特征码弊端渐显 杀毒技术面临革命 - flyfeifei

造成这个局面的根本原因在于，现在大多数计算机依然还是通过防病毒软件提供的病毒特征库（或称病毒签名库）来防范恶意软件。在这种传统的方式下，计算机通过病毒库中的特征码来识别文件中是否存在恶意软件代码，而这显然只能识别已知的病毒。但目前的情况是，每天都有成千上万的新病毒诞生，在这些病毒中，有许多进行了分段加密，或以其他方式进行藏匿或变种。在这种情况下，病毒特征库必须要进行频繁的在线更新，但即使是这样，许多新病毒仍然会漏网。

面对这种情况，安全供应商们开始将注意力转向为基于行为的检测方法，用以确定新的病毒。新推出的防病毒软件将把重点放在监测行为是否可疑上，比如一个程序是否试图将数据写入可执行的程序。

反病毒与互联网安全供应商AVG日前推出了身份保护软件AVG Identity Protection，该软件将重点分析病毒程序的行为和特点，如果电脑中的程序运行看起来可疑，将会被关闭。这项技术原本来自顶尖的身份盗窃安全防范公司Sana Security，AVG在1月收购了Sana Security，并对该技术进行了强化。

“每天，把新的恶意代码添加到特征数据库的工作都会把我们这些防病毒软件公司搞得焦头烂额，因为每天都有为数两万到三万的新病毒样本出现，”AVG研究总监Roger Thompson表示，“我们不能总是跟在他们后面。现在到了采取新措施的时候了！”

与此同时，另一家安全供应商Damballa也发布了他们针对僵尸网络的武器Failsafe 3.0，目的是歼灭侵入计算机的僵尸网络恶意软件。该技术通过监听被侵入的系统和在Internet上进行指挥控制的节点间的通信，来发现并移除恶意软件。

Damballa产品管理和营销副总裁Bill Guerry告诉记者，即使企业部署了防病毒和入侵检测系统，并且能够保持即时更新，也会有5%的公司电脑被来自僵尸网络的机器人软件入侵——这个比例比人们通常想象的要高。

Damballa公司为此进行了超过6个月的专门研究，使用最先进的防病毒工具对超过20万个恶意软件样本进行了扫描。结果显示，从一个病毒被释放出来直到它被捕获，这两者之间的平均时间差足有54天，而几乎有一半的病毒在首次攻击电脑时处在未被检测的状态，甚至有15%的病毒在180天后仍未被发现。

此外，另一家安全供应商Triumfant上周发布了同样基于行为的反病毒软件，针对零日攻击（zero-day attack）提供保护。零日漏洞攻击专门针对那些还没有得到及时的补丁保护的安全漏洞，攻击时间很短，难以防范。

Triumfant为此提供的新工具名为Resolution Manager，它将对改变计算机属性的行为进行监控，如注册表的键值、安全性和端口设置、以及性能统计数据，并对可疑的代码进行移除。

编者按：事实上，针对恶意代码的无穷增长，目前安全公司正在通过“云安全”架构技术，来实现快速、高效的病毒样本响应时间。在51CTO记者看来，云安全技术的确可以缓解一些亟待解决的问题，但始终需要包括反病毒软件在内的安全工具的支持，最理想的状况是，用户端不需要任何反病毒工具，而直接享受安全的上网环境。