病毒攻击已确实成为IT安全的头号威胁。它们不仅导致经济损失,更带来其他种种的安全威胁,例如机密资讯盗窃与针对敏感性资料的未授权存取。因为这些威胁,反病毒业界推出许多新方法,用以保护IT基础建设--举少数为例,包括主动防御技术、疫情爆发时的紧急更新、更加频繁的反病毒资料库更新等。本文属于一系列文章中首先公布者,将就反病毒公司所采用的最新技术提供更进一步的资讯,并帮助使用者更客观地判断这些技术的有效程度。在本文章中,我们将专注于主动防御技术。
病毒攻击造成巨大的损失,与此具备相同严重性的,则是恶意程序码的种类与数量正加速增长。在2005年,恶意程序数量呈现爆炸性的成长:据卡巴斯基实验室统计,截至该年底为止,每月检测到的平均病毒数量已达6368种。与上一年度的93%比较起来,年度整体上涨率高达117%。
同样的,威胁本身的本质业已改变。恶意程序不但变得更多,也变得比以前更加危险。为回应此种挑战,反病毒业界采用一系列的新方法,包括主动防御技术,更快速的回应可能爆发疫情的新威胁,以及更加频繁的更新反病毒数据库。本文提供主动防御的详细分析,主动防御常被厂商称为对抗所有现存的、甚至是未来病毒的万灵丹。
主动防御技术概论 当代反病毒产品使用两种主要方法检测恶意程序码--以病毒码为基准的分析,与主动防御/探索式分析。第一种方法相当简单,将使用者电脑上的物件与已知病毒的范本(例如病毒码)作比较。此种技术牵涉到新型恶意程序的持续追踪,并根据其性质建档,包含于病毒码资料库中。因此,反病毒公司应拥有追踪及分析恶意程序码的有效服务(亦即反病毒实验室)。评估病毒码方法有效程度的主要标准,包括新威胁的回应时间、更新频率及检测率。
以病毒码为基准的方法有几项明显的缺点。主要的缺点就是在应对新威胁上会出现延迟。病毒的出现与病毒码释出之间,必定存在有延迟时间。而当代的病毒可以在非常短的时间内感染数百万台电脑。
因此,主动防御/探索式的病毒检测方法逐渐普及。主动防御方法不需要释出病毒码。相对的,反病毒程序会分析扫描到的物件程序码,及/或启动的应用程序行为,并根据预先设定的规则,判定软件是否为恶意软件。
理论上,此种技术可用于检测未知的恶意程序,因此许多反病毒软件开发者争先恐后的宣传主动防御方法是对付新型恶意软件的万灵丹。但事实不然。如果要评估主动防御方法的有效程度,以及其是否可独立于以病毒码为基准的方法之外单独使用,我们必须先了解主动防御技术所根据的原理。
主动防御可通过数种方法达成。在此我们将探讨其中两种最普遍的方式:启发式分析器与行为拦截工具。
启发式分析启发式分析器是分析物件程式码的程序,使用间接方式判定物件是否具有恶意。不同于以病毒码为基准的方法,启发式分析器可以检测出已知和未知的病毒(亦即在启发式分析器写成之后才问世的病毒)。
分析器通常会先由扫描式码开始,寻找具备恶意程序特征的可疑属性(命令)。此方法称为静态分析。举例说明,许多恶意程序会搜寻执行档,然后开启找到的档案并加以修改,启发式分析器检视应用程序之程序码,并在找到可疑命令时增加该应用程序的可疑指数。若检查完全部程序码后的指数值超过预设的标准,该物件即归类为可疑物件。
此方法的优势包括便于实施,以及具备高效能。然而,此方法对新型恶意程序码的检测率较低,而误判率也较高。
因此,在目前的方病毒程序中,静态分析会与动态分析并用。此种综合型方法背后的概念,是让应用程序实际在使用者电脑上执行前,先在安全的虚拟环境(又称模拟缓冲区或“沙磐”中进行模拟。在厂商的行销资料中,亦称作“虚拟PC模拟”。
动态启发式分析器会将应用程序的程序码部分复制到反病毒程序的模拟缓冲区中,并使用特别的“技巧”模拟其执行。若在此“模拟执行”中检测到可疑的动作,该物件将归类为恶意物件,且该物件在电脑上执行时将遭封锁。
由于以动态方法为基准的分析须使用受到保护的虚拟环境,此方法因此比静态方法需要更多的系统资源,而应用程序在电脑上执行时,也将因为完成分析所需的时间量而造成若干延迟。然而,比起静态方法,动态方法提供较高的恶意软件检测率,误判率也比较低。
反病毒产品使用启发式分析器已有相当的历史,因此,目前所有反病毒解决方案所采用的启发式分析器,或多或少都是为进阶的版本。
|
服 务 CIO 推 进 信 息 化 
