07反病毒市场杂谈 黑客投入更具“钱途”产业

51testing

2007年是互联网蓬勃发展的一年，电子商务、搜索引擎、视频网站、社交网络都触手可及。2007年是网络安全问题大爆发的一年，从06年隐藏在木马背后的灰色产业链走到台前，有越来越多的黑客、准黑客转身投入这一更有“钱途”的产业，网页挂马、ARP欺骗、0Day漏洞、U盘病毒、Rootkit钩子令大家耳熟能详。

　　从年内几家杀毒软件厂商不约而同推出的互联网安全报告中我们可以看到，虽然统计数字略有差异，但都显示了一个事实，即：变化多端、针对性强的木马程序成为了安全威胁的主流，而其他蠕虫、漏洞病毒也几乎都是为木马来服务的，其目的就是通过自身传播能力、攻击能力，以自身为载体将木马安装到用户系统中。

　　病毒分布

　　在2007年上半年，仅金山毒霸就截获新增病毒样本十多万种，这还不包括那些小范围传播的木马、病毒，或者病毒作者为特定目标制作的定向感染病毒。也就是说，每天安全厂商发现和未发现的病毒数量已经数以千计，病毒数量的激增导致传统病毒特征库越来越大，而杀毒引擎要在庞大的病毒库中准确的发现并查杀病毒，必然会消耗大量的系统资源。国外某老牌杀毒厂商的一款网络杀毒产品就因为消耗系统资源巨大而一直饱受诟病。

　　而且随着软件漏洞的频频出现，尤其是0day漏洞的广为传播，再加上用户安全意识匮乏，常常出现反病毒软件查不到、杀不掉的病毒，用户怨声载道。为了查杀一个病毒，必需“耐心”等待反病毒厂商将相应病毒特征码加入病毒库中，升级了又发现无法彻底清除，只能返回到连盖茨都不知道是否该放弃的DOS系统中解决病毒。

　　显然传统杀毒引擎的低效率和高能耗已经跟不上安全发展的步伐，于是在下半年推出的几款杀毒软件新品中，我们都看到了主动防御的功能。这种技术比较好的弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后的技术弱点，可以在病毒发作时进行主动而有效的全面防范，从技术层面上有效应对未知病毒的肆虐。

　　主动防御结构图

　　然而，经过几个月的使用，很多杀毒软件用户都在反映一个问题：主动防御太过敏感，稍有动静就要用户判断是否把联网的程序、进程列入黑名单。可是起码有99%的杀毒软件用户是对电脑一知半解的初级用户，对网络的认识更只是停留于上网聊天、看新闻、玩游戏的阶段，要我们拥有孙悟空的火眼金睛显然是强人所难。但如果不加辨别把所有可疑程序、进程统统杀掉，大概也会让电脑里的大多数程序陷入瘫痪。

　　三层互联网防御

　　据金山毒霸技术总监陈睿介绍，“互联网可信认证”通过“网络蜘蛛”技术，能够将互联网上每秒钟内生成的可执行文件进行收集，并经过自动以及人工的分析，以秒为单位对服务器端的“互联网可信认证中心”进行刷新。一旦在客户端遇到可疑行为，依据特征码不能够判定的，立即链接至服务端进行判定。这样就可以实现从新病毒出现到被识别出来，再到被查杀的周期以秒来进行计算，从而让金山毒霸2008对新病毒的响应速度提升了60倍。

　　此外，“互联网可信认证”可以利用服务器海量的数据库对可疑文件自行做出判断，极大的减少用户对杀毒的干预，同时也大大提高了判断的准确率，而网民不论是上网聊天、玩游戏还是日常工作中，都不会轻易被打断了。

　　虽然“互联网可信认证”作为新兴的互联网防木马、反病毒技术，其成功与否在没有经历时间和大量网络攻击的考验之前尚言之过早，但至少有了来自互联网的安全防卫，我们再不必提心吊胆的上网了。

　　2007年已经过去，我们期待着2008能电脑病毒能够有所收敛，然而这一想法似乎有些不切实际；所以我们只能期盼着我们的杀毒软件能够更加强悍一些，魔高一尺，道高一丈，希望杀毒软件能够真正担负起保护用户电脑的重任！