扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:佚名 来源:电脑报 2008年10月7日
关键字:
2008年9月24日,国家863计划“基于程序行为自主分析判断的实时防护技术”课题组在京召开了“病毒现状与国际病毒防御技术最新发展趋势”高端研讨会,就日益复杂的信息安全领域未来的发展方向进行深入探讨。会议结束后,记者有幸采访到了该课题组组长、主动防御概念的首创者——著名反病毒专家刘旭先生。
对话人:电脑报社副总编 张晓明
对话人:微点总经理 刘旭
云安全不是万能
电脑报:安全厂商们都认识到了现有的运作模式无法应对日益复杂的病毒形势,在云安全、虚拟机、启发式等方面寻找突破口。您认为云安全或其他几种技术是否会成为下一代防毒系统的主导?云安全在技术层面的可操作性如何?
刘旭:云安全是从云计算的概念中衍生而来。对于云安全,我想有几个问题必须要提出来:
目前基于云安全的操作思路主要有两种:第一种思路是将“云”作为新病毒恶意代码的二度搜集和被动响应处理的系统。搜集病毒主要借助于安装在用户端的一种搜集器,一旦发现异常便汇报给服务器。这种方式确实能够起到一定的作用,收集的效率也明显优于现有模式。但是从用户端后台搜集信息,个人隐私的保护是个不可回避的问题。用户觉得不安全,很有可能就不愿意配合。再者服务器收集到的数以亿计的数据如何处理?人工方式显然不能胜任。如果采用机器自动识别病毒,那为何不把这个环节放在用户端,而是舍近求远放在遥远的云端?
第二种思路是将特征库放在云端,用户只要链接到服务器便可共享查杀服务。这种方案解决了日后海量的病毒库在个人电脑更新存储的难题。但目前优势并不明显,因为从现在的状况来看,每天更新的特征码直接下载到用户端还是很快的,没有必要放在云端。另外对不能联结互联网的计算机,云安全就可能形同虚设。
根据以上的分析,我认为云安全目前还只是概念,它仍然没有回答最重要的问题——如何自动识别新病毒。遇到一个新病毒,不管你的病毒库是放在本机上,还是放在云上,都需要进行有效的判定与查杀。所以,在更多细节与构思被提出之前,云安全尚不能成为治本的安全防护方案,更不是信息安全领域的救世主。
虚拟机与启发式应用已经很长时间了,不能算是下一代防毒技术。其中虚拟机技术在对付加壳病毒较为有效,“刺破”外壳后根据原有的病毒特征值进行判断并查杀,但对去壳之后病毒库没有样本的病毒束手无策。启发式则是收集病毒的广谱特征,根据“DNA”来判断族群病毒,达到查杀的目的。但对形式灵活的木马查杀效果并不理想。虚拟机和启发式主要还是使用特征值分析,并没有摆脱传统杀毒模式的套路。目前流行的免杀技术都可以使其失效。
主动防御是大势所趋
电脑报:在下一代防范病毒的技术中,主动防御占据怎样的位置?主动防御是否已经成为安全厂商的救命稻草?
刘旭:说到下一代技术,顺便提一下之前我国安全行业经历了两个阶段。
第一个阶段是91-95年的防病毒卡阶段,借助PCI扩展槽添加硬体防毒设备,通过程序行为分析的方式解决DOS下的病毒。随着Windows 95的出现慢慢被人们废弃。
第二个阶段是94年至今的传统杀毒软件时代,从用户上传可疑程序中获取病毒特征,升级病毒库对旧有病毒起到防范作用。随着呈几何式增长的新病毒数量,这种模式也已经走到了尽头。
即将到来的第三个阶段我认为将是主动防御阶段,结合防病毒卡的行为分析手段与传统杀软的特征码识别,以行为分析判断为主,以特征码识别为辅,以静制动,达到防范效果。从微点主动防御软件来看,已经可以识别并清除99%以上的未知病毒。这一点,是当前杀毒软件望尘莫及的。
目前,国际上的麦咖啡、诺顿,国内的瑞星等安全厂商都在积极推广旗下的所谓的主动防御产品。但在我看来,这些产品还处于概念阶段。举一个很常见的例子,在使用某款号称具有主动防御功能的产品时,经常会遇到“有程序正在向您的计算机设置全局挂钩,是否允许”之类的提示,什么叫全局挂钩?一般用户可能不理解,也就无从选择。用户使用杀毒软件,就是将杀毒防毒的工作交给软件,现在反而要自己进行判断,这是不合理,更是不负责任的。所以现在的杀毒软件越来越像“高手”专用的,表面上是易用性和亲民性不足,实际上是这些安全软件还没有真正成熟的主动防御技术。仅对单一程序动作报警,而没有对程序动作进行关联分析,并不是真正的主动防御产品。而微点的安全产品对程序的一系列动作通过逻辑关系分析组成有意义的行为,再结合应用病毒识别规则知识,实现对病毒的自主识别,明确报出、自动清除,让安全软件更加易用,这也有赖于深层技术的支持与保障。
微点的主动防御技术是国家863计划中的重点课题,并已经取得销售许可证。技术和产品上均比较成熟和完善。我们的用户群也在稳步增长,据不完全统计,目前注册用户已经超过700万。软件推出的两个月以来,销量也在节节攀升。相信在微点的推动下,将有越来越多的用户,认可和支持主动防御技术,并因此等到安全保障的实惠,安全领域的主动防御时代正在来临。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。