成功打造ＰＣ主動防御長城

編者按：一項調查數據表明，2008年中國互聯網用戶將達2.44億。隨著我國互聯網用戶增多，病毒也越來越猖狂，并逐漸呈現不易控制趨勢。眾所周知，目前主流的殺毒軟件都是發現了病毒，然后把病毒特征碼加入到病毒庫中，這樣，殺毒軟件才具備查殺該病毒的能力。也就是說，如果殺毒軟件廠商沒有把新病毒的特征加入到病毒庫中，殺毒軟件是不具備查殺此病毒能力的。正因如此，一些新病毒泛濫初期，殺毒軟件是不具備查殺能力的，更不具備殺新病毒能力。上世紀九十年代，一年才有幾萬種新病毒；如今， 2007年僅德國AV測試實驗室就監測到了多達550萬種病毒，平均每天近2萬個新病毒讓殺毒軟件廠商難以招架。嚴峻的安全形勢，凸顯殺毒軟件工作模式的致命缺陷，也意味著殺毒軟件如果繼續依循查殺特征碼的陳舊殺毒模式，將難以繼續擔當PC安全保護神的歷史重任。基于此，殺毒軟件廠商才會尋找新的發展之路，主動防御已成為安全軟件廠商的發展方向。

我國著名反病毒專家劉旭率領北京東方微點信息技術有限責任公司研發團隊，自2005年起，歷經數載，打破常規反病毒模式——

劉旭，被譽為中國反病毒業界的旗手。

這位當年畢業于中國科學院計算所的高材生，以其獨具的思維方式寫出了中國最著名的殺毒軟件，這就是瑞星。中國計算機和網絡的發展離不開反病毒軟件的保護。就是劉旭，曾帶領瑞星研發團隊開創了中國殺毒軟件的先鋒時代，使瑞星殺毒軟件一度盛極一時。當瑞星進入鼎盛階段時，這位中國反病毒技術奇人卻一度銷聲匿跡了。2005年，東方微點，一個名不見經傳的反病毒軟件企業悄然誕生了。盡管這個企業和它產品的出世來得那么艱難、那么沉重，但當它沖破桎梏，仰天長嘯之時，人們發現，反病毒技術已經在更新換代，主動防御正式走向了前臺！這就是微點主動防御軟件。

日前，本刊記者采訪了這位中國反病毒技術奇人，曾任國家“863”反病毒專家、原瑞星公司總裁，瑞星殺毒軟件原設計者，北京東方微點信息技術有限責任公司創始人、總經理兼總工程師劉旭。

采訪中記者得知，劉旭正是總結了自己多年從事反病毒研究技術實踐，針對傳統反病毒技術滯后于病毒的重大缺陷，在全球率先提出了對病毒進行主動防御的概念，并帶領微點研發團隊，成功研制出具有自主知識產權的微點主動防御軟件。2007年，微點主動防御技術被列為國家“863”科技攻關項目，并申請了六項國家發明專利。

記者：2005年3月，你帶領一批反病毒專家、研發了微點主動防御軟件，成功實現單機版主動防御計算機未知病毒作業，成為自主創新的軟件產品，這一科研成果的出現基于什么想法？

劉旭：目前，傳統的殺毒技術面臨著非常嚴峻挑戰，黑客大規模制造各種以竊取商業秘密、虛擬財產、銀行帳號等為目的木馬程序，這類以營利為目的的新型病毒已成為當前病毒發展主導趨勢。黑客為避免木馬被殺毒軟件發現，開發出多種簡單易行的病毒免殺技術，無須重新編寫病毒程序，只需經過簡單地加殼、加花指令、定位并修改病毒特征值等技術方式的處理，很短時間內就可大規模批量制造出可逃避傳統殺毒軟件查殺的木馬變種。更為嚴峻的是，已出現了自動加殼機和免殺機，甚至還實現了商業化運作，作者每天對其進行更新，升級速度超過了殺毒軟件。利用這類工具自動生成的木馬變種，往往能夠躲過最新版殺毒軟件的查殺。木馬生產的“工業化、自動化”導致木馬越來越難以被反病毒公司收集到，更令用戶擔心的是，在反病毒公司收集到樣本并能升級查殺木馬前，這些木馬已造成的損失如何處理？傳統殺毒技術落后于病毒技術的發展已是不爭事實，它已不適應當前反病毒需求。為此，我們要改變這種狀況，決定研發我們國家具有自主創新的軟件產品。

記者：那么主動防御軟件的運作機理是怎樣的？

劉旭：微點主動防御軟件創造性地實現了以程序行為分析判斷技術為主，特征碼掃描為輔的安全防護體系，因此不依賴于頻繁被動升級即可實現對新病毒的有效防護。以程序行為分析判斷技術為主的微點主動防御軟件，實時監控分析當前程序運行狀況和動作，結合病毒行為規則知識庫，自動準確判定傳統殺毒軟件無法識別的新病毒，自動阻止并清除新病毒，從而實現了對新病毒的主動防御。

記者：當時國內一些媒體對主動防御軟件進行了報道，國家相關部門也作出了鑒定：微點主動防御計算機病毒技術為世界首創，受到如此大的好評，你有什么感想？

劉旭：三年前，微點主動防御軟件研制成功，開創了國際反病毒技術發展的一個嶄新時代；而今，主動防御技術成為下一代反病毒核心技術已成為國際上反病毒公司的廣泛共識。微點主動防御軟件是我們多年創造性努力的結果，經歷了2年多不同尋常的超長時間公開測試，歷經了數百萬用戶的大規模測試和使用，今天，微點主動防御軟件產品以其更穩定、更成熟的優異品質迎接全球用戶的考驗。微點主動防御軟件獲得了用戶廣泛青睞，用戶對其技術的先進性特別是防范未知病毒的能力普遍給予高度評價。

陽光總在風雨后，成功離不開奮斗。展望未來，我們斗志昂揚，正是廣大用戶的支持，成為我們繼續堅持、不停向前的動力，感謝廣大用戶以及各界朋友給予微點公司強大的動力和信心。相信我們微點公司的精英團隊將不斷跨越更高山峰，創造更多奇跡，為每一位用戶，每一位合作伙伴，每一位員工創造更輝煌的明天。

記者：我知道，這么好的主動防御軟件的推出也遭遇了很大阻力，網上經常提到的是“劉旭事件”這件事，大家也都為你和微點公司鳴不平，對此事件，你是怎樣看的？

劉旭：受這一案件的干擾，這項反病毒核心技術重大自主創新成果的上市，被整整耽誤了兩年半，給微點公司造成的損失令人痛心，不過目前我們已辦理好銷售許可證件。

2006年底，“熊貓燒香”新變種病毒發作時，傳統殺毒軟件未能遏制其大規模的肆虐，用戶損失慘重，而能有效防范“熊貓燒香”病毒的微點主動防御軟件，因未獲得上市許可而不能為廣大用戶服務，這是我們的一個遺憾。

記者：一個具有自我知識產權的科研產品，由于特殊的環境，你一如既往堅持不把其成果轉讓出去，其精神我們非常敬佩，也感到對微點主動防御軟件的未來充滿信心，主動防御軟件和別的軟件相比，最大優勢在哪里？

劉旭：當前殺毒軟件廠商依然沿用“亡羊補牢”的事后“補丁”式技術路線，期望通過頻繁的版本升級克服其技術的重大缺陷——殺毒軟件對新病毒的防范始終滯后于病毒出現。這種滯后殺毒技術固有的重大缺陷，導致用戶不能對網絡新病毒及時防御，被動地處在一個又一個“時間差”的危險中。即從一種新病毒出現，到廠商人工收集病毒，再到分析病毒樣本，最后完成殺毒軟件升級之前，這一段時間內，用戶對該病毒沒有防范能力，處在“不設防”狀態。

殺毒軟件本身基本上不能發現新病毒，是眾所周知的客觀事實。但是，人是否能發現新病毒呢？如果人不能發現新病毒，同為自然人的反病毒公司研發人員也就不可能發現新病毒，由此帶來的問題是，殺毒軟件每天升級的是什么，殺毒軟件公司每次宣稱發現的新病毒又是誰來發現的？對于人是否能發現新病毒這個問題，答案是肯定的，人可以發現新病毒。新病毒一定是人通過相應的方法判斷出來的。

發現用戶需求，創造全新病毒防御理念是微點公司的追求目標和努力方向。微點主動防御軟件于2005年研制成功，在國際上首次實現了主動防御技術體系，并依此確立了反病毒技術新標準，實現了用軟件技術模擬反病毒專家智能分析判定病毒機制，克服了傳統殺毒軟件滯后于病毒的致命缺陷，實現了對未知病毒的自主識別、明確報出和自動清除。

記者：經過一些風波后，守得云開見月明，現在公司的主動防御軟件即將順利上市，能否談下其未來上市情況？

劉旭：可以的。主動防御軟件預計在今年5月份上市，初期市場定位在國內市場。因為咱們自主研發的主動防御軟件首先要為中國的網民解決問題。現在，國外也已有部分用戶在使用此產品，隨著公司的發展，我們的產品也會逐步向世界市場進軍。目前有些公司的產品也掛著主動防御的名字，但是不是真的主動防御？很多軟件發現可疑程序后，就會彈出一個或幾個對話框，讓用戶自己去判斷，自己選擇允許還是不允許，把責任推給用戶，我覺得這不是真正的主動防御。這就好像我們去醫院看病，大夫給我們的不是診斷和處方，而只某項化驗數據，這樣的處理作為患者你會滿意嗎？會接受嗎？在中國2億多互聯網用戶中只有很少一部分人對反病毒技術有所了解，普通用戶自己不能分辨病毒，因此，究竟是不是病毒，反病毒產品應該給出用戶明確的結論，這也是主動防御產品必須具備的功能。

記者：據了解，一些用戶在使用了微點公司主動防御軟件后，提出了一些建議：程序界面需要改良一下并增加主題包，而且其網絡反黑能力也需加強，例如欠缺反釣魚功能等，對此你是怎樣看的？對軟件有否改良措施？

劉旭：這就是仁者見仁智者見智了，每個人的喜好不同。我們這款軟件界面顏色比較深沉，不象以往大家比較熟悉的殺毒軟件界面，有些人覺得非常“酷”，顯示出一股陽剛之氣，對這個界面設計贊嘆有加。可能一些女孩子會比較喜歡彩色，亮一些的顏色，這些我們后期肯定會有所調整，將提供換膚功能，以滿足不同審美情趣的需要。剛開始進入市場，我們關鍵要看產品的性能，隨著公司不斷發展，我們會為更多人提供更理想和適合他們的方案。我們這個產品反黑功能還是非常強大的，我們的目的就是為用戶真正解決問題。

記者：主動防御是具有革命性的一種反病毒新方式，更是對過去殺毒軟件的顛覆。目前，適值提倡自主創新的大環境下，國家對子也自主創新是很重視的。借此，你對產品研發及公司未來發展有什么期望？

劉旭：說到自主創新，中國軟件業長期給外界的印象都是自主創新不足。中國軟件業已到了一個非常關鍵的時候，一方面，巨大市場空間就在眼前；另一方面，本土軟件企業的整體競爭力偏弱，所以今后我們依然會堅持走自主創新路線，搞好自主產品的研發，提高我們公司自主創新能力的同時也為我國的自主創新事業出一份力！

記者：據了解，你從事反病毒技術研究已十多年，曾任國家“863”反病毒專家、原瑞星殺毒軟件設計者和發明人，也是我國第一個發現并解決CIH病毒專家，在業內被稱為“中國殺毒軟件第一人”，請問對我國反病毒工作是怎樣看的？有哪些不足和改進之處？

劉旭：十多年來，反病毒技術的研究主要禁錮于特征值掃描法，很少對病毒主動防御技術進行深入的探討和研究。在反思國際國內反病毒領域思維模式基礎上，我認為，將現有病毒的行為進行分析、歸納、總結，通過對反病毒專家分析判斷新病毒的經驗科學提煉，實現軟件自動識別病毒是可行的。

例如，我們定義這樣一條病毒判斷規則：如果MSN接收的某個文件運行后，模擬鍵盤或鼠標動作，自動點擊MSN的“發送文件”命令，把它或它的生成物自動發送給其他MSN聯系人，則這個文件就是MSN蠕蟲病毒。

此規則可用于發現“性感燒雞”MSN蠕蟲病毒，以及所有采用這種傳播方式的MSN蠕蟲病毒，而不論該病毒是什么時候編的，也不論是已知的還是未知的。

從反病毒領域的實踐和計算機技術的發展趨勢可以看出，開發病毒主動防御系統不僅是可能的，而且是可行的。微點公司的這款主動防御軟件就是這樣一個產品。它是以行為自動監控、行為自動分析、行為自動診斷為思路的主動防御型產品，從根本上克服現有殺毒軟件的重大缺陷，建立主動防御為主、結合現有反病毒技術的綜合防范體系，實現反病毒技術的革命性飛躍和反病毒產業的升級。

延伸閱讀:主動防御電腦病毒并非天方夜譚

劉旭

長期以來，人們把殺毒軟件作為最主要的反病毒工具，殺毒軟件幾乎成了所有反病毒產品的代名詞，殺毒軟件賴以生存的“特征值掃描技術”也幾乎成了所有反病毒技術的代名詞。正因如此，殺毒軟件對新病毒的防范始終滯后于病毒出現的重大缺陷，似乎成為既合情又合理的邏輯，導致人們普遍認為反病毒產品不可能主動防御新病毒，甚至有人認為，想研制一種主動防御的反病毒產品，就如同要為一種未知的疾病制作特效藥一樣異想天開。

焦點一：人能否發現新病毒

殺毒軟件本身基本上不能發現新病毒，是眾所周知的客觀事實。但是，如果人不能發現新病毒，同為自然人的反病毒公司研發人員也就不可能發現新病毒，由此帶來的問題是，殺毒軟件每天升級的是什么，反病毒公司每次宣稱發現的新病毒又是誰來發現的？回答是肯定的，人可以發現新病毒。新病毒一定是人通過相應的方法判斷出來的。

焦點二：人如何判斷新病毒

從上個世紀八十年代病毒出現后，反病毒技術就有兩種思路，一種是采用靜態掃描方式，即特征值掃描技術，另一種采用動態分析方法。特征值掃描是目前國際上反病毒公司普遍采用的查毒技術。其核心是從病毒體中提取病毒特征值構成病毒特征庫，殺毒軟件將用戶計算機中的文件或程序等目標，與病毒特征庫中的特征值逐一比對，判斷該目標是否被病毒感染。反病毒公司把捕獲到并已處理的病毒稱為已知病毒，否則就稱為未知病毒。只有采用特征值掃描技術時，才區分已知和未知病毒。

業界常常有人用人類病毒的醫治來解釋計算機病毒防范。然而，與生物界的病毒復雜性不同，計算機病毒是人編寫的，遠比生物界的病毒簡單。計算機病毒概念是人依據程序行為來定義的，因此識別病毒的另一種方法是采用動態分析，直接通過程序的行為判斷它是否是病毒。

盡管殺毒軟件主要采用靜態掃描方式，但是反病毒公司發現新病毒并不是采用靜態掃描方式，而恰恰是采用動態分析方法。即便是反病毒公司收集到可疑程序時，也不能確定是不是新病毒，為了做出準確判斷，必須先運行可疑程序，然后再根據程序的行為判斷是否是病毒。

焦點三：識別新病毒有多難

反病毒領域從未向業界公開過一個“秘密”——雖然病毒越來越多，但真正有創意的、技術上有突破的病毒很少，不到總數的1%。而且這類病毒通常是概念病毒，一般破壞性不大。絕大多數病毒都是模仿其他病毒編寫的，這些病毒的傳播、感染、加載、破壞等行為特點都可以從已經存在的病毒找到，一個計算機本科畢業生經過短期培訓，通常都可勝任人工識別這類新病毒的工作。因此人工識別絕大多數新病毒，并不是一件很難的事。

焦點四：病毒主動防御是否可行

在反思國際國內反病毒領域的思維模式的基礎上，筆者認為，將現有病毒的行為進行分析、歸納、總結，通過對反病毒專家分析判斷新病毒的經驗科學提煉，實現軟件自動識別病毒是可行的。

例如，我們定義這樣一條病毒判斷規則：如果MSN接收的某個文件運行后，模擬鍵盤或鼠標動作，自動點擊MSN的“發送文件”命令，把它或它的生成物自動發送給其他MSN聯系人，則這個文件就是MSN蠕蟲病毒。

此規則可用于發現“性感燒雞”MSN蠕蟲病毒，以及所有采用這種傳播方式的MSN蠕蟲病毒，而不論該病毒是什么時候編的，也不論是已知的還是未知的。

十多年來，反病毒技術的研究主要禁錮于特征值掃描法，很少對病毒主動防御技術進行深入的探討和研究。從反病毒領域的實踐和計算機技術的發展趨勢可以看出，開發病毒主動防御系統不僅是可能的，而且是可行的。因此，跳出傳統技術路線，盡快研制以行為自動監控、行為自動分析、行為自動診斷為新思路的主動防御型產品，從根本上克服現有殺毒軟件的重大缺陷，建立主動防御為主、結合現有反病毒技術的綜合防范體系，實現反病毒技術的革命性飛躍和反病毒產業的升級，是全球反病毒領域共同面臨的巨大挑戰，具有極現實的信息安全急迫性。