反计算机病毒 一场持久的战争
来源:中国高新技术产业导报 更新时间:2007-08-01

 编者按:今年是计算机病毒的25周岁,但这并不是一件让人愉快的事情。近年来,互联网安全环境日益严峻。科技在发展,病毒也在不断演变,病毒的破坏力不仅给业界和用户带来无尽的烦恼,而且对国家信息安全构成了严重威胁。今年上半年,计算机病毒异常活跃,木马、蠕虫、黑客后门等轮番攻击互联网,从熊猫烧香、灰鸽子到艾妮、AV终结者,重大恶性病毒频繁发作,危害程度也在逐步加大,而此时的杀毒软件却显得应对乏力。如何准确地把握反计算机病毒的发展趋势,在与计算机病毒的斗争中占得上风,为信息安全保驾护航?业界专家及杀毒软件厂商在思索、在行动。

  在近日举办的赛门铁克VISION 2007用户大会上,来自Yankee Group研究机构的安全专家Andrew Jaquith语出惊人。他认为杀毒软件将无法有效地处理日益增多的恶意程序,并预言未来杀毒软件将走向末路。对于这一说法,业界颇有微词,甚至认为是无稽之谈。

  业界众多人士分析认为,无论是从计算机病毒的发展历史和趋势来看,还是从目前奋战在一线的国内外杀毒软件厂商的战果及战略布局来看,这一场反计算机病毒的持久战仍未分出胜负,并且他们相信,“正义”终将战胜“邪恶”。

  “邪恶”病毒肆虐

  《2007年上半年中国电脑病毒疫情及互联网安全报告》统计,今年上半年,全国感染病毒的计算机超过759万台,与去年同期相比增长了12.2%。毫无疑问,有计算机病毒这个“恶魔”潜伏在身边,计算机业界的安全问题日趋严峻。

  “新病毒层出不穷、病毒频繁变种和病毒传播途径的多样化是计算机病毒传播的新特征。目前杀毒软件厂商的技术人员面临的任务之艰巨、问题之多前所未有。”江民科技总裁陶新宇指出,在我国,反计算机病毒的斗争至今已持续了10余年,但随着互联网的发展和普及,计算机病毒已从数百种增加到数十万种,病毒类型更是五花八门。近年来,木马、蠕虫、黑客后门、恶意程序、间谍软件、广告软件等各种各样的新形式层出不穷,更是给电脑用户带来了前所未有的安全威胁。

  更令人痛恨的是,病毒对抗杀毒软件的能力也在不断提升。比如病毒可以取得系统优先权限,保护自身不被杀毒软件删除;使用ROOTKIT隐藏技术,把自身的所有行踪隐藏起来,逃避杀毒软件追杀;病毒通过与注册表关联技术,以及插入正常的进程和线程,让杀毒软件查杀起来更困难;病毒还可以模拟用户发送关闭杀毒软件指令应对杀毒软件。

  “当前威胁信息安全环境的主要特征是数据窃取、数据泄漏和为了获利而以特定组织为目标进行攻击所创造的恶意代码不断增加。”赛门铁克大中国区副总裁吴锡源指出,攻击者不断改进攻击方法,逃避检测,进而建立全球性的协作网络,支持持续增长的网络犯罪活动。网络犯罪者以获利为目的,不断开发目的性更强的恶意威胁代码,试图在窃取机密信息时逃避检测。

  赛门铁克预测,未来网页仿冒现象将有所发展,网页仿冒者将会扩大目标,瞄准新兴行业领域,例如多人在线游戏。并且,移动平台上的短信(SMS)和彩信(MMS)将会逐渐成为垃圾邮件和网页仿冒者攻击的目标。此外,随着软件虚拟化使用的不断增加,会出现新的攻击形式,虚拟环境可能成为威胁主机系统的一种方式。

  “正义”之剑出鞘

  “计算机病毒有时就像火山一样,虽然暂时休眠,但随时可能爆发。”中国软件行业协会理事长陈冲认为,扼杀洪水猛兽般的计算机病毒,对于业界来说是一个很大的挑战。“兵来将挡,水来土掩”,在技术层面,反病毒技术正在与各种各样的病毒技术一一过招;在产业层面,企业在跑马圈地的同时,也在不断地调整其市场策略。

  针对计算机病毒自身保护以及对抗杀毒软件的新特点,江民科技先后研发出BOOTSCAN杀毒技术、未知病毒主动防御技术、系统监测网页滤毒技术、U盘杀毒、手机杀毒等数十项技术和产品,填补了我国杀毒软件领域的多项技术空白。瑞星是在国内率先建立起综合性、立体化安全防护体系的厂商,其杀毒软件一直包含杀毒软件和防火墙两大部分,其中杀毒软件部分还有查杀木马、间谍软件等功能。趋势科技则把新型网络信誉技术融入到产品中,通过增加网络安全等级和先进的反间谍技术加强对网络威胁的防御。

  “面对日益严峻的网络安全形势, 杀毒软件厂商也在不断以变应变,比较明显的特征是通过整合和并购全面发展。”赛迪顾问软件产业研究中心分析师张曦认为,目前国内杀毒市场已经由国内三强之争演化到中外杀毒软件厂商之争。此外,安全厂商之间的强强合作比较引人注目。比如不久前赛门铁克与Juniper Networks公司宣布建立合作伙伴关系,双方将在Juniper公司的网络设备上加入赛门铁克的更多技术;思科和微软联合发布了新构架,使双方的安全技术平台能够兼容,企业用户可以同时使用思科的网络准入控制和微软的网络访问保护安全构架。

  事实上,反计算机病毒不仅仅是技术和产业层面努力的问题,政府的强力监管必不可少。“国家的立法应跟进信息安全的发展形势,必须与互联网的发展接轨。”金山软件副总裁葛柯表示,早期制作病毒的人基本没有商业性目的,而是以炫耀自己的技术为主,而现在病毒大多与商业利益挂钩,其危害性和破坏性越来越大,而且规模不断扩大,已经形成了一个产业。一些人通过病毒窃取计算机用户的商业资料或者虚拟财产,病毒制作者、盗号者、卖家等形成一条黑色产业链。因此,仅仅从反病毒技术的角度查杀计算机病毒不是治本的办法,为阻止互联网犯罪引发的危害进一步扩大,国家立法要与时俱进,彰显其威慑力和保障力。

  主动防御决胜

  据专家介绍,现有的杀毒软件通过从病毒体中提取病毒特征值构成病毒特征库,对计算机中的文件或程序等目标逐一进行特征值比对,以判断计算机是否被病毒感染。只有发现并捕获到新病毒后,杀毒软件才有可能从病毒体中提取其特征值。

  张曦认为,这种特征值扫描技术决定了杀毒软件的滞后性,使用户不能对网络新病毒及时防御。网络病毒的频频爆发,使国内外反计算机病毒领域意识到,杀毒软件赖以生存的事后“补丁”式技术越来越被动。病毒主动防御技术已经成为杀毒软件的发展趋势和全球反计算机病毒研究的新方向。

  “所有的杀毒软件厂商采用的技术都是一种被动式的防御,但目前我们都在探索一些新的技术。”葛柯表示,病毒主动防御技术是今后杀毒软件厂商的研究重点,尽管从目前来看,杀毒软件厂商主要以识别特征码的形式查杀病毒,但杀毒软件厂商正在投入大量的人力、物力和财力研究病毒主动防御技术,并在相关产品中融合了这一技术。

  清华大学网络与信息安全研究室主任段海新认为,在目前的网络环境下,病毒以各种各样的形态出现,只要编写病毒的黑客不停地改变攻击方法,杀毒软件厂商就不可能做到“以不变应万变”。“魔高一尺,道高一丈”,攻击与防范之间的搏杀不会停止。由于病毒防范技术大多是被动式防御,落后于病毒攻击技术,如果杀毒软件能够从病毒动态行为阻断方面加强研究,主动出击,就能更好地适应病毒形态的多变性并加以防范。

  据了解,病毒主动防御技术主要是针对未知病毒提出的病毒防杀技术,其主要实现方式是通过病毒的行为特征来判别其是否为病毒,而不再是传统的依赖病毒代码的发现。张曦认为,应该明确的是,病毒主动防御技术只是众多的安全防范技术之一,并不能完全取代传统的特征码查杀技术。因此,不能依赖一种技术解决所有的安全问题。正确的办法是,坚持国家关于信息安全方面的大政方针,“积极防御、综合防范”。(张伟报)