但三年之后,“主动防御”卷土重来。
5月19日,江民发布“江民木马终结者”,并声称,这款独立的系统安全分析软件,可以自动判别目前系统进程的安全状况。据江民反病毒专家介绍该产品可脱离杀毒软件独立运行,软件运行后,自动对系统中的进程进行可疑性分析,可疑概率分三档:0-25%是一般可疑、25-75%为中度可疑、75-97%为高度可疑,中度、高度的可能为病毒,而一般可疑的可能是一些驱动或监控程序,大多数系正常的进程。
所以,江民认为自己“目前已形成一套从处理未知病毒到已知病毒,从主动防御到特征码查杀的一整套立体防范系统。”
而瑞星提出的“主动防御”主要包括两个方面。一是在查杀未知病毒和未知程序方面,瑞星声称,通过“行为判断”技术,开发出了“危险行为监控”、“行为自动分析和诊断”等技术,他们可以识别大部分未被截获的未知病毒和变种。除此之外,瑞星声称“大力强化了系统漏洞管理模块”。
金山则公布了其“金山毒霸主动防御计划”(ADP)。它包括终端自防御(TSD)、“网络自防御”(NSD)、整体自防御(WSD)三部分。
金山毒霸事业部技术总监陈睿介绍:“主动防御是一个概念和范畴,它的具体实现需要长期的不懈探索和努力,金山毒霸已经在为这个目标进行准备。”
这个主动防御系统里实现的主要功能包括“主动实时升级”、“主动漏洞扫描”、“抢先式防毒”等等。
在人们纷纷质疑杀毒软件是不是“过期药”的时候,这场集中的“主动防御”发布无疑是受欢迎的。然而,厂商们的态度何以转变如此之快?是不是“主动防御”已经开始取代“特征码扫描”的主流地位了?
“及时雨”?
无论毛一丁还是陈睿都认为,“特征码扫描”还是目前使用的“最基础”的技术。
但是他们也承认“特征码扫描”技术的确有缺陷,例如滞后问题,例如,一些小范围发作的病毒,或者恶意定制的病毒,这种“最基础”的技术也是无能为力的。
陈睿认为,大家最近热烈讨论的“行为判断”属于“预防式技术”而区别于传统的“响应式技术”,这种技术是金山“主动防御”中的一部分。
陈睿表示,目前金山毒霸的“启发式扫描”与瑞星的“行为自动分析和诊断”都属于“预防式技术”。但是陈睿很坦诚地指出,目前该技术本身还不成熟,依赖于虚拟机技术和人工智能技术的发展,“目前识别率和误报率都不理想”。
而另一种“主动防御”如IDS则是按照规则识别网络包,其缺点需要人工干预,不能阻止入侵,也不能自动防护,也还不成熟。
金山目前的“主动防御”计划中比较实质的内容是指现有产品中的诸如“主动实时升级”之类的技术,它们还是在试图提高杀毒软件的升级速度。
仔细研究一下就会注意到,其实金山的“主动防御”是建立在传统的“捕获——分析——升级”这三个环节的后两个环节,在尽力提高“分析——升级”之间的速度和主动性——而业界质疑的基础恰恰在“捕获”这一环节上杀毒软件的无能为力。也就是说,金山目前实现的“主动防御”也并没有从本质上解决问题。
面对记者的这一问题,陈睿从另外一个角度予以解答。
陈睿认为,当前流行病毒的传播方式都是“混合型”的,会利用漏洞、邮件、局域网等多种途径传播自己。陈睿说,“所以,我们需要一种更具主动性的网络安全模型,及时隔离感染源,自动切断感染途径。”而“主动防御计划”就是这样一个“概念和范畴”。
他坦然承认,目前,这种行为判断技术还没有很成熟的产品,但是金山正在研发“可疑事件关联和行为拦截”和“网络恶意数据包检测”技术,其内部代号分别为“leopard”和“olive”,“预计年底可以面世”。
瑞星的说法是,2002年它们的专利技术“行为模式分析(BMAT)”在演示中就已经达到了70%的查杀率,并且该技术得到了国际专家的认可。但不知出于什么原因,直至2005年,该技术还未能成熟应用。
专家刘旭提出,“开发科学、实用的病毒主动防御系统不仅是可能的,而且是可行的”。
“主动防御”对于传统杀毒软件“过期药”这一弊端无异于一场“及时雨”,这已经从近期的“主动防御”发布的密集度中得到了印证。现在的问题是,这场“雨”,什么时候才能真的下起来?
上一页 1 2 3 下一页
安全中国首页 > 新闻中心 > 其他厂商新闻