在甲流肆虐的今天,笔者想谈谈这一事件对于木马检测防范的启示。
木马和流感病毒之间的类比
二、防治流感病毒和木马检测防范的异同
1.检测思路的异同
从SARS防治的成功经验来看,防范流感病毒的的首要条件就是及时发现疑似病例。具体的方式就是国家的高度重视,同时配合广泛的媒体宣传和报道。对于这种输入型的流感病毒,加强机场、出入境人员的检查和事后的人员追查。在医院专门设置发热门诊,进行有效过滤。这些都是从管理措施来提升检测的有效性。而另一个层面,从发现疑似病例到确诊这个阶段,就是纯技术层面的了。从检测模式来看,基本可以归为如下流程:发现确诊案例后提取其相关的样本,经过专门的检测机构进行一系列提取、分离等动作,并配合基因测定等方式,最终确定病毒样本,然后再进入到耐药性等一系列测试,以发现有效抗病毒的药物。
现在的木马的检测流程与这个过程有非常相似的地方,安全厂商及相关的实验室、研究机构通过截取、用户主动上报等方式获得新的木马样例,经过内部的脱壳、反编译等分析手段,发现木马的特征码,然后发布检测和清除方法。
如果说两者的不同点,还在于获取样本和分析周期上。相比较而言,对于单个木马的分析和特征提取比分析单个流感病毒更容易一些,投入相对小,分析周期快。但是从新样本增加的趋势来看,新型木马出现的数量、频度远高于新型流感病毒出现的数量、频度,2008年新增木马的数量是27.6万个,比2007年相对上升了5.6%,这个数字相当的惊人。
2. 检测思路面临的困境
流感病毒源自于自然界。科学发展到现在,虽然有了非常大的进步,但人类对于自然界的了解和掌控还只是前进了一小步。因此,对于流感病毒的及时检测发现注定存在一定的缺陷,我们很难在这个方面取得质的突破。
同样,对于新型木马检测目前在业界已经成了一个难题。在2000年初,传统的防病毒厂商在宣传产品优势的时候,木马样本库还是厂商重点宣传的指标,可以达到上万个。但是到了现在,木马的数量发展速度已经远远超出了防病毒厂商的特征库更新能力。不管防病毒厂商的收费模式如何变化,电脑用户的对于病毒厂商的抱怨越来越大,信任度也越来越低,以致于出现“杀毒软件”是否应该免费的巨大争论,传统的防病毒厂商面临着生存困境。究其根本原因,其实是防病毒厂商的传统检测机制出了问题。由于木马的二进制属性和互联网的普及,木马的变化、新增能力远远超过自然界的病毒生物属性的变化能力。传统的检测模式就像“黑客帝国”一样,演变为是一场人和机器人之间的战争。这是一场不对等的战役,几乎没有胜利的可能。不转变检测思路,木马泛滥的问题是无法解决的。
网友评论