主动防御与被动杀毒的技术较量

  • 来源:中国计算机报
  • 关键字:主动,防御,杀毒,技术
  • 发布时间:2011-04-27 14:42
  ■ 北京东方微点信息技术有限责任公司技术总监 周福军

  近两年来,随着“网游大盗”、“熊猫烧香”、“德芙”、“QQ木马”和“灰鸽子”等以盗取用户密码账号、个人隐私、商业秘密、网络财产、窃取机密为目的的木马病毒日益猖獗,一个包含黑客培训、病毒制作、病毒加工、病毒贩卖、窃取信息等分工明确的灰色产业链,正严重危害着计算机用户的安全,传统杀毒软件固有的滞后被动防范病毒的缺陷再次暴露无遗,让全球反病毒产业不得不寻求防御思路的变革。

  几乎所有的计算机都配置了杀毒软件,但面临的病毒攻击却越来越猖獗。尽快实现反病毒技术的根本性变革,不仅是全球反病毒产业的共同课题和新的竞争焦点,更是计算机用户的迫切需求。而主动防御的出现,恰好解决了目前网络安全的需求。颠覆了传统杀毒软件采用病毒特征码识别病毒的反病毒理念,实现了对未知木马和新病毒的主动防御,消除了杀毒软件无法防杀不断出现的未知木马和新病毒的弊端。

  杀毒软件对抗病毒处于被动防御状态

  杀毒软件识别病毒的核心技术是特征码扫描技术;从病毒体中提取病毒特征值构成病毒特征码库,反病毒软件将用户计算机中的文件或程序等目标,与病毒特征码库中的特征值逐一比对,判断该目标是否是病毒或者被病毒感染。

  杀毒软件通过特征码的方式进行病毒扫描,可以很好地识别已知木马、病毒,并进行有效清除。但是这种效果的好坏却依赖于病毒样本的收集,而用户如果不提交相关的样本文件,那杀毒软件公司则无法对该病毒进行查杀。

  目前黑客具有多种手法来躲避杀毒软件的查杀,而杀毒软件在不升级的情况下就没有办法检测出新病毒、新木马,同时也没有办法检测经过免杀处理的老病毒。而基于这样的现状,很多用户都是在中毒后给相关反病毒公司提交样本,等反病毒公司分析确认并且升级后,用户再来扫描杀毒,而没有在病毒危害前进行拦截阻止。很明显,这种先中毒,后杀毒的方式是不可取的,而病毒造成的损失是无法挽救的。

  传统反病毒技术“出现病毒—收集病毒—分析病毒—升级病毒库”处理模式,尽管能够较好防范已知病毒,用户仍面临大量反病毒公司还未收集到的病毒以及每天数以万计新病毒的威胁,用户的信息安全得不到有效保障。

  杀毒软件的出现是为了消灭病毒,而病毒制造者为了自身获取更多的利益,他们就必须使用某些技术对抗杀毒软件,使得自身具有较长的活动周期,降低病毒自身的损失率。以前大规模爆发的熊猫烧香、现在的各种隐蔽性病毒木马都采用了各种不同的技术,与杀毒软件进行对抗。而它们的这种技术对抗,恰好攻击了杀毒软件的弱点,使得杀毒软件永远处于被动防御状态。

  实现对木马病毒的主动防御

  木马病毒是由反病毒工程师分析判定,而反病毒工程师通过分析程序行为而准确判定一个程序是否是病毒,那么能否将反病毒工程师分析判断木马病毒的过程自动化、程序化、软件化,让计算机直接依据程序行为,完成自主分析判断未知木马和病毒,这样既可以降低对木马病毒样本的依赖程度,同时,又可以改变木马病毒被动防御现状,实现主动防御。

  北京东方微点信息技术有限责任公司于2005年自主研发具有完全自主知识产权的微点主动防御软件,在国际上首次实现了主动防御技术体系,直接将程序行为作为分析判断木马和病毒的依据,并依此确立了反病毒技术新标准,实现了对木马和病毒的主动防御,改变了当前杀毒软件被动防御现状。

  “熊猫烧香”病毒是一种蠕虫病毒,在2006年10月至2007年2月期间,造成全国数百万台计算机被感染并遭受破坏。为了躲避杀毒软件查杀,病毒编写者每天多次更新修改“熊猫烧香”病毒程序,先后共编写并传播了数百种“熊猫烧香”病毒。病毒编写者甚至还在病毒中留言,公开挑战反病毒公司,展开了一场与反病毒公司之间的激烈较量。

  这场残酷的较量中,微点主动防御软件经受住了“熊猫烧香”病毒的严峻考验。当时,微点主动防御软件是国际为数不多且无需升级即可防范“熊猫烧香”病毒的反病毒产品。使用微点主动防御软件的百万用户无一被病毒感染,即使没有升过级的微点主动防御软件2005年版本,同样可以实现对“熊猫烧香”所有变种病毒的准确报毒和自动清除,充分体现了微点主动防御技术的先进性。

  主动防御体系结构主要由实时监控系统、反病毒专家分析判断系统、恶意程序处理系统三大系统组成。主动防御的体系结构就好比具有很强反扒能力的警察,实时监控系统就是警察的眼睛,负责监控周围的环境和人的一举一动;反病毒专家分析判断系统就好比警察的大脑,负责将眼睛看到的环境和人的一举一动联系起来,并结合自己判断盗窃者的经验进行分析判断;恶意程序处理系统就好比警察的手和脚,根据反病毒专家分析判断系统的通知做出相应的处理动作。

  实时监控系统

  实时监控系统是主动防御的眼睛,负责监控电脑中所有运行程序的行为,并将监控的信息发送给反病毒专家分析判断系统进行分析。

  实时监控系统由遍布操作系统的众多探针组成,这些探针通过监控应用编程接口(API),记录程序的每个动作,并将程序的每一个动作提交给反病毒专家分析判断系统进行分析判断。

  通俗地讲,探针就好比监控摄像头,实时监控系统就好比在家里部署监控摄像头一样。比如:在门口、窗户、存放贵重物品的箱柜等重要位置部署监控摄像头,这样就可以记录哪些人进出大门、窗户,以及打开存放贵重物品的箱柜,是否取出贵重物品。

  反病毒专家分析判断系统

  反病毒专家分析判断系统是主动防御的大脑,由恶意程序行为识别规则知识库、正常程序行为识别规则知识库、程序行为逻辑分析判断模块组成。

  反病毒专家系统根据实时监控系统提交的运行程序的动作,结合恶意程序行为识别规则知识库和正常程序行为识别规则知识库,由程序行为逻辑分析判断模块对程序进行自主分析判断。如果判定程序行为符合木马和病毒的定义,确定该程序是木马、病毒,同时阻断木马、病毒对电脑的侵害,并通知处理系统自动清除病毒。

  程序行为逻辑分析判断模块是反病毒专家分析判断病毒的逻辑思维过程,是通过程序代码来实现的。程序行为逻辑分析判断模块将程序的一系列动作通过逻辑关系分析组成有意义的行为,分析这种行为是否符合病毒的定义,如果符合病毒的定义即判定为病毒。仅仅凭借程序单一动作无法判断最终的目的,只有将一系列动作通过逻辑关系分析组成有意义的行为,才能判断程序的目的。

  恶意程序处理系统

  恶意程序处理系统是主动防御的手和脚。恶意程序处理系统接到反病毒专家分析判断系统的通知后,自动完成对木马、病毒的清除工作。

  主动防御技术的核心思路是,由具备仿真反病毒专家系统的主动防御软件,在用户计算机上自动分析程序行为,自主识别、明确报出并自动清除病毒。

  程序行为逻辑分析判断模块是反病毒专家分析判断病毒的逻辑思维过程,是通过程序代码来实现的。程序行为逻辑分析判断模块将程序的一系列动作通过逻辑关系分析组成有意义的行为,分析这种行为是否符合病毒的定义,如果符合病毒的定义即判定为病毒。仅仅凭借程序单一动作无法判断最终的目的,只有将一系列动作通过逻辑关系分析组成有意义的行为,才能判断程序的目的。

  恶意程序处理系统

  恶意程序处理系统是主动防御的手和脚。恶意程序处理系统接到反病毒专家分析判断系统的通知后,自动完成对木马、病毒的清除工作。
……
关注读览天下微信, 100万篇深度好文, 等你来看……
阅读完整内容请先登录:
帐户:
密码: