主動安全能否打破反病毒瓶頸？

“基于傳統原理的殺毒軟件每天都要升級特征碼，這個受不了——現在不是不升級，而是升級了實際上也沒有多少用。”在近日舉行的“病毒防范現狀與國際病毒防御技術最新發展趨勢”高端研討會上，來自中辦秘書局一位負責信息系統的處長說。

“我們受病毒侵害很深。互聯網（信息安全）問題嚴重性越來越大，發現的問題都不是小事”。國務院辦公廳電子政務辦公室的劉慈副處長也深有感受。

同樣憂心忡忡的還有財政部信息網絡中心運營維護處的趙曉光處長，以及國家保密局攻防實驗室的相關負責人。這樣的擔憂已經很普遍，基本達成共識。

他們都是信息安全技術的“關鍵”用戶。

對于個人用戶，受病毒損害的例子更是每天都在發生。

趨利性病毒

危及信息化建設

“凡是能夠換成錢的東西都成為黑客攻擊的目標。”東方微點總經理劉旭對記者表示，病毒的趨利性正在變得日益明顯。以趨利性為顯著特征的病毒攻擊，已經完全顛覆了傳統意義上的病毒攻擊。“趨利的不同表現形式，有竊取個人隱私、竊取賬號密碼、竊取商業機密、竊取網絡財產，還有一些是被控制的計算機屬于僵尸網絡，進行網絡敲詐。”

記者從網上看到的現象是，在網上成批叫賣的“肉雞”（受遠程控制的電腦），少則1000只，多則數萬只。國家計算機網絡應急技術處理協調中心統計顯示，2007年監測到中國內地有90萬個IP地址主機被植入木馬，比2006年增加21倍。另外，2007年的抽樣監測發現，內地有360萬個IP地址主機被植入了僵尸程序，2007年各種僵尸網絡被用來發動拒絕服務攻擊一萬多次，發送垃圾郵件110多次，實施信息竊取操作3900多次。調查發現，黑客如果利用僵尸網絡對某一個特定的目標實施拒絕服務攻擊的話，破壞力將會更強，互聯網數據中心IDC機房就很容易遭遇類似的攻擊。目前，我國監測到最大規模的僵尸網絡達到了129萬個僵尸節點。

這種病毒趨利化的趨勢，不僅危及到了個人用戶的利益，更對國家信息安全和信息化造成了威脅。電子政務專家陳佛曉指出，一年多以來，在我國政府遇到的泄密事件里面，有相當多是由于木馬盜竊泄露出去的。陳佛曉表示，出于對泄密的擔憂，一些新的應用程度開發不得不被迫停止，“這產生的結果，就是嚴重影響了國家的信息化。”

殺毒軟件滯后性

再遭質疑

在木馬病毒的猖獗面前，殺毒軟件的滯后性被暴露無遺。

“反病毒軟件非常容易被攻破。”得出這一結論的是來自美國SonomaState大學的教授GeorgeLedin，他帶領自己的學生們模擬“黑客”進攻，這一切都是在學校內部的封閉網絡上進行的，以防止危害互聯網，實驗結果是，絕大多數殺毒軟件是沒有什么用的。

根據瑞星公司今年發布的研究報告，黑客利用“加殼”等手段，產業化、自動化地生產病毒已成為趨勢，這使得病毒數量暴增，一個熟練的病毒工程師每天可以分析40到50個樣本，但目前每天出現在網上的病毒樣本平均是3000到4000個。這樣的生產速度，幾乎已經達到了廠商捕獲和分析能力的極限。

今年年初，國內三大殺毒軟件廠商——江民、金山、瑞星都先后推出2007年年度安全報告，在發布2007年病毒趨勢和各自認定的“毒王”及十大病毒的同時，它們一致性地對殺毒軟件的缺陷進行了深入思考，幾乎無一例外地自曝: 傳統殺毒軟件技術難以防范新病毒。

“現有的殺毒技術是相當有限的。”劉旭表示，殺毒軟件的核心是反病毒公司從病毒體中提取一串或多串代碼作為識別病毒的特征碼。但由于病毒的收集主要依靠用戶，“反病毒公司的防病毒網絡實際上是虛的，用戶給你報，你就有，不給你報，就沒有。”

“所有的殺毒軟件都是跟著病毒跑，滯后于病毒。”在中國工程院院士倪光南看來，反病毒產業發展到當前，固有的殺毒軟件特征值掃描技術，即病毒出現——用戶提交——廠商人工分析——軟件升級的傳統思路已經不能滿足需要了。“跟著病毒跑的話，特征庫也會越來越大，將來掃描起來可能需要很長時間，所以我覺得這種模式需要創新。”倪光南說。

反病毒思路新探索

隨著“殺毒軟件將死”的論斷被普遍認可，全球信息安全廠商也紛紛開始“主動防御”的探索，但迄今為止，國際上沒有純粹的主動防御產品，很多殺毒軟件里的“主動防御”功能頻繁誤報使得用戶反饋不好，甚至對主動防御產生誤解。這讓殺毒軟件廠商只能把“主動防御”作為缺省“不使用”。

“目前國內外殺毒軟件提供的所謂主動防御功能，實際上還只是處于主動防御的初級階段”，劉旭說，“舉一個很常見的例子，在使用某款號稱具有智能主動防御功能的產品時，經常會遇到‘有程序正在向您的計算機設置全局掛鉤，是否允許’之類的提示。什么叫全局掛鉤？一般用戶可能不理解，也就無從選擇。用戶使用殺毒軟件，就是將殺毒防毒的工作交給軟件，現在反而要自己進行判斷，這是不合理，更是不負責任的。現在的殺毒軟件越來越像‘高手’專用的，表面上是易用性不足，實際上是這些產品還沒有真正成熟的主動防御技術。”

而隨著云計算的興起，趨勢科技和瑞星等廠商也把“云安全”概念推向了前臺，推出各自的“云安全”計劃。云安全的技術思路，是將用戶的電腦終端和安全廠商的技術平臺，通過互聯網緊密相連，組成一個龐大的木馬、惡意軟件監測、病毒查殺網絡，每個用戶既是云安全技術的貢獻者，也是享用者。

但在劉旭看來，云安全技術還僅僅停留在概念階段。“它仍然沒有回答如何自動識別新病毒這個核心問題。”劉旭表示，云安全技術從用戶計算機收集文件的做法，容易讓用戶產生不安全感，而反病毒公司如何處理收集到的這些海量文件，又是另一個問題。“如果采用人工處理，往往難以及時處理病毒，這就失去了應有的效果; 而如果采用自動處理，即在云端能夠自動識別病毒，那么為什么不將這種自動識別病毒的功能直接放在用戶計算機里面，而是放在云端呢？”

“我們認為，主動防御技術是解決目前病毒危害比較理想的反病毒技術。”劉旭進一步稱，東方微點的主動防御軟件，采用了“程序行為自主分析判斷”技術，模擬反病毒專家及其病毒判定機制，以“動態仿真反病毒專家系統，自動準確判定新病毒、程序行為監控并舉、自動提取特征值實現多重防護、可視化顯示監控信息”等五項核心技術，實現對新病毒提前防御的目的。根據微點公司對近百萬種病毒的測試表明，微點主動防御軟件能夠有效防范99%以上的未知病毒。

即便如此，主動防御技術也并不是被動防御技術的顛覆者。“主動防御的實現并不是要越過被動防御，完全推翻它，而是要在其基礎之上實現。”剛剛被McAfee以 4.65億美元收購的Secure Computing公司大中國區總經理蔡勇認為，“主動防御”并不能100%地發現病毒或者攻擊，它的成功率大概在60%～80%之間。而如果再加上傳統的“特征碼技術”，則有可能發現100%的惡意程序與攻擊行為。

“主動防御”+“特征碼技術”也成為了目前安全系統的主流發展趨勢。對此蔡勇給出的建議是，中國用戶的主動防御技術產品采購，不要放棄原有的設置。“在中國，主動防御的部署要一步一步去做; 要確保購買的每一部設備都具有適度的無懈可擊的安全性，從而保證整個框架主動安全防護的有效性。”蔡勇說。