淺談基于主動防御的網絡病毒防御技術

摘要隨著互聯網的廣泛應用，網絡信息量迅速增長，網絡安全問題日趨突出?；谥鲃臃烙募夹g作為安全系統主要的組成部分，已成為目前研究與開發的熱點。本文通過與傳統網絡防治技術的對比，簡要分析了基于主動防御的網絡防御技術。

關鍵詞主動防御特征值掃描啟發式查毒

中圖分類號:TP393.08文獻標識碼:A

近幾年隨著計算機和網絡技術的發展，網絡給人們提供了極大的便利，互聯網作為一個社會公共環境，其所面臨的安全威脅也越來越嚴重。在我們享受網絡資源帶來的巨大利益的同時，針對網絡和計算機系統的網絡病毒傳播和黑客攻擊變得越來越普遍。網絡病毒不僅給廣大網絡用戶帶來了不便，甚至影響到我國信息化建設的進一步深化，威脅到國家的信息安全和經濟發展。因而，保障計算機系統、網絡系統及整個信息基礎設施的安全已經成為刻不容緩的重要課題。

1網絡防治技術比較

傳統的反病毒技術主要使用特征值掃描技術，這是目前國際上反病毒公司普遍采用的查毒技術。其核心是從病毒體中提取病毒特征值構成病毒特征庫，殺毒軟件將用戶計算機中的文件或程序等目標，與病毒特征庫中的特征值逐一對比，判斷該目標是否被病毒感染。反病毒公司把捕獲到并已處理的病毒稱為已知病毒，否則就稱為未知病毒。只有采用特征值掃描技術時，才需要區分已知和未知病毒。由于這種傳統的反病毒軟件都是很被動的，只能在新病毒出現之后才能有應付措施，一個病毒制造者所編寫的病毒很有可能在被殺毒軟件廠商截獲并添加到產品病毒庫之前進入用戶電腦。此時，由于該病毒的特征碼還未添加到殺毒軟件病毒庫中，殺毒軟件會將病毒認為是正常文件而放過，使得用戶電腦被病毒所感染。因此，業界將能夠主動檢測和攔截未知威脅的防御方法稱為“主動防御”。

殺毒軟件具有滯后性，這是業界公認的一個殺毒軟件弊端，而主動防御卻很好的解決了這個問題。主動防御技術主要是針對未知病毒提出來的病毒防殺技術，在沒有病毒樣本的情況下，對病毒進行全面而有效的全面防護，阻止病毒的運作，從技術層面上有效應對未知病毒的肆虐，一是在未知病毒和未知程序方面，通過“行為判斷”技術識別大部分未被截獲的未知病毒和變種;另一方面，通過對漏洞攻擊行為進行監測，這樣可防止病毒利用系統漏洞對其它計算機進行攻擊，從而阻止病毒的爆發。

2主動防御技術分析

主動防御是最新的安全防護概念，各個安全廠商有不同的觀點，通常用規則來控制。一般的規則控制流程是通過掛接系統建立進程的API，反病毒系統就在一個進程建立前對此進程的代碼進行掃描，如果觸發安全規則就進行提示，如果用戶放行，就讓進程繼續運行，例如監視進程調用API的情況，如果發現以讀寫方式打開一個EXE文件，可能進程的線程想感染PE文件，或某個應用程序進行遠程調用，主動防御監控系統就會發出警告。普通用戶在運行程序時可能會被監控程序提示選擇允許或禁止，主動防御系統檢測的基本模式是通過動態仿真反病毒專家系統對各種進程行為進行自動監視，自動分析程序動作之間的邏輯關系，綜合應用操作系統安全規則和病毒識別規則知識，自動建立新的病毒行為模式，實現自動判定新病毒，達到主動防御的目的。主動防御系統檢測的基本模式如下圖所示:

在某權威雜志對全球17款主要殺毒軟件進行了測試中表明，在新病毒查殺方面，殺毒軟件的平均檢測率只有20%～30%，甚至低于去年的40%～50%。相比之下，只有ESET NOD32和BitDefender表現較好，查殺率分別為68%和41%。值得一提的是， ESET NOD32采用世界領先的高級啟發式ThreatSense@引擎，可同時支持基因碼，虛擬機，以及代碼分析這三種啟發式防毒技術，在查殺大部分未知病毒的同時只產生了極少的誤報，為業界最低，因此ESET NOD32的ThreatSense技術被公認為主動防御技術成熟和穩定的集大成者。

何謂啟發式查毒技術，啟發式指 “自我發現的能力”或“運用某種方式或方法去判定事物的知識和技能”，是殺毒軟件能夠分析文件代碼的邏輯結構是否含有惡意程序特征，或者通過在一個虛擬的安全環境中前攝性的執行代碼來判斷其是否有惡意行為。在業界前者被稱為靜態代碼分析，后者被成為動態虛擬機。靜態啟發技術指的是在靜止狀態下通過病毒的典型指令特征識別病毒的方法，是對傳統特征碼掃描的一種補充。由于病毒程序與正常的應用程序在啟動時有很多區別，通常一個應用程序在最初的指令，是檢查命令行輸入有無參數項、清屏和保存原來屏幕顯示等，而病毒程序則通常是最初的指令是直接寫盤操作、解碼指令，或搜索某路徑下的可執行程序等相關操作指令序列。靜態啟發式就是通過簡單的反編譯，在不運行病毒程序的情況下，核對病毒頭靜態指令從而確定病毒的一種技術。

而相比靜態啟發技術，動態啟發技術要復雜和先進很多。動態啟發式通過殺軟內置的虛擬機技術，給病毒構建一個仿真的運行環境，誘使病毒在殺軟的模擬緩沖區中運行，如運行過程中檢測到可疑的動作，則判定為危險程序并進行攔截。這種方法更有助于識別未知病毒，對加殼病毒(下轉第134頁)(上接第132頁)依然有效，但如果控制得不好，會出現較多誤報的情況。動態啟發因為考慮資源占用的問題，因此目前只能使用比較保守的虛擬機技術。盡管如此，由于動態啟發式判斷技術具有許多不可替代的優勢，因此仍然是目前檢測未知病毒最有效、最可靠的方法之一，并在各大殺軟產品中得到了廣泛的應用。

由于諸多傳統技術無法企及的強大優勢，必將得到普遍的應用和迅速的發展。純粹的啟發式代碼分析技術的應用(不借助任何事先的對于被測目標病毒樣本的研究和了解)，已能達到80%以上的病毒檢出率，而其誤報率極易控制在0.1%之下，這對于僅僅使用傳統的基于對已知病毒的研究而抽取“特征字串”的特征掃描技術的查毒軟件來說，是不可想象的，啟發式殺毒技術代表著未來反病毒技術發展的必然趨勢，具備某種人工智能特點的反毒技術，向我們展示了一種通用的、不依賴于升級的病毒檢測技術和產品的可能性。作為啟發式殺毒軟件的代表產品ESET NOD32，以其完善的啟發式引擎ThreatSense，超過68%的未知病毒檢測率以及低于0.1%的誤報率聞名遐邇。成為業界的最高水準，同時也被冠以“啟發之王”的美譽。

主動防御系統是安全軟件的一個發展方向，能夠自動實現對未知威脅的攔截和清除，不需要用戶關注防御的具體細節。安全軟件廠商也一直向這個方向努力，例如殺毒軟件的主動更新、主動漏洞掃描和修復、以及對病毒的自動處理等，也符合主動防御的特征。我國目前開發的部分動態仿真反病毒專家系統，開始能夠實現自動判定新病毒、對程序行為監控、自動提取特征值等多重防護、實現了對未知網絡病毒的自主識別和自動清除，克服傳統殺毒軟件滯后于病毒的缺陷。這類驅動級(核心層)的主動防御系統主要通過虛擬機脫殼等技術方法分析程序動作之間的邏輯關系，運用已知程序合法行為庫和病毒攻擊識別知識庫，從而自動判定新病毒達到主動防御的目的。