反病毒的现状、挑与改进(上).PDFVIP

  • 1
  • 0
  • 约1.6万字
  • 约 6页
  • 2017-10-15 发布于江苏
  • 举报
反病毒的现状、挑与改进(上)

专栏 第 10 卷  第 4 期  2014 年 4 月 反病毒的现状、挑战与改进(上)* 肖新光 安天实验室 关键词 :反病毒方法 网络侧 蜜罐 特邀专栏作家 导言 用者)。反病毒厂商会比攻击方 高级持续性威胁)时代发生了实 编写制造病毒的过程付出更低的 质性的转变,而攻击方的意图更 反病毒产品作为安全防护的 资源成本,并以更短的时间代价 明确、更具有针对性,更重要的 必备要素,主要以检测、查杀攻 对所捕获的样本完成分析判定。 是因为攻击可能是由国家或政治 击方的投放物及其衍生物为基本 在这个过程中,对绝大多数样本 经济集团所发起的,攻击者承担 目的,通过技术手段起到提高攻 的分析判定只需要消耗分钟级的 成本的能力和意志力相对于传 击方成本的作用。反病毒产品与 计算时间成本,而相对于反病毒 统的地下经济集团或者其他个体 恶意代码的对抗不是单枪匹马的 [2] 厂商后台庞大的计算能力,这种 攻击者来说,几乎是无限的 。 能力对抗,更多的是一种体系性 时间成本几乎可以忽略不计。 在这样一个新威胁背景下, 的对抗。防御方(反病毒工作者) 上述过程从真正成为一个可 是我们梳理现状、澄清误解,并 长期工作于后端成熟体系和庞大 维护的工程化环节开始到现在, 做出反思与应变的时候了。 资源的支撑之下。反病毒体系前 已经持续了20 余年,比绝大多 置产品环节覆盖了主机端与网络 数安全技术的历史都要长久 ;而 传统反病毒方法的现 侧1 ,也可以称为一类特殊的IT 在其持续发展中,一些被预言家 状与所面临的挑战 资产;其捕获手段包括主动上报、 们认为可以永远消亡病毒的 “革 蜜罐、爬虫、流量还原等十余种; 命性”技术,纷纷凋落,宛如昙花。 而反病毒体系后端所建设的庞大 安全技术是由安全威胁驱动 反病毒基本模型在主机 的分析流水线,可以实现对绝大 变革的,而非预言家 ;而威胁则 端的鏖战 多数样本的黑白判断、分类命名 受攻击者的目的引导,以其承担 主机是恶意代码主要威胁的 和规则提取。因此反病毒工作者 成本的能力为支撑。当这几个 目标,也是反病毒技术的原点。 在前置经验、团队规模、计算能 因素发生重大变化时,安全威胁 从主机上捕获样本、后端分析、 力方面,在很长一段时间都优于 也就必然会产生全新的特点。在 提取规则或编写对应模块、分发 单一的攻击方 (病毒制造者和使 APT (advanced persistent threat , 规则升级到主机的对抗循环一直 * 本文系根据作者在Xdef 20 13会议的部分报告内容和ISF 20 13会议报告内容整合并缩改而成。全文较长,本刊分两 [1] 期连载。本文的前置知识可以参考作者在 《程序员》20 13年12月刊发表的 “反病毒技术发展四部曲”一文 。 1 与上端设备或网络连接的接口叫网络侧接口。 40 第 10 卷  第4 期  2014 年 4 月 在持续进行中,并被视为反病毒 护机制组成的。图1 所展示的是 让攻击者低成本地搭建环境进行 基本的工作原理,这种重复无疑 一个商用反病毒引擎的基本维护 对抗测试,直到确认反病毒软件 易于让许多

文档评论(0)

1亿VIP精品文档

相关文档