评论：安全厂商在梦想和现实中穿行

　　主动防御 安全厂商在梦想和现实中穿行

　　本报记者 张伟报道

　　近日，国内杀毒软件厂商江民科技和瑞星先后推出 2008年的杀毒软件新品。江民科技2008年杀毒软件以智能主动防御杀毒为最大亮点，变身“反病毒和系统安全软件”；瑞星发布的杀毒软件瑞星2008版将主动防御作为与查杀病毒并列的主要核心功能。两大杀毒软件厂商均宣称，国产杀毒软件反病毒技术已全面进入主动防御时代。

　　“由被动防御(特征码查杀)变为主动防御，一直是

杀毒软件厂商的梦想，但真正实现起来非常困难。”易观国际分析师李翀向记者表示，近年来，尽管主动防御概念在国内外杀毒软件厂商的产品中时有提及，但现在就称国产杀毒软件反

病毒技术已进入全面主动防御时代“为时过早”。

　　变换游戏规则

　　主动防御是安全工程师们试图弥补传统特征码查杀技术的致命弱点——过分依赖对新病毒的截获能力和速度而提出的。目前，反病毒的主流技术依然是沿袭多年的特征码查杀技术，其工作流程是“截获—处理—升级”。虽然这种技术已经非常成熟可靠，但它总是滞后于病毒的传播，也就是说，当杀毒软件厂商截获新病毒的时候，已经有部分用户被病毒侵害。

　　瑞星公司工程师向记者作了一个“警察抓小偷”的形象描述，特征码查杀就像警察拿着小偷的照片去抓小偷，看哪个人长得和照片上的人一样就抓起来。主动防御是阻止小偷的偷窃行为，就像给房间安装防盗门。同时，主动防御还可以根据侵入者的行为组合(比如从窗户进入房间、把电视机搬出房间等行为)判断他是不是小偷。

　　主动防御是一种阻止恶意程序执行的技术，较好地弥补了传统杀毒软件采用特征码查杀和监控相对滞后的技术弱点，可以在病毒发作时进行主动而有效的全面防范，从技术层面上有效应对未知病毒的肆虐。

　　因此，对于主动防御，杀毒软件厂商在研发和推广上具有相当高的热情。李翀表示，从2005年开始，国内外一些杀毒软件厂商就尝试在产品中加入HIPS(Host Intrusion Prevent System，一种基于主机的入侵防御系统技术)等主动防御技术，虽然这些技术的应用效果很好，但对用户操作技能的要求比较高，一旦操作不慎，可能会导致许多应用软件不能正常使用，甚至影响整个电脑系统的运行。除了对核心技术的不断精进之外，如何在有效性和易用性之间找到平衡，成了这些杀毒软件厂商最大的难题。事实上，目前真正在产品中全面应用主动防御技术的杀毒软件在全球范围内寥寥无几。

　　厂商布阵积极

　　“主动防御对江民而言并非新名词。”江民科技总裁陶新宇表示，主动防御技术发展到今天，在技术上更加成熟，而且伴随着病毒变种的增多和各种所谓“免杀”技术的流行，市场对未知病毒主动防御技术的需求显得比以往任何时候都迫切，因此受到了杀毒软件厂商的高度重视。2005年江民杀毒软件就在KV2005中推出未知病毒主动防御系统，是国内首家在杀毒软件中融入未知病毒主动防御技术的杀毒软件厂商。目前，江民科技已经率先提出了“智能主动防御”的概念，比主动防御更进了一步。“如果从时间上区分，2005年应该是主动防御技术的导入年， 2008年可以说是智能主动防御技术的导入年”。

　　“很多人都有这样的错误观点，认为杀毒软件只要能把病毒杀掉就可以了。实际上，随着计算机病毒的不断演变，杀毒软件也在不断进化。”瑞星公司副总裁毛一丁表示， 目前的杀毒软件主要依靠特征码的方式查杀病毒，这种方法查毒准确、快速，但要求杀毒软件厂商必须首先截获到病毒样本，进行分析后才能够对其进行查杀，而对于一些新病毒以及病毒的新增变种则显得力不从心。主动防御是HIPS、恶意行为分析、隐藏进程检测等多种技术的统称，是全球信息安全技术的主要发展方向之一。因此，瑞星投入了大量的人力、物力和财力，向主动防御技术发起了攻关。瑞星杀毒软件2008版中采用的主动防御技术包含3个层次：资源访问规则控制、资源访问扫描、程序活动行为分析引擎，其中以行为分析引擎技术最为关键。

　　赛门铁克中国区消费产品事业部销售总监黄智华介绍说，现在互联网安全面临五大威胁：病毒由高级威胁研究团队撰写、恶意代码与虚拟世界威胁用户安全、高级网络威胁、病毒自动化逃避检测流程、僵尸网络用法多样化。因此，互联网的安全工具发展方向主要有两个方面，一是基于签名的检测技术，二是基于行为的检测技术。基于行为的检测技术，赛门铁克的主动防御技术SONAR(赛门铁克前瞻响应在线网络)在标准病毒和间谍软件检测定义之前保护用户免受恶意代码的攻击。

　　目前，国内三大杀毒软件巨头中的江民科技、瑞星都已发布2008年杀毒软件新品。另一巨头金山反病毒工程师在接受记者采访时透露，金山毒霸2008版将于今年年底发布，新版本最大的亮点在于三维互联网防御体系。金山毒霸在本地病毒库监测、查杀和主动防御技术的基础上加入了互联网可信认证技术，这样，在目前金山独有的海量互联网可信数据的基础上，当本地病毒库和主动防御无法判定某文件是否为危险文件时，金山毒霸会通过服务器端的动态海量互联网可信数据来认证该文件安全与否。通过这一技术，金山毒霸可以第一时间查杀新病毒。

　　攻守兼备是正道

　　“以前，我们在主动防御的表现上给自己打40分，现在可以打到90分。” 瑞星公司工程师表示，瑞星公司的主动防御技术已经进入成熟的发展阶段。江民科技的工程师也表示，该公司的智能主动防御技术目前已相当成熟。

　　但业界对此看法不同。“现在国内的主动防御技术完全没有成熟，仍处在起步发展的初级阶段，有的技术还处在实验室的研究探索阶段。” 李翀认为，截至目前，全球范围内还没有任何一家安全厂商做到真正、完全的主动防御，而且黑客攻击方式和病毒的变化也导致主动防御从技术上难以完全实现。现在国内外杀毒软件厂商的主动防御技术更多还是依赖特征码监测的方式，并没有实现真正意义上的主动防御。 对于杀毒软件厂商而言，病毒行为特征是不断动态变化的，通过病毒行为监测的方式防御未知病毒并不是最有效的方式，在目前的形势下应升级其后台的带宽并提高服务器响应能力，采取对用户端及时升级的方式来防范病毒的大规模扩散。

　　“业界对杀毒方式的认识只有响应式和预防式的，没有所谓的被动防御。”金山反病毒工程师向记者强调，主动防御是目的，不是一种技术手段，目前业界所宣称的主动防御技术实际上是采用一系列不断更新的程序规则，帮助用户发现新的威胁，拦截的效果完全取决于规则是否合理和充分。多样化、个性化是网络时代计算机用户的特点，很难找到一个通用的规则，要让普通用户自己来设计规则，将会是对用户电脑技能的严峻考验。他认为，“主动防御目前仍处于主动防御理念的初级认知阶段，但在今后几年会得到比较大的发展”。

　　陶新宇表示，业界已将主动防御和特征码查杀技术并列为两大反病毒技术，主动防御目前尚无法替代以特征码查杀技术为主的被动防御，因为主动防御技术还做不到100%的准确和完全的智能化，还需要用户人工进行一些简单的判断。而且，两大技术的侧重点不同，主动防御技术侧重于“防”，针对的主要是未知病毒；对于已经中毒的电脑，用特征码查杀技术杀病毒会更准确、高效。

　　在江民科技看来，主动防御技术和特征码查杀技术二者相辅相成，既互相独立又互为补充，不存在一方替代另一方的问题。在主动防御技术上，江民科技已经提出了智能主动防御的概念，将进一步在主动防御的智能化方面下功夫；在特征码查杀技术方面，也将进一步加大病毒库的更新并提高更新速度，进一步扩大病毒样本的搜集范围，与全球反病毒机构加大合作力度，双管齐下防范病毒。

　　黄智华表示，赛门铁克正在把基于签名与基于行为的主动防御技术结合起来，赛门铁克基于行为的保护技术并不是依靠单一的签字或者定义库来保护用户免受病毒及其他威胁的攻击。

　　毛一丁认为，目前整个安全行业正由传统的追杀病毒向“攻防兼备”转化，越来越多的反病毒产品将会应用主动防御技术，同时针对新型的木马病毒不断改进传统的特征码查杀技术。“‘保得住、杀得尽’才算是攻防兼备，如果说主动防御是盾，那么对新病毒的查杀能力就是矛。在目前情况下，衡量杀毒产品的矛是否锋利，主要是看其查杀木马病毒的能力”。

　　目前整个安全行业正由传统的追杀病毒向“攻防兼备”转化，越来越多的反病毒产品将会应用主动防御技术，同时针对新型的木马病毒不断改进传统的特征码查杀技术。“保得住、杀得尽”才算是攻防兼备，如果说主动防御是盾，那么对新病毒的查杀能力就是矛。在目前情况下，衡量杀毒产品的矛是否锋利，主要是看其查杀木马病毒的能力。