首 頁  |  微點新聞  |  業界動態  |  安全資訊  |  安全快報  |  產品信息  |  網絡版首頁
通行證  |  客服中心  |  微點社區  |  微點郵局  |  常見問題  |  在線訂購  |  各地代理商
 

劉旭:反病毒之路將向何處去?
來源:51CTO  2008-04-28 12:21:01

反病毒之路將向何處去?

劉旭在“第九屆中國信息安全大會”的講話

劉旭 : 大家對病毒和防病毒應該都是非常熟悉了,在病毒出現10多年來,大家現在也廣泛在應用防病毒產品,我想全國幾乎絕大部分的用戶都配備了殺毒軟件,那么既然大家配備了殺毒軟件,那么現在病毒的危害性是否有所下降?或者我能否成功遏制這樣一些病毒呢?我們看一下現實的情況,首先我跟大家講,目前病毒的危害情況是相當嚴峻的。


劉旭 : 國家計算機病毒應急處理中心07年中國計算機病毒疫情調查技術分析報告中顯示,我國計算機病毒感染率07年高達91.47%,也就是說10臺計算機有9臺以上的計算機被感染,是相當高的,而且實際上我們從這張圖上可以看出,這張圖是國家計算機病毒應急處理中心從2001年到2007年調查的一個曲線圖,我們可以看出2007年是高居首位。


劉旭 : 病毒感染三次以上的用戶數量達到53.64%。現在計算機病毒一個非常顯著的特點就是病毒的數量急劇增加,也就是病毒泛濫。說話看一下國外的情況,在今年的3月20號,美國一家著名的媒體就發布了一篇文章,在這篇文章里面他采訪的主要是國外的幾家公司,其中一家是德國的防病毒測試實驗室,根據它的統計可能新出現的病毒數可能大大超過大家的想象,根據他們的統計,去年新增的病毒超過550萬種,這是06年的4倍,是05年的15倍。根據這家公司的統計,今年頭兩個月他們新發現的病毒數量就超過100萬個。而在同一篇文章中還預測了一個數據,現在新增的病毒數量每小時是2000-3000種,這個數量是非常非常可怕的。這個預測圖是從1985年開始統計的,可以看出1985年到2003年幾乎是在同一水平線上,從04年這條線開始抬頭,到06、07年我們看到這條線已經非常非常高了。


劉旭 : 據F-Secure介紹,現在每天都能收集到2.5萬個左右的惡意軟件樣本,為歷史最高水平,照此下去,各類病毒木馬數將在08年底突破1000萬。


劉旭 : 我們再看一下卡巴斯基最近的預測,卡巴斯基07年總共發現了222萬種新病毒,跟剛才德國那家公司相比的話少了一半,是06年的4倍,這跟德國這家公司是一樣的,都說是4倍,根據他的分析師預測,08年新增病毒數將超過2000萬種,這個數是07年的10倍,也就是說現在病毒數的增長要快于前幾年。


劉旭 : 我們應該來看一下幾乎國際上絕大部分防病毒公司都有一致的看法,08年新增的病毒數量將超過1000萬種。我們剛才說了病毒數量現在是急劇增加,那么為什么會急劇增加呢?那么我們下面介紹一下病毒的特點。


劉旭 : 病毒的特點最關鍵的一點,為什么現在比原先大很多,而且還在快速增長,最主要的首要是病毒編寫目的不同。以前的病毒是“損人不利己”的,現在的病毒的一個特點,現在絕大部分的病毒或者新出現的病毒大都是以“以盈利為主要目的”的。由于這樣的目的不同,所以導致了病毒的特點有很大的不同。


劉旭 : 那么我們來看一下一下現在病毒的第二個特點,叫病毒編寫的組織化。以前病毒編寫絕大部分是個人行為,現在越來越多的是團伙行為,甚至一些病毒是企業行為。那么我們來看一下,比如說大家熟知的木馬軟件,也可以把它歸為病毒類,把它歸為惡意程序類的話,實際上它就是非常典型的企業行為。


劉旭 : 那么另外一個特點,現在的病毒已經形成產業鏈。病毒上游可能會提供一些加殼工具、免殺工具,下游利用這些工具對病毒進行加工,以逃避殺毒軟件的查殺;上游編寫病毒,下游銷售病毒。

劉旭 : 另外病毒現在有一個非常突出的特點,叫多變種、小批量感染。為什么會這樣呢?就是說以前的病毒編寫者利用一種病毒感染所有計算機。但是采用這種方式一旦病毒被發現,殺毒軟件升級后就可能全部被查殺掉,這樣的話,病毒的生存能力就不是很強,而現在,病毒編寫者為了避免編寫的所有病毒被殺毒軟件全部清除,采用不斷變種病毒的方式進行感染。即使某些變種病毒被殺毒軟件清除,仍然保持相當多的病毒不被清除。這樣的話,殺毒軟件可能發現其中一些變種,但是它有可能清除不完全。


劉旭 : 變種要需要大量的人力物力,大家知道很著名的熊貓燒香病毒,它在短短的幾個月里面編寫了幾百萬個,投入了大量的人力物力,那么這樣他們也意識到了這是一個很復雜的過程,所以現在他要進行對病毒編寫自動化。以前病毒主要是手工編寫,現在已經開始自動化,利用自動加殼機和自動免殺機自動生成。這樣就能使得這個病毒有比較好的生存能力。我們國內某些網站被病毒感染,這個網站會每隔59分鐘病毒就自動升級。也就是說你頭59分鐘用戶訪問這個網站的話,感染的是這個病毒,下一個59分鐘感染的是另外一個病毒,之所以選擇59分鐘,病毒編輯者認為現在的殺毒軟件升級再頻繁,你升級的間隔至少在1個小時以上,而我相信現在還有很多殺毒軟件廠商還沒有達到一天24小時,那么這種他就能確保他的病毒不可能被全部清除。


劉旭 : 第六個特點,病毒數量呈幾何級數增長。以前的病毒數量非常非常少,以前像06年一年只有幾種病毒,后面就變成了幾十種。大家使用殺毒軟件,最早的時候殺毒軟件廠商怎么說呢?要求用戶說半年內必須升級,后面說你三個月必須升級,為什么?就是說在這個時間段里面病毒數量增加了很多,而現在要求用戶是每天升級,主要原因就是病毒數量在急劇增加,數量太多。
劉旭 : 另外一個特點,病毒的危害性更大,以前病毒主要是破壞計算機信息以及一些數據,那么你如果采取備份的方式就可以避免或者降低損失。那么現在是以商業興為目的,比如說竊取商業秘密、金融財產、虛擬財產為主,這樣直接造成的損失更大,而且這一旦遭受損失,就很難以挽回。以前說的是亡羊補牢,那么亡羊補牢的效果究竟有多少作用?這是一個很大的問題,因為就算你亡羊補牢你還是損失了一些東西。

劉旭 : 90年代初病毒都具有發作時期,而現在的病毒都不再這樣。比如說計算機病毒之所以被稱為病毒,是因為它與生物病毒有很多類似之處,它也有潛伏期,也有發作期。比如著名CIH病毒(1.2版本),發作日為每年4月26日,即使計算機被CIH感染,只要將計算機的時鐘調過4月26日,病毒也不會發作,也就不會破壞用戶的信息。再比如“黑色星期五”病毒,其發作日是十三號同時是星期五的日子。也就是說你躍過這個發作日,即使病毒在你的機器里面也不會發作。那么現在的病毒沒有這種說法了,一旦被病毒感染,病毒將隨時竊取用戶的主要信息和財產,損失可能立即造成。比如說你采取的是QQ,機器里存在盜號木馬,你剛一使用QQ,你的帳號就已經被盜了。

劉旭 : 病毒現在有這么多特點,那么我們看一看作為主要防范病毒的工具,實際上就是殺毒軟件,而我認為殺毒軟件現在還面臨著很大的尷尬。殺毒軟件主要的特點是什么?它主要是利用病毒特征碼發現病毒,而病毒的特征碼是從病毒體里面提取出來的,比如防病毒發現了這是一個病毒,那就從病毒體里面提煉出幾段或者一段代碼,然后他就跟機器里面的文件做比對,發現相同的就是會報這是病毒。這就注定了殺毒軟件只能發現反病毒公司已經收集到的病毒,對于未收集到的病毒沒有防范能力。當前,病毒是呈幾何級數的增長,因此在任何一個時刻,病毒軟件不能防范病毒的數量非常多。
劉旭 : 殺毒軟件的尷尬最關鍵的一點,就是因為它的這種方式是滯后于病毒的,而病毒是在層出不窮的發展的,這已經成為了其致命的缺陷。為什么?也就是你剛提供給用戶,你就發現自己已經滯后于病毒了。


劉旭 : 下面介紹一下殺毒軟件遏制病毒能力相對下降。另外是殺毒軟件保護用戶財產能力相對下降。我們說它保護財產的能力已經相對下降了,而現在發現病毒也越來越困難了。
劉旭 : 因為現在有些病毒編寫者會招聘一些高精尖專業技術人員,尤其現在殺病毒軟件跟操作系統也有兼容性問題,所以通常情況下有很多病毒是不會被殺毒軟件發現的。另外殺毒軟件處理病毒的能力已經逼近當前電腦的極限,現在病毒庫大概就要占到好幾個G。


劉旭 : 后面主要介紹主動防御技術,這已經成為了未來反病毒技術的主要方向。也就是說,殺毒軟件主要是靠特征值來看的,那么我們能不能從他們的行為中察看到它是一個病毒呢?也就是說病毒分析人員可以分析出這是一個病毒,那能不能把它的識別做到自動化、智能化呢?我們認為是可以的。主動防御技術的三大判定原則,這不是具有監控程序動作就能成為主動防御,一如HIPS系統就不是主動防御技術,它只是動作報警器。主要防御技術作為下一代反病毒與其他反病毒技術一樣,它必須對程序是否有病毒作出明確的結論。


劉旭 : 我們公司發布了主動防御技術,到目前為止我們在網上已經測試了三年,對著名的熊貓燒香病毒,當然這個病毒感染的非常厲害,熊貓燒香病毒是2006年編寫、傳播的,而我們對它的防御非常好。


劉旭 : 我們認為主動防御技術我們認為是未來防范計算機病毒的出路。我的講話到此為止,謝謝大家。


 
 

免費體驗
下  載
安裝演示

今晚3d预测号码一注