滞后杀毒制约防毒产业

申请免费试用、咨询电话：400-8352-114

在计算机病毒发展的20 余年里，杀毒软件对新病毒的防范始终滞后于病毒出现的重大缺陷，导致人们普遍认为反病毒产品不可能主动防御新病毒。甚至有些人认为，想研制一种主动防御的反病毒产品，就如同要为一种未知的疾病制作特效药一样异想天开。反病毒思想和反病毒技术的当前思维模式究竟能否实现突破，病毒主动防御之路是否能走得通？“国家八六三计划反计算机入侵和防病毒研究中心”专家委员会专家刘旭就目前业界关注和探讨的反病毒的四个焦点问题发表了自己的看法。 
 
焦点一：人能否发现新病毒

杀毒软件本身基本上不能发现新病毒，是众所周知的客观事实。但是，人能否发现新病毒呢？如果人不能发现新病毒，同为自然人的反病毒公司研发人员也就不可能发现新病毒，由此带来的问题是，杀毒软件每天升级的是什么，反病毒公司每次宣称发现的新病毒又是谁来发现的？回答是肯定的，人可以发现新病毒。新病毒一定是人通过相应的方法判断出来的。

焦点二 ：防毒公司如何判断新病毒

从上个世纪八十年代病毒出现后，反病毒技术就有两种思路：一种是采用静态扫描方式，即特征值扫描技术；另一种采用动态分析方法。

特征值扫描是目前国际上反病毒公司普遍采用的查毒技术。其核心是从病毒体中提取病毒特征值构成病毒特征库，杀毒软件将用户计算机中的文件或程序等目标，与病毒特征库中的特征值逐一比对，判断该目标是否被病毒感染。这种方法的固有缺陷是，对新病毒的防范始终滞后于病毒的出现。反病毒公司把捕获到并已处理的病毒称为已知病毒，否则就称为未知病毒。只有采用特征值扫描技术时，才区分已知和未知病毒。

焦点三：人工识别新病毒有多难

虽然病毒越来越多，但真正有创意的、技术上有突破的病毒很少，不到总数的1%。绝大多数病毒都是模仿其它病毒编写的，这些病毒的传播、感染、加载、破坏等行为特点都可以从已经存在的病毒找到，人工识别绝大多数新病毒并不是一件很难的事。

焦点四：主动防御病毒是否可行

将现有病毒的行为进行分析、归纳、总结，通过对反病毒专家分析判断新病毒的经验科学提炼，实现软件自动识别病毒是可行的。而十多年来，反病毒技术的研究主要禁锢于特征值扫描法，很少对病毒主动防御技术进行深入探讨和研究。从反病毒领域的实践和计算机技术的发展趋势可以看出，开发病毒主动防御系统不仅是可能的，而且是可行的。

因此，跳出传统技术路线，尽快研制以行为自动监控、行为自动分析、行为自动诊断为新思路的主动防御型产品，从根本上克服杀毒软件重大缺陷，建立主动防御为主、结合现有反病毒技术的综合防范体系，实现反病毒技术的革命性飞跃和反病毒产业的升级，是全球反病毒领域共同面临的巨大挑战，具有极现实的信息安全急迫性。

转载自《每周电脑报》