信息安全要求杀毒软件必须防住病毒,而杀毒软件杀毒的前提是通过对病毒暴发后的分析找到解决病毒的方法。这样就出现了一个无奈的现状:杀毒总是在病毒暴发之后。
公安部日前颁布的《2004年全国计算机病毒疫情调查分析报告》显示,2004年重复感染3次以上的用户高达57.07%。其中,相当一部分用户是因为杀毒软件对新病毒反应的滞后而遭受重复感染的。
先认识小偷才能抓小偷
国内反病毒产业奠基人之一、“国家863计划反计算机入侵和防病毒研究中心”专家委员会专家刘旭表示,在高速网络时代,以传统杀毒软件作为病毒防范最主要工具的方式,已经很难适应用户新的信息安全防护要求了。网络新病毒的数量有增无减,已经越来越明显地暴露出杀毒软件滞后杀毒的重大缺陷―――对新病毒的防范始终滞后于病毒出现。
据专家介绍,杀毒软件采用的查杀病毒的方式可以概括为“特征值扫描法”。所谓计算机病毒就是由人编写的一种有害程序。每一种病毒都一定有着与别的程序不同的部分,这部分就构成了病毒的特征值。当某一种病毒暴发后,杀毒软件厂商就会从中找出病毒特征,并根据它的特征值将这一病毒从其他程序中找出来并用杀毒软件进行杀毒处理。
有人形象地将这种“特征值扫描法”比喻为“笨警察抓小偷”:抓住一个小偷后,根据这个小偷与众不同的某种特征值,如穿着红衣服,将所有穿红衣服的人都视为小偷,也就是说,要先认识小偷,才能抓小偷。
这种“特征值扫描法”就决定了杀毒软件一定要在病毒出现后,才能依次进行查找病毒、分析病毒特征值、对杀毒软件进行升级、用户用升级后的杀毒软件杀病毒等项工作。这种滞后性就成为依据“特征值扫描法”的杀毒软件一道难以逾越的障碍。
只能牺牲一小部分人来挽救大多数人
令人遗憾的是,病毒的发展却不以人的一厢情愿而放慢步伐,传播速度以分秒计的网络新病毒也不会再给信息安全厂商以足够的分析病毒、升级软件的时间和机会了。
大量新病毒的出现,使用户们惶恐而又无奈。信息安全厂商也在尽力工作着,他们将发现病毒的时间和分析破解病毒的时间缩短了又缩短,将杀毒软件升级的速度提高了又提高,将已知病毒库扩大了又扩大……总之,在他们力所能及的范围内,把该做的工作都做了。但是,效果又如何呢?
一位网管很无奈地说:“我已经很小心了,做了很多限制,但是我不知道什么时候我的系统会因为新病毒而崩溃,坦率地讲,升级杀毒软件对我而言是亡羊补牢――不干不行,干了,也不一定行。”
这种无奈蔓延开来,就成为了一种挥之不去的观念:对层出不穷的计算机病毒是防不胜防的,也不可能做到事先防范,只能采取牺牲一小部分人(最早的病毒感染者)来挽救大多数人。
滞后杀毒方法难以承担网络防病毒重任
但是,伴随网络在全球的飞速应用,利用网络技术、以网络为载体频频爆发的间谍程序、蠕虫病毒、游戏木马、邮件病毒、QQ病毒、MSN病毒、黑客程序等网络新病毒,已经颠覆了传统的病毒概念。
与传统病毒相比,网络病毒呈现传播速度空前、数量与种类剧增、全球性暴发、攻击途径多样化、以利益获取为目的、造成损失具有灾难性等突出特点,使杀毒软件面临严峻挑战。
刘旭介绍,杀毒软件以“特征值扫描法”作为理论基础,其核心是从病毒体中提取病毒特征值构成病毒特征库,杀毒软件将用户计算机中的文件或程序等目标,与病毒特征库中的特征值逐一比对,判断该目标是否被病毒感染。杀毒软件厂商只有发现并捕获到新病毒后,才有可能从病毒体中提取其特征值。这种技术要应对每小时数种、数十种网络新病毒的威胁,显然力不从心,难以承担网络病毒防御的重任。
从“补丁式”杀毒到主动杀毒
刘旭坦陈,当前杀毒软件厂商依然沿用“亡羊补牢”的事后“补丁”式技术路线,这种滞后杀毒技术固有的重大缺陷,导致用户不能对网络新病毒及时防御,被动地处在一个又一个“时间差”的危险之中:即从一种新病毒出现,到厂商人工捕获病毒,再到分析病毒样本,最后完成杀毒软件升级之前这一段时间内,用户对该病毒没有防范能力,处在“不设防”状态中。
刘旭认为,网络病毒的频频暴发,已经使国际国内反病毒领域开始意识到,杀毒软件赖以生存的事后“补丁”式技术越来越被动。
他表示,“病毒主动防御技术”已经成为反病毒软件的发展趋势和全球反病毒厂商新的竞争焦点。我国反病毒领域应跳出传统技术路线,尽快研制以“行为自动监控、行为自动分析、行为自动诊断”为新思路的主动防御型产品,从根本上克服杀毒软件重大缺陷,实现反病毒技术的革命性飞跃和反病毒产业的升级。