|
欢迎进入反病毒社区论坛,与技术人员互动交流进入
在近日举办的赛门铁克VISION 2007用户大会上,来自Yankee Group研究机构的安全专家Andrew Jaquith语出惊人。他认为杀毒软件将无法有效地处理日益增多的恶意程序,并预言未来杀毒软件将走向末路。对于这一说法,业界颇有微词,甚至认为是无稽之谈。
业界众多人士分析认为,无论是从计算机 病毒的发展历史和趋势来看,还是从目前奋战在一线的国内外杀毒软件厂商的战果及战略布局来看,这一场反计算机 病毒的持久战仍未分出胜负,并且他们相信,“正义”终将战胜“邪恶”。 《2007年上半年中国电脑 病毒疫情及互联网 安全报告》统计,今年上半年,全国感染 病毒的计算机超过759万台,与去年同期相比增长了12.2%。毫无疑问,有计算机 病毒这个“恶魔”潜伏在身边,计算机业界的 安全问题日趋严峻。 “新 病毒层出不穷、 病毒频繁变种和 病毒传播途径的多样化是计算机 病毒传播的新特征。目前杀毒软件厂商的技术人员面临的任务之艰巨、问题之多前所未有。”江民科技总裁陶新宇指出,在我国,反计算机 病毒的斗争至今已持续了10余年,但随着互联网的发展和普及,计算机 病毒已从数百种增加到数十万种, 病毒类型更是五花八门。近年来,木马、蠕虫、黑客后门、恶意程序、间谍软件、广告软件等各种各样的新形式层出不穷,更是给电脑用户带来了前所未有的 安全威胁。 更令人痛恨的是, 病毒对抗杀毒软件的能力也在不断提升。比如 病毒可以取得系统优先权限,保护自身不被杀毒软件删除;使用ROOTKIT隐藏技术,把自身的所有行踪隐藏起来,逃避杀毒软件追杀; 病毒通过与注册表关联技术,以及插入正常的进程和线程,让杀毒软件查杀起来更困难; 病毒还可以模拟用户发送关闭杀毒软件指令应对杀毒软件。 “当前威胁信息 安全环境的主要特征是数据窃取、数据泄漏和为了获利而以特定组织为目标进行攻击所创造的恶意代码不断增加。”赛门铁克大中国区副总裁吴锡源指出,攻击者不断改进攻击方法,逃避检测,进而建立全球性的协作 网络,支持持续增长的 网络犯罪活动。 网络犯罪者以获利为目的,不断开发目的性更强的恶意威胁代码,试图在窃取机密信息时逃避检测。 赛门铁克预测,未来网页仿冒现象将有所发展,网页仿冒者将会扩大目标,瞄准新兴行业领域,例如多人在线游戏。并且,移动平台上的短信(SMS)和彩信(MMS)将会逐渐成为垃圾邮件和网页仿冒者攻击的目标。此外,随着软件虚拟化使用的不断增加,会出现新的攻击形式,虚拟环境可能成为威胁主机系统的一种方式。
“正义”之剑出鞘
“计算机 病毒有时就像火山一样,虽然暂时休眠,但随时可能爆发。”中国软件行业协会理事长陈冲认为,扼杀洪水猛兽般的计算机 病毒,对于业界来说是一个很大的挑战。“兵来将挡,水来土掩”,在技术层面,反 病毒技术正在与各种各样的 病毒技术一一过招;在产业层面,企业在跑马圈地的同时,也在不断地调整其市场策略。 针对计算机 病毒自身保护以及对抗杀毒软件的新特点,江民科技先后研发出BOOTSCAN杀毒技术、未知 病毒主动 防御技术、系统监测网页滤毒技术、U盘杀毒、手机杀毒等数十项技术和产品,填补了我国杀毒软件领域的多项技术空白。瑞星是在国内率先建立起综合性、立体化 安全防护体系的厂商,其杀毒软件一直包含杀毒软件和 防火墙两大部分,其中杀毒软件部分还有查杀木马、间谍软件等功能。趋势科技则把新型 网络信誉技术融入到产品中,通过增加 网络安全等级和先进的反间谍技术加强对 网络威胁的 防御。 “面对日益严峻的 网络安全形势, 杀毒软件厂商也在不断以变应变,比较明显的特征是通过整合和并购全面发展。”赛迪顾问软件产业研究中心分析师张曦认为,目前国内杀毒市场已经由国内三强之争演化到中外杀毒软件厂商之争。此外, 安全厂商之间的强强合作比较引人注目。比如不久前赛门铁克与Juniper Networks公司宣布建立合作伙伴关系,双方将在Juniper公司的 网络设备上加入赛门铁克的更多技术;思科和微软联合发布了新构架,使双方的 安全技术平台能够兼容,企业用户可以同时使用思科的 网络准入控制和微软的 网络访问保护 安全构架。 事实上,反计算机 病毒不仅仅是技术和产业层面努力的问题,政府的强力监管必不可少。“国家的立法应跟进信息 安全的发展形势,必须与互联网的发展接轨。”金山软件副总裁葛柯表示,早期制作 病毒的人基本没有商业性目的,而是以炫耀自己的技术为主,而现在 病毒大多与商业利益挂钩,其危害性和破坏性越来越大,而且规模不断扩大,已经形成了一个产业。一些人通过 病毒窃取计算机用户的商业资料或者虚拟财产, 病毒制作者、盗号者、卖家等形成一条黑色产业链。因此,仅仅从反 病毒技术的角度查杀计算机 病毒不是治本的办法,为阻止互联网犯罪引发的危害进一步扩大,国家立法要与时俱进,彰显其威慑力和保障力。 据专家介绍,现有的杀毒软件通过从 病毒体中提取 病毒特征值构成 病毒特征库,对计算机中的文件或程序等目标逐一进行特征值比对,以判断计算机是否被 病毒感染。只有发现并捕获到新 病毒后,杀毒软件才有可能从 病毒体中提取其特征值。 张曦认为,这种特征值扫描技术决定了杀毒软件的滞后性,使用户不能对 网络新 病毒及时 防御。 网络病毒的频频爆发,使国内外反计算机 病毒领域意识到,杀毒软件赖以生存的事后“补丁”式技术越来越被动。 病毒主动 防御技术已经成为杀毒软件的发展趋势和全球反计算机 病毒研究的新方向。 “所有的杀毒软件厂商采用的技术都是一种被动式的 防御,但目前我们都在探索一些新的技术。”葛柯表示, 病毒主动 防御技术是今后杀毒软件厂商的研究重点,尽管从目前来看,杀毒软件厂商主要以识别特征码的形式查杀 病毒,但杀毒软件厂商正在投入大量的人力、物力和财力研究 病毒主动 防御技术,并在相关产品中融合了这一技术。 清华大学 网络与信息 安全研究室主任段海新认为,在目前的 网络环境下, 病毒以各种各样的形态出现,只要编写 病毒的黑客不停地改变攻击方法,杀毒软件厂商就不可能做到“以不变应万变”。“魔高一尺,道高一丈”,攻击与防范之间的搏杀不会停止。由于 病毒防范技术大多是被动式 防御,落后于 病毒攻击技术,如果杀毒软件能够从 病毒动态行为阻断方面加强研究,主动出击,就能更好地适应 病毒形态的多变性并加以防范。 据了解, 病毒主动 防御技术主要是针对未知 病毒提出的 病毒防杀技术,其主要实现方式是通过 病毒的行为特征来判别其是否为 病毒,而不再是传统的依赖 病毒代码的发现。张曦认为,应该明确的是, 病毒主动 防御技术只是众多的 安全防范技术之一,并不能完全取代传统的特征码查杀技术。因此,不能依赖一种技术解决所有的 安全问题。正确的办法是,坚持国家关于信息 安全方面的大政方针,“积极 防御、综合防范”。
|
