主動預防電腦病毒介紹
近日,反病毒領域展開的反病毒產業發展趨勢大討論引起了各方關注。下面由小編給你做出詳細的!希望對你有幫助!歡迎回訪網站,謝謝!
:
一方面,防毒軟體廠商承認當前反病毒技術落後於病毒是不爭的事實,另一方面,又用病後就醫的邏輯解釋傳統的滯後防毒方法。那麼,主動防禦新病毒的道路究竟是否可行?反病毒領域能否實現重大突破?
長期以來,人們把防毒軟體作為最主要的反病毒工具,防毒軟體幾乎成了所有反病毒產品的代名詞,防毒軟體賴以生存的“特徵值掃描技術”也幾乎成了所有反病毒技術的代名詞。正因如此,防毒軟體對新病毒的防範始終滯後於病毒出現的重大缺陷,似乎成為既合情又合理的邏輯,導致人們普遍認為反病毒產品不可能主動防禦新病毒,甚至有人認為,想研製一種主動防禦的反病毒產品,就如同要為一種未知的疾病製作特效藥一樣異想天開。
焦點一:人能否發現新病毒
防毒軟體本身基本上不能發現新病毒,是眾所周知的客觀事實。但是,如果人不能發現新病毒,同為自然人的反病毒公司研發人員也就不可能發現新病毒,由此帶來的問題是,防毒軟體每天升級的是什麼,反病毒公司每次宣稱發現的新病毒又是誰來發現的?回答是肯定的,人可以發現新病毒。新病毒一定是人通過相應的方法判斷出來的。
焦點二:人如何判斷新病毒
從上個世紀八十年代病毒出現後,反病毒技術就有兩種思路,一種是採用靜態掃描方式,即特徵值掃描技術,另一種採用動態分析方法。特徵值掃描是目前國際上反病毒公司普遍採用的查毒技術。其核心是從病毒體中提取病毒特徵值構成病毒特徵庫,防毒軟體將使用者計算機中的檔案或程式等目標,與病毒特徵庫中的特徵值逐一比對,判斷該目標是否被病毒感染。反病毒公司把捕獲到並已處理的病毒稱為已知病毒,否則就稱為未知病毒。只有採用特徵值掃描技術時,才區分已知和未知病毒。
業界常常有人用人類病毒的醫治來解釋計算機病毒防範。然而,與生物界的病毒複雜性不同,計算機病毒是人編寫的,遠比生物界的病毒簡單。計算機病毒概念是人依據程式行為來定義的,因此識別病毒的另一種方法是採用動態分析,直接通過程式的行為判斷它是否是病毒。
儘管防毒軟體主要採用靜態掃描方式,但是反病毒公司發現新病毒並不是採用靜態掃描方式,而恰恰是採用動態分析方法。即便是反病毒公司收集到可疑程式時,也不能確定是不是新病毒,為了做出準確判斷,必須先執行可疑程式,然後再根據程式的行為判斷是否是病毒。
焦點三:識別新病毒有多難
反病毒領域從未向業界公開過一個“祕密”——雖然病毒越來越多,但真正有創意的、技術上有突破的病毒很少,不到總數的1%.而且這類病毒通常是概念病毒,一般破壞性不大。絕大多數病毒都是模仿其他病毒編寫的,這些病毒的傳播、感染、載入、破壞等行為特點都可以從已經存在的病毒找到,一個計算機本科畢業生經過短期培訓,通常都可勝任人工識別這類新病毒的工作。因此人工識別絕大多數新病毒,並不是一件很難的事。
焦點四:病毒主動防禦是否可行
在反思國際國內反病毒領域的思維模式的基礎上,筆者認為,將現有病毒的行為進行分析、歸納、總結,通過對反病毒專家分析判斷新病毒的經驗科學提煉,實現軟體自動識別病毒是可行的。
例如,我們定義這樣一條病毒判斷規則:如果MSN接收的某個檔案執行後,模擬鍵盤或滑鼠動作,自動點選MSN的“傳送檔案”命令,把它或它的生成物自動傳送給其他MSN聯絡人,則這個檔案就是MSN蠕蟲病毒。
此規則可用於發現“性感燒雞”MSN蠕蟲病毒,以及所有采用這種傳播方式的MSN蠕蟲病毒,而不論該病毒是什麼時候編的,也不論是已知的還是未知的。
十多年來,反病毒技術的研究主要禁錮於特徵值掃描法,很少對病毒主動防禦技術進行深入的探討和研究。從反病毒領域的實踐和計算機技術的發展趨勢可以看出,開發病毒主動防禦系統不僅是可能的,而且是可行的。因此,跳出傳統技術路線,儘快研製以行為自動監控、行為自動分析、行為自動診斷為新思路的主動防禦型產品,從根本上克服現有防毒軟體的重大缺陷,建立主動防禦為主、結合現有反病毒技術的綜合防範體系,實現反病毒技術的革命性飛躍和反病毒產業的升級,是全球反病毒領域共同面臨的巨大挑戰,具有極現實的資訊保安急迫性。
”人還: