反病毒公司發現新病毒并不是采用靜態掃描方式,而恰恰是采用動態分析方法。即便是反病毒公司收集到可疑程序時,也不能確定是不是新病毒,為了做出準確判斷,必須先運行可疑程序,然后再根據程序的行為判斷是否是病毒。
以MSN蠕蟲病毒為例,此類病毒通過為數不多的幾種方法在MSN上傳播,其中一種是病毒完全自動模擬人使用MSN發送文件的過程,通過指揮鍵盤或鼠標,直接向MSN其他用戶發送文件,完成病毒傳播。病毒的具體傳播流程為:用戶接收并打開病毒文件→未經用戶允許,病毒自動點擊“發送文件”按鈕→彈出“發送文件給某某”窗口→自動選擇要傳輸的病毒文件→自動點擊“打開”按鈕→病毒文件自動發送給其他用戶。這個過程是自動完成的,窗口一閃而過,用戶通常看不清楚。
當用戶使用MSN時,如出現上述自動文件發送過程,則可以認定剛剛接收并打開的這個文件,必定是病毒假冒朋友身份發來的MSN蠕蟲病毒。今年2月3日,“性感燒雞”就是采用這種方式傳播的MSN蠕蟲病毒。不僅反病毒公司的技術人員,甚至普通用戶也可以根據這種現象判斷出這類病毒。
焦點三:人工識別新病毒到底有多難?
在回答此問題前,劉旭闡述了反病毒領域從未向業界公開過的并不神秘的“神秘”——雖然病毒越來越多,但真正有創意的、技術上有突破的病毒很少,不到總數的1%。而且這類病毒通常是概念病毒,一般破壞性不大。絕大多數病毒都是模仿其它病毒編寫的,這些病毒的傳播、感染、加載、破壞等行為特點都可以從已經存在的病毒找到,一個計算機本科畢業生經過短期培訓,通常都可勝任人工識別這類新病毒的工作。因此人工識別絕大多數新病毒,并不是一件很難的事,劉旭如此簡單的陳述了自己的觀點。
焦點四:實現病毒主動防御是否可行?
這位有著多年反病毒實踐,被業界稱為反病毒產品一面旗幟,主持開發的殺毒軟件先后列入國家科技成果項目和國家重點新產品項目的專家,在深入反思國際國內反病毒領域的反病毒思想和反病毒技術的當前思維模式后指出,將現有病毒的行為進行分析、歸納、總結,通過對反病毒專家分析判斷新病毒的經驗科學提煉,實現軟件自動識別病毒是可行的。
例如,我們定義這樣一條病毒判斷規則:如果MSN接收的某個文件運行后,模擬鍵盤或鼠標動作,自動點擊MSN的“發送文件”命令,把它或它的生成物自動發送給其他MSN聯系人,則這個文件就是MSN蠕蟲病毒。
此規則可用于發現“性感燒雞”MSN蠕蟲病毒,以及所有采用這種傳播方式的MSN蠕蟲病毒,而不論該病毒是什么時候編的,也不論是已知的還是未知的
劉旭指出,十多年來,反病毒技術的研究主要禁錮于特征值掃描法,很少對病毒主動防御技術進行深入探討和研究。從反病毒領域的實踐和計算機技術的發展趨勢可以看出,開發病毒主動防御系統不僅是可能的,而且是可行的。因此,跳出傳統技術路線,盡快研制以行為自動監控、行為自動分析、行為自動診斷為新思路的主動防御型產品,從根本上克服殺毒軟件重大缺陷,建立主動防御為主、結合現有反病毒技術的綜合防范體系,實現反病毒技術的革命性飛躍和反病毒產業的升級,是全球反病毒領域共同面臨的巨大挑戰,具有極現實的信息安全急迫性。
