浅析云查杀与主动防御.docx

浅析云查杀与主动防御高静峰（厦门市美亚柏科信息股份有限公司，福建厦门361000）摘要：文章通过介绍杀毒软件病毒防护技术的发展和特点，分析了云查杀技术和主动防御技术，然后针对当前这两种技术进行反思，提出了这两种技术目前存在的一些问题。关键词：云查杀；主动防御；病毒防护；扫描技术中图分类号：TP393.08文献标识码：A文章编号：1671-1122（2011）09-0047-03TheDiscussionofKillingCloudandActiveDefenseGAOJing-feng(XiamenMeiyaPicoInformationCo.,Ltd.,FujianXiamen361000,China)Abstract:Thepaperexplainsthedevelopmentandcharacteristicofthevirusprotectiontechnologyofantivirussoftware.Anditmostlyexplainsthetechnologiesofkillingcloudandactivedefense.Thenaccordingtothethinkingofthetwotechnologies,thepaperbringsforwardsomeproblemsaboutthem.Keywords:killingcloud;activedefense;virusprotection;scanningtechnology1病毒防护技术的发展病毒和反病毒软件的对抗最早可以追溯到20世纪70年代，当时一种名为“爬行者”的病毒出现在了TENEX操作系统上，当时TENEX操作系统的开发人员发现了这一问题，为了解决这个病毒对操作系统的影响，他们开发了一个名叫“收割者”的软件来专门对付它，这可能就是病毒和反病毒的第一次战争。随着计算机的普及以及病毒技术的发展，病毒与反病毒技术之间的对抗也日益激烈，二者之间是矛与盾的关系。为了能及时有效地查杀各类病毒，病毒查杀技术也发生了翻天覆地的变化。进入21世纪，随着互联网的发展，各类网络应用层出不穷，黑客们为了获取最大的利益，不断研发新病毒和恶意软件，导致每天有大量的网民个人信息被窃取或者电子银行资金被盗窃,同时政府系统的电子政务网的网络安全也面临着极大的威胁[1]。互联网已经成为病毒制作技术扩散、病毒传播的重要途径，病毒开发者之间已经出现了团队合作的趋势，病毒制作技术也在与黑客技术进行融合，他们对现在的病毒对抗技术提出了挑战。因此，病毒防护技术正在发生重大的变化，概括起来说，就是病毒对抗的理论在做从作品对抗到思想对抗的转变，产品形态在从独立软件产品向操作系统的补丁转变[2]。1）从作品对抗到思想对抗。以前，杀毒软件的理论基础是，首先要发现并确认一个病毒，然后再进行防范，它的缺点是，对未知病毒的防范能力弱，我们没有有效的办法对付各种病毒的变形。一般是一种新病毒发作后，大家才能开发出查杀该病毒的软件，用户还需要尽快升级自己的防毒软件，因此，可以说以前的方法就警察找罪犯，在警察没有看到罪犯犯罪，或得到举报前，即使罪犯犯了罪，警察也没有办法，这是一种病毒制造者与安全专家之间在作品层面的竞赛。而新的理论是基于对大量的病毒特征、发作过程、传播变化统计的基础上，建立控制策略数学模型，采取分门别类的方法，有效解决应用同种思想开发出的各种病毒，可以极大提高对新病毒的反应时间。由于这种方法是通过抑制病毒设计思想而实现的，因此，这是一种病毒制造者与安全专家之间在整体思想层面的竞赛。因此，新的杀毒软件不仅仅是依据病毒数据库中的病毒代码对计算机进行扫描，而是对计算机所运行的各种进程、各种操作进行监控，如果发现某个事件或某项操作存在典型的病毒特征，或是对计算机存在危害，那么这些事件或操作就会被阻止，从而更有效地保护计算机不受新型病毒的入侵。收稿时间：2011-07-15作者简介：高静峰（1981-），男，福建，硕士，主要研究方向：网络信息安全、Windows系统内核及相关Rootkit技术。472011年第09期第26次全国计算机安全学术交流会论文集2）从独立产品到操作系统的补丁。杀毒软件作为一个独立的软件产品，已经存在了很久，但是，由于病毒制造者越来越多地利用操作系统的漏洞和黑客技术，因此，与操作系统的紧密结合成为一种必然：一方面，可以帮助操作系统减少漏洞，另一方面，也可以进一步提高运行效率和软件兼容度。从商业角度上来说，安全技术可以融入各种应用系统，减少应用系统自身的安全漏洞，同时，也可以为用户提供更加个性化的安全服务。个虚拟CPU环境，将病毒在虚拟环境中激活，根据其行为特征，从而判断是否是病毒。有专家认为，所谓虚拟机技术，就是用软件先虚拟一套运行环境，让病毒先在该虚拟环境下运行，从而观察