电脑报：下一代反病毒软件谁是王者？ --- ido.3mt.com.cn

2008年9月24日，国家863计划“基于程序行为自主分析判断的实时防护技术”课题组在京召开了“病毒现状与国际病毒防御技术最新发展趋势”高端研讨会，就日益复杂的信息安全领域未来的发展方向进行深入探讨。

会议结束后，记者有幸采访到了该课题组组长、主动防御概念的首创者——著名反病毒专家刘旭先生。

　　对话人：电脑报社副总编张晓明

　　对话人：微点总经理　刘旭

　　观点提要：云安全不是万能

　　电脑报：安全厂商们都认识到了现有的运作模式无法应对日益复杂的病毒形势，在云安全、虚拟机、启发式等方面寻找突破口。您认为云安全或其他几种技术是否会成为下一代防毒系统的主导？云安全在技术层面的可操作性如何？

　　刘旭：云安全是从云计算的概念中衍生而来。对于云安全，我想有几个问题必须要提出来：

　　目前基于云安全的操作思路主要有两种：第一种思路是将“云”作为新病毒恶意代码的二度搜集和被动响应处理的系统。搜集病毒主要借助于安装在用户端的一种搜集器，一旦发现异常便汇报给服务器。这种方式确实能够起到一定的作用，收集的效率也明显优于现有模式。但是从用户端后台搜集信息，个人隐私的保护是个不可回避的问题。用户觉得不安全，很有可能就不愿意配合。再者服务器收集到的数以亿计的数据如何处理？人工方式显然不能胜任。如果采用机器自动识别病毒，那为何不把这个环节放在用户端，而是舍近求远放在遥远的云端？

　　第二种思路是将特征库放在云端，用户只要链接到服务器便可共享查杀服务。这种方案解决了日后海量的病毒库在个人电脑更新存储的难题。但目前优势并不明显，因为从现在的状况来看，每天更新的特征码直接下载到用户端还是很快的，没有必要放在云端。另外对不能联结互联网的计算机，云安全就可能形同虚设。

　　根据以上的分析，我认为云安全目前还只是概念，它仍然没有回答最重要的问题——如何自动识别新病毒。遇到一个新病毒，不管你的病毒库是放在本机上，还是放在云上，都需要进行有效的判定与查杀。所以，在更多细节与构思被提出之前，云安全尚不能成为治本的安全防护方案，更不是信息安全领域的救世主。

　　虚拟机与启发式应用已经很长时间了，不能算是下一代防毒技术。其中虚拟机技术在对付加壳病毒较为有效，“刺破”外壳后根据原有的病毒特征值进行判断并查杀，但对去壳之后病毒库没有样本的病毒束手无策。启发式则是收集病毒的广谱特征，根据“DNA”来判断族群病毒，达到查杀的目的。但对形式灵活的木马查杀效果并不理想。虚拟机和启发式主要还是使用特征值分析，并没有摆脱传统杀毒模式的套路。目前流行的免杀技术都可以使其失效。

　　主动防御是大势所趋

　　电脑报：在下一代防范病毒的技术中，主动防御占据怎样的位置？主动防御是否已经成为安全厂商的救命稻草？

　　刘旭：说到下一代技术，顺便提一下之前我国安全行业经历了两个阶段。

　　第一个阶段是91-95年的防病毒卡阶段，借助PCI扩展槽添加硬体防毒设备，通过程序行为分析的方式解决DOS下的病毒。随着Windows 95的出现慢慢被人们废弃。

　　第二个阶段是94年至今的传统杀毒软件时代，从用户上传可疑程序中获取病毒特征，升级病毒库对旧有病毒起到防范作用。随着呈几何式增长的新病毒数量，这种模式也已经走到了尽头。

　　即将到来的第三个阶段我认为将是主动防御阶段，结合防病毒卡的行为分析手段与传统杀软的特征码识别，以行为分析判断为主，以特征码识别为辅，以静制动，达到防范效果。从微点主动防御软件来看，已经可以识别并清除99％以上的未知病毒。这一点，是当前杀毒软件望尘莫及的。

　　目前，国际上的麦咖啡、诺顿，国内的瑞星等安全厂商都在积极推广旗下的所谓的主动防御产品。但在我看来，这些产品还处于概念阶段。举一个很常见的例子，在使用某款号称具有主动防御功能的产品时，经常会遇到“有程序正在向您的计算机设置全局挂钩，是否允许”之类的提示，什么叫全局挂钩？一般用户可能不理解，也就无从选择。用户使用杀毒软件，就是将杀毒防毒的工作交给软件，现在反而要自己进行判断，这是不合理，更是不负责任的。所以现在的杀毒软件越来越像“高手”专用的，表面上是易用性和亲民性不足，实际上是这些安全软件还没有真正成熟的主动防御技术。仅对单一程序动作报警，而没有对程序动作进行关联分析，并不是真正的主动防御产品。而微点的安全产品对程序的一系列动作通过逻辑关系分析组成有意义的行为，再结合应用病毒识别规则知识，实现对病毒的自主识别，明确报出、自动清除，让安全软件更加易用，这也有赖于深层技术的支持与保障。

　　微点的主动防御技术是国家863计划中的重点课题，并已经取得销售许可证。技术和产品上均比较成熟和完善。我们的用户群也在稳步增长，据不完全统计，目前注册用户已经超过700万。软件推出的两个月以来，销量也在节节攀升。相信在微点的推动下，将有越来越多的用户，认可和支持主动防御技术，并因此等到安全保障的实惠，安全领域的主动防御时代正在来临。

　　专家观点：

　　探讨与交流环节，与会的多位专家发表了精辟独到的见解，择其中精彩言论，帮助大家更好地了解安全产业的现状与未来发展的趋势。

　　声音：反病毒软件的境界事关网络安全

　　发言人：中国工程院院士周仲义

　　利益的驱使成为国家部委频繁遭遇黑客攻击、木马植入的主要原因。木马记录键盘行为，窃取登陆口令，进而获得相关情报，这对信息要求高度保密的国家部委来说危害极大。信息安全问题已经成为各部委工作任务的重中之重。下一代防病毒软件的境界高低，已经上升到了事关国家信息安全的高度。

　　863计划课题所研究的主动防御产品，应在通过相关部门检测认定的基础上，首先在各部委大力推广，保证国家机密信息的安全，让政府机关也受惠于下一代防毒技术。

　　声音：安全行业应“抱团”，依靠系统来解决根本问题

　　发言人：中联部信息办主任任锦华

　　在我看来，安全领域目前存在的最重要的问题是——多数厂商仍在单打独斗，还没有从系统方案上解决安全问题，我认为建立一套完善的信息安全系统应该尽早地被提上日程。国家在过去的十几年里，在信息化领域投了几千个亿，虽然得到了很多优秀的产品和技术，但并没有得到一个成型的系统。这也就决定了现在各杀软产品各自为政，单打独斗，没有形成合力，无法有效地处理安全危机。国内信息安全相关的大学研究院所、科研机构、商业公司成千上万，如何把他们的研究成果整合成一个有机的整体，希望安全界的专家们可以拿到一套好的方案。我认为未来的安全行业，应该借助于成熟稳定的系统来解决问题，而非一款或几款安全产品。

　　声音：下一代反病毒技术应在应用反馈中不断完善

　　发言人：中国工程院院士倪光南

　　2008年新病毒的数量将突破1000万个，这是什么概念？平均下来每小时会涌现出1000多个新病毒！这也就意味着传统的“病毒出现-用户提交-厂商人工分析-软件升级”的思路将被彻底抛弃，杀毒软件行业升级迫在眉睫！

　　正因为发现了这个问题，主动防御的概念才被提出来，可以说主动防御是一套在应用中发现的全新模式。因为是全新的事物，这也就要求安全厂商在推动主动防御模式时，在应用与用户反馈的过程中不断的完善产品，切不可一劳永逸，止步不前。(文/电脑报)