滯后殺毒制約防毒產(chǎn)業(yè)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

在計(jì)算機(jī)病毒發(fā)展的20 余年里，殺毒軟件對(duì)新病毒的防范始終滯后于病毒出現(xiàn)的重大缺陷，導(dǎo)致人們普遍認(rèn)為反病毒產(chǎn)品不可能主動(dòng)防御新病毒。甚至有些人認(rèn)為，想研制一種主動(dòng)防御的反病毒產(chǎn)品，就如同要為一種未知的疾病制作特效藥一樣異想天開(kāi)。反病毒思想和反病毒技術(shù)的當(dāng)前思維模式究竟能否實(shí)現(xiàn)突破，病毒主動(dòng)防御之路是否能走得通？“國(guó)家八六三計(jì)劃反計(jì)算機(jī)入侵和防病毒研究中心”專家委員會(huì)專家劉旭就目前業(yè)界關(guān)注和探討的反病毒的四個(gè)焦點(diǎn)問(wèn)題發(fā)表了自己的看法。 
 
焦點(diǎn)一：人能否發(fā)現(xiàn)新病毒

殺毒軟件本身基本上不能發(fā)現(xiàn)新病毒，是眾所周知的客觀事實(shí)。但是，人能否發(fā)現(xiàn)新病毒呢？如果人不能發(fā)現(xiàn)新病毒，同為自然人的反病毒公司研發(fā)人員也就不可能發(fā)現(xiàn)新病毒，由此帶來(lái)的問(wèn)題是，殺毒軟件每天升級(jí)的是什么，反病毒公司每次宣稱發(fā)現(xiàn)的新病毒又是誰(shuí)來(lái)發(fā)現(xiàn)的？回答是肯定的，人可以發(fā)現(xiàn)新病毒。新病毒一定是人通過(guò)相應(yīng)的方法判斷出來(lái)的。

焦點(diǎn)二 ：防毒公司如何判斷新病毒

從上個(gè)世紀(jì)八十年代病毒出現(xiàn)后，反病毒技術(shù)就有兩種思路：一種是采用靜態(tài)掃描方式，即特征值掃描技術(shù)；另一種采用動(dòng)態(tài)分析方法。

特征值掃描是目前國(guó)際上反病毒公司普遍采用的查毒技術(shù)。其核心是從病毒體中提取病毒特征值構(gòu)成病毒特征庫(kù)，殺毒軟件將用戶計(jì)算機(jī)中的文件或程序等目標(biāo)，與病毒特征庫(kù)中的特征值逐一比對(duì)，判斷該目標(biāo)是否被病毒感染。這種方法的固有缺陷是，對(duì)新病毒的防范始終滯后于病毒的出現(xiàn)。反病毒公司把捕獲到并已處理的病毒稱為已知病毒，否則就稱為未知病毒。只有采用特征值掃描技術(shù)時(shí)，才區(qū)分已知和未知病毒。

焦點(diǎn)三：人工識(shí)別新病毒有多難

雖然病毒越來(lái)越多，但真正有創(chuàng)意的、技術(shù)上有突破的病毒很少，不到總數(shù)的1%。絕大多數(shù)病毒都是模仿其它病毒編寫(xiě)的，這些病毒的傳播、感染、加載、破壞等行為特點(diǎn)都可以從已經(jīng)存在的病毒找到，人工識(shí)別絕大多數(shù)新病毒并不是一件很難的事。

焦點(diǎn)四：主動(dòng)防御病毒是否可行

將現(xiàn)有病毒的行為進(jìn)行分析、歸納、總結(jié)，通過(guò)對(duì)反病毒專家分析判斷新病毒的經(jīng)驗(yàn)科學(xué)提煉，實(shí)現(xiàn)軟件自動(dòng)識(shí)別病毒是可行的。而十多年來(lái)，反病毒技術(shù)的研究主要禁錮于特征值掃描法，很少對(duì)病毒主動(dòng)防御技術(shù)進(jìn)行深入探討和研究。從反病毒領(lǐng)域的實(shí)踐和計(jì)算機(jī)技術(shù)的發(fā)展趨勢(shì)可以看出，開(kāi)發(fā)病毒主動(dòng)防御系統(tǒng)不僅是可能的，而且是可行的。

因此，跳出傳統(tǒng)技術(shù)路線，盡快研制以行為自動(dòng)監(jiān)控、行為自動(dòng)分析、行為自動(dòng)診斷為新思路的主動(dòng)防御型產(chǎn)品，從根本上克服殺毒軟件重大缺陷，建立主動(dòng)防御為主、結(jié)合現(xiàn)有反病毒技術(shù)的綜合防范體系，實(shí)現(xiàn)反病毒技術(shù)的革命性飛躍和反病毒產(chǎn)業(yè)的升級(jí)，是全球反病毒領(lǐng)域共同面臨的巨大挑戰(zhàn)，具有極現(xiàn)實(shí)的信息安全急迫性。

轉(zhuǎn)載自《每周電腦報(bào)》