浅谈基于主动防御的网络病毒防御技术

摘要随着互联网的广泛应用,网络信息量迅速增长,网络安全问题日趋突出。基于主动防御的技术作为安全系统主要的组成部分,已成为目前研究与开发的热点。本文通过与传统网络防治技术的对比,简要分析了基于主动防御的网络防御技术。关键词主动防御特征值扫描启发式查毒中图分类号:TP393.08文献标识码:A近几年随着计算机和网络技术的发展,网络给人们提供了极大的便利,互联网作为一个社会公共环境,其所面临的安全威胁也越来越严重。在我们享受网络资源带来的巨大利益的同时,针对网络和计算机系统的网络病毒传播和黑客攻击变得越来越普遍。网络病毒不仅给广大网络用户带来了不便,甚至影响到我国信息化建设的进一步深化,威胁到国家的信息安全和经济发展。因而,保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。网络防治技术比较传统的反病毒技术主要使用特征值扫描技术,这是目前国际上反病毒公司普遍采用的查毒技术。其核心是从病毒体中提取病毒特征值构成病毒特征库,杀毒软件将用户计算机中的文件或程序等目标,与病毒特征库中的特征值逐一对比,判断该目标是否被病毒感染。反病毒公司把捕获到并已处理的病毒称为已知病毒,否则就称为未知病毒。

只有采用特征值扫描技术时,才需要区分已知和未知病毒。由于这种传统的反病毒软件都是很被动的,只能在新病毒出现之后才能有应付措施,一个病毒制造者所编写的病毒很有可能在被杀毒软件厂商截获并添加到产品病毒库之前进入用户电脑。此时,由于该病毒的特征码还未添加到杀毒软件病毒库中,杀毒软件会将病毒认为是正常文件而放过,使得用户电脑被病毒所感染。因此,业界将能够主动检测和拦截未知威胁的防御方法称为“主动防御”。杀毒软件具有滞后性,这是业界公认的一个杀毒软件弊端,而主动防御却很好的解决了这个问题。主动防御技术主要是针对未知病毒提出来的病毒防杀技术,在没有病毒样本的情况下,对病毒进行全面而有效的全面防护,阻止病毒的运作,从技术层面上有效应对未知病毒的肆虐,一是在未知病毒和未知程序方面,通过“行为判断”技术识别大部分未被截获的未知病毒和变种;另一方面,通过对漏洞攻击行为进行监测,这样可防止病毒利用系统漏洞对其它计算机进行攻击,从而阻止病毒的爆发。主动防御技术分析主动防御是最新的安全防护概念,各个安全厂商有不同的观点,通常用规则来控制。一般的规则控制流程是通过挂接系统建立进程的API,反病毒系统就在一个进程建立前对此进程的代码进行扫描,如果触发安全规则就进行提示,如果用户放行,就让进程继续运行,例如监视进程调用API的情况,如果发现以读写方式打开一个EXE文件,可能进程的线程想感染PE文件,或某个应用程序进行远程调用,主动防御监控系统就会发出警告。

普通用户在运行程序时可能会被监控程序提示选择允许或禁止,主动防御系统检测的基本模式是通过动态仿真反病毒专家系统对各种进程行为进行自动监视,自动分析程序动作之间的逻辑关系,综合应用操作系统安全规则和病毒识别规则知识,自动建立新的病毒行为模式,实现自动判定新病毒,达到主动防御的目的。主动防御系统检测的基本模式如下图所示:在某权威杂志对全球17款主要杀毒软件进行了测试中表明,在新病毒查杀方面,杀毒软件的平均检测率只有20%～30%,甚至低于去年的40%～50%。相比之下,只有ESETNOD32BitDefender表现较好,查杀率分别为68%和41%。值得一提的是,ESETNOD32采用世界领先的高级启发式ThreatSense@引擎,可同时支持基因码,虚拟机,以及代码分析这三种启发式防毒技术,在查杀大部分未知病毒的同时只产生了极少的误报,为业界最低,因此ESETNOD32ThreatSense技术被公认为主动防御技术成熟和稳定的集大成者。何谓启发式查毒技术,启发式指“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”,是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征,或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。

在业界前者被称为静态代码分析,后者被成为动态虚拟机。静态启发技术指的是在静止状态下通过病毒的典型指令特征识别病毒的方法,是对传统特征码扫描的一种补充。由于病毒程序与正常的应用程序在启动时有很多区别,通常一个应用程序在最初的指令,是检查命令行输入有无参数项、清屏和保存原来屏幕显示等,而病毒程序则通常是最初的指令是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。静态启发式就是通过简单的反编译,在不运行病毒程序的情况下,核对病毒头静态指令从而确定病毒的一种技术。而相比静态启发技术,动态启发技术要复杂和先进很多。动态启发式通过杀软内置的虚拟机技术,给病毒构建一个仿真的运行环境,诱使病毒在杀软的模拟缓冲区中运行,如运行过程中检测到可疑的动作,则判定为危险程序并进行拦截。这种方法更有助于识别未知病毒,对加壳病毒(下转第134页)(上接第132页)依然有效,但如果控制得不好,会出现较多误报的情况。动态启发因为考虑资源占用的问题,因此目前只能使用比较保守的虚拟机技术。尽管如此,由于动态启发式判断技术具有许多不可替代的优势,因此仍然是目前检测未知病毒最有效、最可靠的方法之一,并在各大杀软产品中得到了广泛的应用。

由于诸多传统技术无法企及的强大优势,必将得到普遍的应用和迅速的发展。纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解),已能达到80%以上的病毒检出率,而其误报率极易控制在0.1%之下,这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术的查毒软件来说,是不可想象的,启发式杀毒技术代表着未来反病毒技术发展的必然趋势,具备某种人工智能特点的反毒技术,向我们展示了一种通用的、不依赖于升级的病毒检测技术和产品的可能性。作为启发式杀毒软件的代表产品ESETNOD32主动防御系统,以其完善的启发式引擎ThreatSense,超过68%的未知病毒检测率以及低于0.1%的误报率闻名遐迩。成为业界的最高水准,同时也被冠以“启发之王”的美誉。主动防御系统是安全软件的一个发展方向,能够自动实现对未知威胁的拦截和清除,不需要用户关注防御的具体细节。安全软件厂商也一直向这个方向努力,例如杀毒软件的主动更新、主动漏洞扫描和修复、以及对病毒的自动处理等,也符合主动防御的特征。我国目前开发的部分动态仿真反病毒专家系统,开始能够实现自动判定新病毒、对程序行为监控、自动提取特征值等多重防护、实现了对未知网络病毒的自主识别和自动清除,克服传统杀毒软件滞后于病毒的缺陷。这类驱动级(核心层)的主动防御系统主要通过虚拟机脱壳等技术方法分析程序动作之间的逻辑关系,运用已知程序合法行为库和病毒攻击识别知识库,从而自动判定新病毒达到主动防御的目的。

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!