主动防御.docVIP

主动防御 安全厂商在梦想和现实中穿行 张伟 近日，国内杀毒软件厂商江民科技和瑞星先后推出 2008 年的杀毒软件新品。江民科技2008年杀毒软件以智能主动防御杀毒为最大亮点，变身“反病毒和系统安全软件”；瑞星发布的杀毒软件瑞星2008 版将主动防御作为与查杀病毒并列的主要核心功能。两大杀毒软件厂商均宣称， 国产杀毒软件反病毒技术已全面进入主动防御时代。 “由被动防御（特征码查杀）变为主动防御，一直是杀毒软件厂商的梦想，但真正实现起来非常困难。”易观国际分析师李翀向记者表示，近年来，尽管主动防御概念在国内外杀毒软件厂商的产品中时有提及，但现在就称国产杀毒软件反病毒技术已进入全面主动防御时代“为时过早”。 变换游戏规则 主动防御是安全工程师们试图弥补传统特征码查杀技术的致命弱点——过分依赖对新病毒的截获能力和速度而提出的。目前，反病毒的主流技术依然是沿袭多年的特征码查杀技术，其工作流程是“截获—处理—升级”。虽然这种技术已经非常成熟可靠，但它总是滞后于病毒的传播，也就是说，当杀毒软件厂商截获新病毒的时候，已经有部分用户被病毒侵害。瑞星公司工程师向记者作了一个“警察抓小偷”的形象描述，特征码查杀就像警察拿着小偷的照片去抓小偷，看哪个人长得和照片上的人一样就抓起来。主动防御是阻止小偷的偷窃行为，就像给房间安装防盗门。同时，主动防御还可以根据侵入者的行为组合（比如从窗户进入房间、把电视机搬出房间等行为）判断他是不是小偷。 主动防御是一种阻止恶意程序执行的技术，较好地弥补了传统杀毒软件采用特征码查杀和监控相对滞后的技术弱点，可以在病毒发作时进行主动而有效的全面防范，从技术层面上有效应对未知病毒的肆虐。 因此，对于主动防御，杀毒软件厂商在研发和推广上具有相当高的热情。李翀表示，从2005年开始，国内外一些杀毒软件厂商就尝试在产品中加入HIPS（Host Intrusion Prevent System，一种基于主机的入侵防御系统技术）等主动防御技术，虽然这些技术的应用效果很好，但对用户操作技能的要求比较高，一旦操作不慎，可能会导致许多应用软件不能正常使用，甚至影响整个电脑系统的运行。除了对核心技术的不断精进之外，如何在有效性和易用性之间找到平衡，成了这些杀毒软件厂商最大的难题。事实上，目前真正在产品中全面应用主动防御技术的杀毒软件在全球范围内寥寥无几。 厂商布阵积极 “主动防御对江民而言并非新名词。”江民科技总裁陶新宇表示，主动防御技术发展到今天，在技术上更加成熟，而且伴随着病毒变种的增多和各种所谓“免杀”技术的流行，市场对未知病毒主动防御技术的需求显得比以往任何时候都迫切，因此受到了杀毒软件厂商的高度重视。2005年江民杀毒软件就在KV2005 中推出未知病毒主动防御系统，是国内首家在杀毒软件中融入未知病毒主动防御技术的杀毒软件厂商。目前，江民科技已经率先提出了“智能主动防御”的概念， 比主动防御更进了一步。“如果从时间上区分，2005 年应该是主动防御技术的导入年， 2008 年可以说是智能主动防御技术的导入年”。 “很多人都有这样的错误观点，认为杀毒软件只要能把病毒杀掉就可以了。实际上，随着计算机病毒的不断演变，杀毒软件也在不断进化。”瑞星公司副总裁毛一丁表示， 目前的杀毒软件主要依靠特征码的方式查杀病毒，这种方法查毒准确、快速，但要求杀毒软件厂商必须首先截获到病毒样本，进行分析后才能够对其进行查杀，而对于一些新病毒以及病毒的新增变种则显得力不从心。主动防御是HIPS、恶意行为分析、隐藏进程检测等多种技术的统称，是全球信息安全技术的主要发展方向之一。因此，瑞星投入了大量的人力、物力和财力，向主动防御技术发起了攻关。瑞星杀毒软件2008 版中采用的主动防御技术包含3 个层次：资源访问规则控制、资源访问扫描、程序活动行为分析引擎，其中以行为分析引擎技术最为关键。 赛门铁克中国区消费产品事业部销售总监黄智华介绍说，现在互联网安全面临五大威胁：病毒由高级威胁研究团队撰写、恶意代码与虚拟世界威胁用户安全、高级网络威胁、病毒自动化逃避检测流程、僵尸网络用法多样化。因此，互联网的安全工具发展方向主要有两个方面，一是基于签名的检测技术，二是基于行为的检测技术。基于行为的检测技术，赛门铁克的主动防御技术SONAR（赛门铁克前瞻响应在线网络）在标准病毒和间谍软件检测定义之前保护用户免受恶意代码的攻击。 目前，国内三大杀毒软件巨头中的江民科技、瑞星都已发布 2008 年杀毒软件新品。另一巨头金山反病毒工程师在接受记者采访时透露，金山毒霸2008 版将于今年年底发布，新版本最大的亮点在于三维互联网防御体系。金山毒霸在本地病毒库监测、查杀和主动防御技术的基础上加入了互联网可信认证技术，这样，在目前金山独有的海量互联网可信数据的基础上，当本地病毒库和主动