|
主动防御 反病毒新技术
|
来源: 2008-11-19 10:40:11
|
北京奥运会、残奥会开闭幕式是世界关注的焦点,假设总导演张艺谋的电脑信息被黑客窃取、攻击,不但奥运会方案会泄露,甚至开闭幕式都无法正常进行…… 美国总统大选,奥巴马最担心的是他的核心计算机被窃取、网络被攻击,他总结自己的获胜至宝,也是网络的胜利。 网络安全已关系国家民生,面对全球每小时出现的1000多种新病毒,传统杀毒软件日显滞后,主动防御病毒技术应运而生。 公安部近日发布的《2008年全国信息网络安全状况暨计算机病毒疫情调查报告》显示,在网络发生安全事件的类型中,感染计算机病毒、蠕虫和木马程序依然十分突出,占72%。另一个新的安全隐患“被动泄密”,正在侵蚀着计算机网络。 什么原因导致了“被动泄密”现象的增多,用户该如何避免糊里糊涂成为木马病毒的牺牲品,或“间谍”程序的攻击对象?记者专访了著名反病毒专家、国家863计划“基于程序行为自主分析判断的实时防护技术”课题组组长刘旭。 黑客批发“肉鸡”0.1元一台 “僵尸”成群攻击他人计算机 用户不知不觉中被动泄密 刘旭介绍说,在业内,被黑客控制的计算机就叫“肉鸡”,任何一台电脑都可能成为“肉鸡”。对于黑客而言,“肉鸡”是没有秘密可言的,所有信息文件都可以轻而易举的调看。这样一只“肉鸡”,如今在网上的叫卖价只有0.1元,由于价格低廉,“肉鸡”一般都是成千上万台批发买卖。最近,利用“微软黑屏正版验证”传播变种灰鸽子新病毒,就是让用户电脑成为被远程控制的“肉鸡”。 还有更可怕的“僵尸”,也就是被“僵尸”病毒控制的计算机,这种计算机带有攻击性,被黑客控制的“僵尸”计算机组成网络,会攻击别人的计算机以及重要网站。“僵尸”多是境外黑客网络,主要窃取商业秘密、威胁国家信息网络安全。 刘旭说,现在编写和制作病毒的目的,已由过去的“损人不利己”,变为趋利性攻击,如窃取信息等;电脑的中毒率也由2001年的73%,上升到去年的91.47%。当前病毒出现工具化和自动化生成等最新特征,同时呈现隐蔽性、抗杀性、针对性的特点,未知病毒和新病毒让用户防不胜防。这两年,“网游大盗”、“熊猫烧香”、“德芙”、“qq木马”、“僵尸木马”等入侵用户电脑,盗取密码账号、个人隐私、商业秘密、网络财产甚至国家机密等,就是典型的例子。如果不对这些木马、间谍病毒加以防范,就容易造成用户在不知不觉中被动泄露信息。 传统杀毒只找一段程序代码 对化妆改造者束手无策 几乎所有的计算机都配置了杀毒软件,但用户为什么屡遭攻击,甚至发生被动信息泄密呢?刘旭表示,传统杀毒软件在过去病毒数量不多、传播速度不快的背景下,还是比较有效的工具,但在互联网广泛应用、全球病毒特征出现颠覆性变化的今天,显然已力不从心。 刘旭分析了传统杀毒软件的原理。打个比方,传统杀毒软件查杀病毒,就像低水平的保安抓小偷,完全依赖局部特征,今天抓到一个穿红色衣服的小偷,就认为穿红衣的都是小偷,明天抓到一个穿黄色衣服的小偷,又认为穿黄衣的也是小偷。发现病毒,找出一段或几段程序代码,就是病毒特征码,一旦发现类似或相同的代码,就认为是病毒。传统杀毒软件采用的是特征值扫描技术:“病毒出现——用户提交——厂商人工分析——软件升级”这样的思路,对病毒的防范始终是落后于病毒出现,一般只能杀厂家已发现的病毒,对于新出现或者经过“化妆”改造的病毒,则束手无策。 当前病毒都已经自动化产业化了,杀毒厂商还在采用落后的人工分析的思路,必然做不到对未知病毒和新病毒的防范。实现反病毒技术由被动事后杀毒,到主动防御的变革,不仅是全球反病毒产业的共同课题和新的竞争焦点,更是计算机用户的迫切需求。 863项目微点主动防御软件 保障奥运开闭幕式网络安全 刘旭说,现在绝大多数杀毒软件都自称具有主动防御功能,但是主动防御是基于程序行为自主分析判断的实时防护技术,必须具备对未知病毒和新病毒自主识别、明确报出并自动清除三大基本特征,这是区分真假主动防御的试金石,尤其“明确报出”未知病毒和新病毒,大多数杀毒软件还做不到。 此外,一些传统杀毒软件对是否真正存在病毒不明确报出,而是采用一些普通用户读不懂的语言,如:“有程序正在向您的计算机设置全局挂钩、是否允许”、“有程序正在加载驱动,请选择”,让用户自己判断,而非计算机专业人员是难以选择的。 国家863项目——微点主动防御软件,是世界首套主动防御软件,采用模拟反病毒专家及其病毒判定机制,实现了“动态仿真反病毒专家系统,自动准确判定新病毒、程序行为监控并举、自动提取特征值实现多重防护、可视化显示监控信息”等五项核心技术的突破。经过近百万种病毒的测试,防杀未知病毒和新病毒的有效率达99%以上。 北京奥运会开闭幕式运营中心自采用国家863项目——微点主动防御软件,成功阻止了黑客和各种新老病毒的攻击、入侵,运营中心网络信息系统从未发生过信息泄密事件,这标志着我国反病毒技术成功经受了北京奥运会、残奥会的重大考验。 不上不健康网站以免染毒 拒收不明邮件最好专机专用 不用u盘在电脑间拷文件 刘旭指出,用户应有自觉的信息安全意识。首先应养成良好的上网习惯。一些不健康的网站往往是造成用户病毒感染的重要原因。 其次,在一个单位,同事之间,随意通过u盘把自己的文件拷给别人,或者到别人机器上拷文件,不仅是感染并传播病毒的途径,也是造成病毒攻击、黑客入侵而导致信息被动泄密的重要原因。在实际工作中,特别是对信息安全要求高的用户,尽量杜绝用u盘在不同的用户间来回拷文件的做法,还应加强对用户自身邮件安全的保护,拒收不明邮件。同时,有条件应该做到专机专用。 第三,采用安全可靠的反病毒工具。越来越多的例子已经证明,杀毒软件自身也容易被攻击。所以,不仅要慎用非正版软件,还要谨慎选用反病毒工具。采用真正具有主动防御技术的反病毒工具,是比较可靠的选择。 本报记者 李冬梅 |