滞后杀毒严重制约反病毒产业进步 走病毒主动防御之路并非天方夜谭
长期以来,人们把杀毒软件作为最主要的反病毒工具,杀毒软件几乎成了所有反病毒产品的代名词,杀毒软件赖以生存的“特征值扫描技术”也几乎成了所有反病毒技术的代名词。正因为如此,杀毒软件对新病毒的防范始终滞后于病毒出现的重大缺陷,似乎成为既合情又合理的反病毒逻辑,导致人们普遍认为反病毒产品不可能主动防御新病毒,甚至有些人认为,想研制一种主动防御的反病毒产品,就如同要为一种未知的疾病制作特效药一样异想天开。反病毒思想和反病毒技术的当前思维模式究竟能否实现突破,病毒主动防御之路是否能走得通?“国家八六三计划反计算机入侵和防病毒研究中心”专家委员会专家刘旭日前就业界关注和探讨的焦点问题接受了记者采访。
焦点一:人能否发现新病毒?<
杀毒软件本身基本上不能发现新病毒,是众所周知的客观事实。但是,人能否发现新病毒呢?刘旭首先提出了这个容易被忽视的简单而至关重要的问题。如果人不能发现新病毒,同为自然人的反病毒公司研发人员也就不可能发现新病毒,由此带来的问题是,杀毒软件每天升级的是什么,反病毒公司每次宣称发现的新病毒又是谁来发现的?
回答是肯定的,人可以发现新病毒。新病毒一定是人通过相应的方法判断出来的。
焦点二:反病毒公司是如何判断新病毒的?
刘旭介绍,从上个世纪八十年代病毒出现后,反病毒技术就有两种思路,一种是采用静态扫描方式,即特征值扫描技术,另一种采用动态分析方法。
特征值扫描是目前国际上反病毒公司普遍采用的查毒技术。其核心是从病毒体中提取病毒特征值构成病毒特征库,杀毒软件将用户计算机中的文件或程序等目标,与病毒特征库中的特征值逐一比对,判断该目标是否被病毒感染。该技术要求从病毒体中提取病毒特征值,所以只有等到新病毒出现后,才有可能获得病毒体,并针对它进行单独处理。这种方法的固有缺陷是,对新病毒的防范始终滞后于病毒的出现。反病毒公司把捕获到并已处理的病毒称为已知病毒,否则就称为未知病毒。只有采用特征值扫描技术时,才区分已知和未知病毒。
刘旭针对业界常常有人用人类病毒的医治来解释计算机病毒防范的现象指出,与生物界的病毒复杂性不同,计算机病毒是人编写的,它远比生物界的病毒简单的多。计算机病毒概念是人依据程序行为来定义的,因此识别病毒的另一种方法是采用动态分析,直接通过程序的行为判断它是否是病毒。即根据程序的行为是否符合病毒定义做出判断,如果符合就是病毒,不符合就不是病毒。
刘旭介绍,尽管杀毒软件主要采用静态扫描方式,但是反病毒公司发现新病毒并不是采用静态扫描方式,而恰恰是采用动态分析方法。即便是反病毒公司收集到可疑程序时,也不能确定是不是新病毒,为了做出准确判断,必须先运行可疑程序,然后再根据程序的行为判断是否是病毒。
以MSN蠕虫病毒为例,此类病毒通过为数不多的几种方法在MSN上传播,其中一种是病毒完全自动模拟人使用MSN发送文件的过程,通过指挥键盘或鼠标,直接向MSN其他用户发送文件,完成病毒传播。病毒的具体传播流程为:用户接收并打开病毒文件→未经用户允许,病毒自动点击“发送文件”按钮→弹出“发送文件给某某”窗口→自动选择要传输的病毒文件→自动点击“打开”按钮→病毒文件自动发送给其他用户。这个过程是自动完成的,窗口一闪而过,用户通常看不清楚。
当用户使用MSN时,如出现上述自动文件发送过程,则可以认定刚刚接收并打开的这个文件,必定是病毒假冒朋友身份发来的MSN蠕虫病毒。今年2月3日,“性感烧鸡”就是采用这种方式传播的MSN蠕虫病毒。不仅反病毒公司的技术人员,甚至普通用户也可以根据这种现象判断出这类病毒。
焦点三:人工识别新病毒到底有多难?
在回答此问题前,刘旭阐述了反病毒领域从未向业界公开过的并不神秘的“神秘”——虽然病毒越来越多,但真正有创意的、技术上有突破的病毒很少,不到总数的1%。而且这类病毒通常是概念病毒,一般破坏性不大。绝大多数病毒都是模仿其它病毒编写的,这些病毒的传播、感染、加载、破坏等行为特点都可以从已经存在的病毒找到,一个计算机本科毕业生经过短期培训,通常都可胜任人工识别这类新病毒的工作。因此人工识别绝大多数新病毒,并不是一件很难的事,刘旭如此简单的陈述了自己的观点。
焦点四:实现病毒主动防御是否可行?
这位有着多年反病毒实践,被业界称为反病毒产品一面旗帜,主持开发的杀毒软件先后列入国家科技成果项目和国家重点新产品项目的专家,在深入反思国际国内反病毒领域的反病毒思想和反病毒技术的当前思维模式后指出,将现有病毒的行为进行分析、归纳、总结,通过对反病毒专家分析判断新病毒的经验科学提炼,实现软件自动识别病毒是可行的。
例如,我们定义这样一条病毒判断规则:如果MSN接收的某个文件运行后,模拟键盘或鼠标动作,自动点击MSN的“发送文件”命令,把它或它的生成物自动发送给其他MSN联系人,则这个文件就是MSN蠕虫病毒。
此规则可用于发现“性感烧鸡”MSN蠕虫病毒,以及所有采用这种传播方式的MSN蠕虫病毒,而不论该病毒是什么时候编的,也不论是已知的还是未知的
刘旭指出,十多年来,反病毒技术的研究主要禁锢于特征值扫描法,很少对病毒主动防御技术进行深入探讨和研究。从反病毒领域的实践和计算机技术的发展趋势可以看出,开发病毒主动防御系统不仅是可能的,而且是可行的。因此,跳出传统技术路线,尽快研制以行为自动监控、行为自动分析、行为自动诊断为新思路的主动防御型产品,从根本上克服杀毒软件重大缺陷,建立主动防御为主、结合现有反病毒技术的综合防范体系,实现反病毒技术的革命性飞跃和反病毒产业的升级,是全球反病毒领域共同面临的巨大挑战,具有极现实的信息安全急迫性。