胡英:反病毒新征战 | |
---|---|
http://www.sina.com.cn 2003年12月19日 09:49 计算机世界网 | |
“以红色代码、Nimda为代表的具有里程碑式的病毒,融入了黑客特征,从此改写了病毒形态和病毒传播历史,我们迎来了混合型病毒的时代……”自2002年以来,几乎所有的信息安全厂商,无论是在与客户交流中还是在各类公开场合的演讲中,都以上面这一同样的语言作为开场白。 而2003年中所发生的一连串网络病毒攻击事件,更是将厂商们的预言印证到极至: 自这些病毒事件以后,我们发现世界几乎所有的信息安全厂商都在忙碌,传统的防火墙厂商开始推出智能防火墙,传统的IDS厂商开始推出入侵防护产品(IPS),而传统的反病毒技术厂商在与反黑客厂商合作……目的只有一个:消灭混合型病毒。“网络病毒”不再是传统杀毒软件厂商谈论的“专利话题”,而是所有从事信息安全的厂商,包括防火墙、IDS、内容过滤或专业信息安全服务公司谈论的主要话题。 由此,我们不得不反思,既然病毒已经改变,反病毒的模式是否也应该进行一场彻底的变革?新型病毒的威力,使反病毒这一持续了10多年的话题再度成为热点。但不同的是,这场战争已不再是几个反病毒厂商的孤军奋战,而是一场真正意义上的人民战争,所有人员,包括信息安全厂商、系统开发商、网络用户,都责无旁贷地成为其中的一员,全心投入到这场战争中。 2003年网络新型病毒的攻击,让全球用户逐渐丧失对反攻击技术、甚至对网络的信心。欧洲独立调研机构VansonBourne近日进行的一项调查显示:只有12%的人对现有的安全方案“极有信心”,46%的人则是“稍有信心”或“根本没有信心”。 所谓“道高一尺,魔高一丈”,病毒与反病毒技术总是在相互依存、相互促进中发展,总是先有病毒,再有反病毒技术,如此循环往复。 “知己知彼,百战不殆”,只有了解病毒,才能分析病毒,最后找到解决的方法。自然界的反病毒法则,无一逃脱这一规律。那么,在未来的网络时代,计算机病毒会有哪些演变? 网络时代病毒的改变 “网络时代的病毒将呈现新的发展趋势”。今年,我们不止一次听到这样的描述。来自Sophos的一份报告称:未来的病毒作者将会与垃圾邮件发送者狼狈为奸,例如有些特洛伊木马病毒会让发垃圾邮件者接管第三方计算机,然后不动声色地通过这些计算机发布带毒的邮件。Sophos估计全球垃圾邮件的三成来自带毒的计算机,因此,病毒结合垃圾邮件将是未来病毒的主要发展趋势。此外,2003年,病毒制造者开始利用蠕虫偷取中毒者的财务信息,如信用卡密码等机密信息。 那么,除此之外呢?病毒的发展还将呈现哪些基本特征? 为了系统了解未来病毒的发展趋势,记者采访了瑞星公司研发部经理蔡骏先生,他向记者分析,归纳起来,未来病毒将呈现以下五大特征。 第一,病毒更加依赖网络。从今年的统计看,对个人电脑或企事业单位影响最大的是网络蠕虫,或者是符合网络传播特征的木马病毒等,典型病毒是求职信、大无极等。这些病毒会通过邮件漏洞搜索电脑的邮件地址,然后利用这些地址向外发送大量的病毒邮件,阻塞网络,使邮件服务器瘫痪。仅这两个病毒就给全球带来了几十亿美元的直接经济损失,具有很强的杀伤力和危害力,而且清除困难。 第二,向多元化发展。操作系统在不断发展,DOS病毒必然会被淘汰,Windows病毒随着操作系统的升级也会更新换代,比如CIH病毒,它不会再感染Win2000、XP,自然也将被淘汰,而尼姆达病毒则会感染所有Windows平台。病毒向多样化发展的结果是一些病毒会更精巧,另一些病毒会更复杂,混合多种病毒特征,如红色代码病毒就是综合了文件型、蠕虫型病毒的特性,病毒的多元化发展会造成反病毒的更加困难。 第三,传播方式呈多样化。病毒最早只通过文件拷贝传播,随着网络的发展,目前病毒可通过各种途径进行传播:有通过邮件传播的,如求职信;有通过网页传播的,如欢乐时光;有通过局域网传播的,如FUNLOVE;有通过QQ传播的,如QQ木马、QQ尾巴;有通过MSN传播的,如MSN射手……可以说,目前网络中存在的所有方便快捷的通信方式中,都已出现了相应的病毒。 第四,利用系统漏洞传播。今年的“2003蠕虫王”、“冲击波”病毒都是利用系统的漏洞,在短短的几天内就对整个互联网造成了巨大的危害。 第五,病毒技术与黑客技术融合。随着病毒技术与黑客技术的发展,病毒编写者最终将这两种技术进行了融合,因此,具有这两大特性的病毒将会越来越多。11月中旬爆发的“爱情后门”最新变种T病毒,就具有蠕虫、黑客、后门等多种病毒特性,杀伤力和危害性都非常大。 病毒在发展,反病毒技术也在发展。很多人在厂商的大肆宣传下,对防火墙、IDS甚至交换机、路由器中都增加了反病毒技术大惑不解,以为反病毒技术已经成为大众化的信息安全技术。但实际情况如何呢? 反病毒技术的改变 趋势科技公司的创始人张明正和NetScreen公司的创始人之一邓峰在今年面对反病毒市场上的混乱,曾多次表示:反病毒技术是一种独特的应用层安全技术,是任何其他的信息安全技术都不可替代的。事实上,大多数厂商都默认这种观点。 “无论厂商如何鼓噪,反病毒技术依然是信息安全领域内一大独特的技术,它的作用体现在对应用层数据包的检测上,这是工作在链路层或网络层上的防火墙、交换机等在技术上无法超越的。因此,虽然很多厂商都在谈论“反病毒”技术,但在最后实现时,还是要与反病毒的专业厂商合作。”Nokia企业网事业部中国区总经理张勇先生曾在各种场合多次这样表示。 为此,NetSceen公司和趋势科技公司还在今年正式宣布结成了程序代码级开发合作伙伴关系,共同开发具有反黑、防毒的多功能产品。 那么,作为网络时代一种重要的信息安全技术,反病毒将出现哪些变化呢?瑞星公司研发部经理蔡骏先生认为,在未来网络时代,反病毒技术随着病毒的变化,将呈现三大变化。 第一,未知病毒查杀技术将进入实用阶段。监控技术是反病毒技术的一大飞跃,它将被动杀毒变成了主动防御,使反病毒水平有了一个质的提高,但该技术还没有解决病毒查杀速度总是落后于病毒产生的问题,即只有先对病毒进行手工分析才能查杀该病毒。为了解决这一问题,目前市场上出现了一些对未知病毒的查杀技术,但这些技术还处于探索阶段,虽然取得了一些成绩,但对未知病毒的识别率不很高,因此只能作为一种辅助方法使用。但是,不久之后,这些技术将会获得革命性的突破。 第二,立体防毒将成为新的防毒概念。随着病毒数量的急剧增加,不同病毒同时泛滥的可能性大大增加,给用户造成了全方位的立体威胁。如有些病毒可以通过漏洞传播,另一些病毒会通过邮件传播,还有一些病毒则通过远程网络直接攻击。为此,反病毒技术也正朝着多层面立体防护的方向发展。 “简单地说,立体防护技术是将电脑的使用进行分层,每一层进行分别控制与管理。最上层,通过预杀式无毒安装,使安装过程不再受到病毒侵扰;然后通过漏洞扫描与修复能力,将系统的漏洞给监控起来,使用户明白系统的漏洞状况,进行相应的修补;通过病毒查杀,将电脑中的所有已知病毒进行清除;通过实时监控,使外界的病毒没有机会进入电脑,完成主动防毒;通过数据备份与修复功能,在底层将计算机的数据保护起来,即使其他的防护系统失效,导致像CIH、硬盘杀手这样的病毒发作使硬盘资料被毁,也能将用户的资料挽救回来;通过个人防火墙,杜绝黑客对用户电脑的攻击。”蔡骏说。 立体防毒就是将多种反病毒技术统一应用与联动,将电脑的每一个安全环节都监控起来。 第三,反病毒技术将更加注重应用化。未来,各种软件产品将越来越具有应用化趋势,比如QQ软件、网络游戏等,这些软件已经不仅仅是简单的电脑辅助工具,而已成为人们生活的一部分,并让人们产生了信赖这些产品的虚拟财产,因此,出现了一些直接针对这些软件的以偷盗虚拟财产为目的的专门病毒。 这类病毒一个共同的特点是,病毒变种的编写极其容易,因此瞬间会出现多种“秘而不宣”的变种,导致传统的杀毒软件无法及时查杀变种。为了改变这种被动的局面,就要用应用化的防毒技术来应对,即从应用的角度考虑,对一些特定的应用型软件产品如网络游戏、QQ等进行专门分析,找出安全侵入点,然后用监控的方式将这些侵入点保护起来,只要有程序非法侵入这些软件就会被主动拒绝,而不管它是不是反病毒软件能识别的病毒。 虽然反病毒是一项专门的信息安全技术,但显然仅依靠反病毒厂商是不行的。人们已经有了前车之鉴,在新型病毒攻击下,一些安装了反病毒软件的公司依然不能幸免。因为,反病毒还需要其他信息安全产品的配合。 反病毒模式的改变 “网络就像一个数字房间,虽然房间里面配备了医生(反病毒技术),但彻底杜绝病毒的方法,还是要堵住房间的老鼠洞(堵漏洞),看好门窗(网关防毒),对来往信件进行病毒查杀(邮件防毒),最大程度防止病毒通过各种渠道进入房间。而不是在所有门窗洞开,病毒肆无忌惮地进入房间后,才想到靠房间内的医生消灭病毒。”冠群金辰公司总经理陈葵女士对反病毒形象的描述,显示出反病毒将是一个综合、立体的方式,其模式将发生彻底的改变。 首先,为了防止病毒通过漏洞进入房间,我们需要漏洞扫描工具对系统进行扫描,及时发现漏洞,并迅速打上补丁。同时,我们应该随时关注系统软件供应商的漏洞发布信息,对最新的漏洞及时打上补丁。“因为,从漏洞发布到出现针对该漏洞的病毒,时间将越来越短,未来甚至将为零时间,所以我们必须要及时打补丁。”赛门铁克公司大中国区总裁郑裕庆先生在今年公布其《2003互联网安全威胁报告》时,这样强调。 其次,我们必须在所有的信息与互联网交流位置,比如网关、邮件、QQ等,部署相应的反病毒、防火墙等综合解决方案。因为,在出现一种利用漏洞的新病毒时,防火墙可通过封闭相应的漏洞端口,留下充裕的时间给系统打补丁,缓解病毒对系统的持续侵袭。此外,入侵检测或入侵防护也是不可少的,当它检测到网络上流量异常或其他异常行为时,可以迅速通知防火墙,采取相应的阻断措施。 第三,网络反病毒技术不可缺少。虽然部署了以上的一些立体战略,可以减轻大部分的攻击,但无论立体战略部属得如何周密,总有新的漏洞不断被发现,病毒总能通过人们不能预测的途径进入系统,此时,一套综合的网络反病毒系统(房间医生)将能及时、高效地将这些病毒清除干净。 这三大措施,基本就是这几年几乎所有的信息安全厂商反复强调的立体防毒概念,也是所有信息安全厂商全部推出整体解决方案的原因。 因为,反病毒是一项所有信息安全产品总动员的事业。此外,从参与的人员看,不但信息安全厂商责无旁贷地成为反病毒的主力军,而且政府、企业用户、个人都将参与到这一战争中。 “企业用户除了要部署综合防范措施外,还应该在管理制度上进行有效部署,并在应急响应和灾难恢复上选择好的服务合作伙伴。因为,这些都是将病毒带来的损失降到最低的有效保证。”联想集团信息安全事业部总经理任增强在今年的历次活动中反复强调。 政府已经注意到今年的病毒发作猖獗的情况,各国政府目前正在积极立法并采取措施反击病毒——一些备受瞩目的病毒作者在2003年被逮捕并被处以重罚。一些大型企业也提供巨额资金支持反病毒事业,比如微软悬赏五百万美元缉拿这些害虫。但目前各国在互联网反病毒的立法协同方面,面临着相当大的困难,比如,在反病毒型垃圾邮件方面,各国的立法目标并不一致:欧盟正打算对垃圾邮件制定严格的“同意收件”法律,但美国众议院最新的反垃圾邮件法却订得相当宽松,把责任推给收件人,由收件人“选择拒收”,而且大部分的商业垃圾邮件几乎不受规范。在网络无国界的今天,各国立法的协同问题将是全球反病毒事业面临的一项长期而艰巨的任务。 显然,病毒技术在发展,反病毒技术和理念都将随之改变。我们每一个人都必须行动起来! 一:重新定义病毒 计算机病毒并不是自然存在的,而是有些人利用计算机软件或者硬件所固有的脆弱性,编制的具有特殊功能的一段程序,由于这段程序和生物医学上的病毒有极其相似的特性,同样具有传染性和破坏性,因此被叫做“计算机病毒”,简称“病毒”。 从广义的角度来讲,凡是能够引起计算机故障,破坏计算机数据的程序,统称“计算机病毒”。目前计算机病毒、蠕虫、木马或者破坏程序的黑客程序都统一称为“计算机病毒”。当计算机病毒日益受到重视时,国家公安部也发布了官方的计算机病毒的定义:计算机病毒是在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一种计算机指令或者程序代码。 病毒具有七大特征: 可执行性、传染性与传播性、破坏性、欺骗性、隐蔽性和潜伏性、可触发性、针对性。 二:病毒的分类? 病毒总是伴随计算机软硬件技术的发展而发展的,只要有新的硬件和新的操作系统,就会有新的病毒出现。目前病毒分为:传统DOS病毒和网络Windows病毒两种。 DOS病毒主要分为文件型和引导区型两种。Windows病毒可分为:可执行文件病毒、宏病毒、脚本病毒、邮件病毒、漏洞病毒、蠕虫病毒、木马/黑客病毒、破坏程序等。 三:反病毒技术分类 1.特征码技术 特征码技术是为了对付文件型病毒而出现的。其原理是将病毒传播的特征代码提取出来,在进行病毒检测时,打开文件,查找特征码,证明是否染毒。特征码技术的优点是速度快,准确率高;缺点是无法对付变型病毒或加密的病毒,没有灵活性。 2.广谱特征扫描技术 病毒变了,但万变不离其宗,变型总是有踪迹可循,比如特征串里可能有十个字符,变了八个,还有两个没变,我们把这两个作为特征,可以检测到部分变形病毒,但是一个很大的缺点是容易误报。从理论上说这是不可靠的。 3.启发式扫描技术 启发式扫描技术,不是单纯搜索一个程序体内的特征码,而是把静态扫描技术,比如特征码与动态虚拟结合起来。动态虚拟是让被检测的程序在一个虚构的环境中执行,带病毒的程序自然表现出一些特征,可让病毒体释放出来,再进行特征码检测,进行加权或其他基于数学统计的方式进行启发式扫描。这种技术的优点是误报率低,且能够检测出病毒变形;缺点是对未知病毒的检测能力较低。 4. 行为判定技术 基于虚拟机技术,还有一种叫行为判定技术。它真实地模拟操作系统,称为虚拟机,让病毒在虚拟环境里尽量真实地执行。如果这个文件会打开另外一个文件,或者将系统终端修改了,或者将特定的扇区修改了,总之符合现有的规则条件,就认为它是一个病毒。这种技术的优点是能够对未知病毒进行判别,对标准病毒判别准确率高。缺点是实现难度很大。 5. 监控技术 病毒的主动防护技术就是实时监控了。 文件监控技术是为了对付文件型病毒,当点击一个文件时,监控程序会通过操作系统截获到文件操作,把这个文件抓住,扔到反病毒引擎里进行病毒扫描,一旦发现文件带毒,就拒绝打开,这样设备不会受病毒的干扰。 内存监控技术是为了对付内存型病毒的,在程序运行起来时检测是否带毒。 邮件监控是为了对付邮件病毒而产生的。用户发送邮件之前,首先用反病毒引擎对其进行扫描,如果带毒就拒绝邮件发送。接收邮件时,反病毒软件把邮件先收下来,直接转交给反病毒引擎,进行检测后,如果发现有病毒,就将病毒清除后再发送给用户。 嵌入脚本监控是为了对付脚本病毒而研制的。当打开网页时,脚本监控程序首先对网页检测是否带毒。如果有病毒,就会显示发现病毒代码,数秒内自动跳过。 作者:《计算机世界》记者 胡英 |