“主动防御”说着容易做着难
“主动防御”说着容易做着难
从2005年开始,瑞星和少数国外安全公司就尝试在产品中加入HIPS等“主动防御”技术,虽然这些技术的应用效果很好,但是对用户操作技能的要求比较高,一旦操作不慎,会引起许多应用软件不能正常使用,甚至影响整个电脑系统的运行。
除了对核心技术的不断精进之外,如何在有效性和易用性之间找到平衡,成了这些公司的最大难题。事实上到目前为止,真正在产品中全面应用“主动防御”技术的杀毒软件,目前在全球范围内还寥寥无几。
瑞星的研发人员介绍,为了解决易用性的问题,瑞星专家在经过对数十万病毒的危险行为特征分析,同时结合大量中毒用户的案例分析,把大量规则预先设置到瑞星2008新品的主动防御模块中,使得大量普通用户不必自己去设置规则,甚至无需做任何操作,就能享受到“主动防御”系统的基础保护功能。
基于“主动防御”技术的“账号保险柜”,则是瑞星在“主动防御”反病毒产品中的独创功能,它的作用是保护各种客户端软件,用户只需将网游等各种软件客户端设置到“账号保险柜”中,就可以有效阻止未知木马病毒的攻击和偷窃。同时瑞星“账号保险柜”还主动预设了大量常用软件的保护,用户无需进行任何操作,就可放心使用默认被保护的百余款流行软件,其中包括传奇、征途等70多款热门网游,QQ、MSN等常用聊天工具,以及招行网上银行和30多种股票软件。
以对MSN的保护为例,瑞星“账号保险柜”不但能防止病毒通过注入DLL、篡改内存、读取内存、发送消息等方式窃取账号、密码,还可以防止病毒模拟键盘信息发送消息,从根本上阻止病毒的传播感染。简单说来就是,即使这些病毒感染了用户电脑,但是它们既不能搞破坏、窃取账号密码,也不能通过MSN传染其他用户。
保得住、杀得尽才算是攻防兼备
如果说“主动防御”是“盾”,那么对新病毒的查杀能力就是“矛”。在目前情况下衡量杀毒产品的“矛”是否锋利,主要是看其对木马病毒的查杀能力。
以往人们将电脑病毒分为木马、后门、蠕虫等等,但随着病毒技术的发展,各类病毒之间逐渐呈现出相互融合的态势。特别是近年来,很多木马病毒同时具有蠕虫的特征,感染性很强,有的则直接和蠕虫病毒等捆绑,形成复杂的混合型病毒。譬如07上半年毒王“帕虫(Worm.pabug)”,其分类上属于蠕虫,但是它侵入用户电脑后,会从网上下载数十个木马病毒,窃取网游、网银等账号。
瑞星上半年共截获83119个木马病毒,占同期总病毒数的62%,而具有木马行为特征的病毒,占病毒总量的80%以上。根据瑞星工程师的统计和分析,目前整个木马类病毒约有70万种之多。目前互联网上的最大顽疾就是这些混合型的木马病毒,不光破坏能力强,并且难以清除。
如何能快速截获并彻底清除这些顽固木马,是反病毒厂商面临的又一难题,瑞星反病毒工程师表示,部分安全工具类软件,只是通过扫描病毒文件名、MD5值等简单手段查杀木马,只能对付小部分简单的木马病毒,约占木马病毒总量的14%左右。
在分析数十万木马样本的基础上,瑞星在2008新品中推出了“木马病毒强杀”技术,结合“病毒DNA识别”、“主动防御”、“恶意行为检测”等大量核心技术,瑞星2008版可以有效地查杀多达70万种木马病毒,包括目前常见的各种加壳木马、混合型木马和家族式木马。
综上所述我们可以看出,目前整个安全行业正由传统的追杀病毒,向“攻防兼备”转化,越来越多的反病毒产品将会应用“主动防御”技术,同时针对新型的木马病毒,继续不断地改进传统的“特征码查杀”技术。
新的威胁层出不穷,与之相应的是安全产品的不断变革创新。从瑞星2008新品中我们看到,除了技术创新之外,厂商们将会更重视用户的实际使用效果,和其它IT行业一样,“用户体验第一”的意识在不断地加强,瑞星新品的“账号保险柜”功能就是一个典型的范例。我们相信其他厂商也会紧随行业领头羊的步伐,在新产品中加入“主动防御”技术,并将之改进、优化成所有用户都能够轻松体验到的实际应用效果。
安全行业的竞争依然聚焦在创新上,不论是新理念、新功能、新技术的突破,还是传统技术和服务手段的创新改造,都是为了保障用户的信息安全。
网友评论