信息安全要求殺毒軟件必須防住病毒,而殺毒軟件殺毒的前提是通過對病毒暴發後的分析找到解決病毒的方法。這樣就出現了一個無奈的現狀:殺毒總是在病毒暴發之後。 公安部日前頒布的《2004年全國計算機病毒疫情調查分析報告》顯示,2004年重復感染3次以上的用戶高達57.07%。其中,相當一部分用戶是因為殺毒軟件對新病毒反應的滯後而遭受重復感染的。 先認識小偷才能抓小偷 國內反病毒產業奠基人之一、“國家863計劃反計算機入侵和防病毒研究中心”專家委員會專家劉旭表示,在高速網絡時代,以傳統殺毒軟件作為病毒防范最主要工具的方式,已經很難適應用戶新的信息安全防護要求了。網絡新病毒的數量有增無減,已經越來越明顯地暴露出殺毒軟件滯後殺毒的重大缺陷―――對新病毒的防范始終滯後於病毒出現。 據專家介紹,殺毒軟件采用的查殺病毒的方式可以概括為“特征值掃描法”。所謂計算機病毒就是由人編寫的一種有害程序。每一種病毒都一定有著與別的程序不同的部分,這部分就構成了病毒的特征值。當某一種病毒暴發後,殺毒軟件廠商就會從中找出病毒特征,並根據它的特征值將這一病毒從其他程序中找出來並用殺毒軟件進行殺毒處理。 有人形象地將這種“特征值掃描法”比喻為“笨警察抓小偷”:抓住一個小偷後,根據這個小偷與眾不同的某種特征值,如穿著紅衣服,將所有穿紅衣服的人都視為小偷,也就是說,要先認識小偷,才能抓小偷。 這種“特征值掃描法”就決定了殺毒軟件一定要在病毒出現後,自學教程,才能依次進行查找病毒、分析病毒特征值、對殺毒軟件進行升級、用戶用升級後的殺毒軟件殺病毒等項工作。這種滯後性就成為依據“特征值掃描法”的殺毒軟件一道難以逾越的障礙。 只能犧牲一小部分人來挽救大多數人 令人遺憾的是,病毒的發展卻不以人的一廂情願而放慢步伐,傳播速度以分秒計的網絡新病毒也不會再給信息安全廠商以足夠的分析病毒、升級軟件的時間和機會了。 大量新病毒的出現,使用戶們惶恐而又無奈。信息安全廠商也在盡力工作著,他們將發現病毒的時間和分析破解病毒的時間縮短了又縮短,將殺毒軟件升級的速度提高了又提高,將已知病毒庫擴大了又擴大……總之,在他們力所能及的范圍內,把該做的工作都做了。但是,效果又如何呢? 一位網管很無奈地說:“我已經很小心了,做了很多限制,但是我不知道什麼時候我的系統會因為新病毒而崩潰,坦率地講,5自學網,升級殺毒軟件對我而言是亡羊補牢――不干不行,干了,也不一定行。” 這種無奈蔓延開來,就成為了一種揮之不去的觀念:對層出不窮的計算機病毒是防不勝防的,也不可能做到事先防范,只能采取犧牲一小部分人(最早的病毒感染者)來挽救大多數人。 滯後殺毒方法難以承擔網絡防病毒重任 但是,伴隨網絡在全球的飛速應用,利用網絡技術、以網絡為載體頻頻爆發的間諜程序、蠕蟲病毒、游戲木馬、郵件病毒、QQ病毒、MSN病毒、黑客程序等網絡新病毒,已經顛覆了傳統的病毒概念。 與傳統病毒相比,網絡病毒呈現傳播速度空前、數量與種類劇增、全球性暴發、攻擊途徑多樣化、以利益獲取為目的、造成損失具有災難性等突出特點,使殺毒軟件面臨嚴峻挑戰。 劉旭介紹,殺毒軟件以“特征值掃描法”作為理論基礎,其核心是從病毒體中提取病毒特征值構成病毒特征庫,殺毒軟件將用戶計算機中的文件或程序等目標,與病毒特征庫中的特征值逐一比對,判斷該目標是否被病毒感染。殺毒軟件廠商只有發現並捕獲到新病毒後,才有可能從病毒體中提取其特征值。這種技術要應對每小時數種、數十種網絡新病毒的威脅,顯然力不從心,難以承擔網絡病毒防御的重任。 從“補丁式”殺毒到主動殺毒 劉旭坦陳,當前殺毒軟件廠商依然沿用“亡羊補牢”的事後“補丁”式技術路線,這種滯後殺毒技術固有的重大缺陷,導致用戶不能對網絡新病毒及時防御,被動地處在一個又一個“時間差”的危險之中:即從一種新病毒出現,到廠商人工捕獲病毒,再到分析病毒樣本,最後完成殺毒軟件升級之前這一段時間內,用戶對該病毒沒有防范能力,處在“不設防”狀態中。 劉旭認為,網絡病毒的頻頻暴發,已經使國際國內反病毒領域開始意識到,殺毒軟件賴以生存的事後“補丁”式技術越來越被動。 他表示,“病毒主動防御技術”已經成為反病毒軟件的發展趨勢和全球反病毒廠商新的競爭焦點。我國反病毒領域應跳出傳統技術路線,盡快研制以“行為自動監控、行為自動分析、行為自動診斷”為新思路的主動防御型產品,從根本上克服殺毒軟件重大缺陷,實現反病毒技術的革命性飛躍和反病毒產業的升級。
