【51CTO.com快譯】一種觀點(diǎn)認(rèn)為，防病毒與安全供應(yīng)商們?cè)谂c網(wǎng)絡(luò)罪犯?jìng)兊膽?zhàn)斗中正逐步失去主動(dòng)。黑客們的網(wǎng)絡(luò)爬蟲(chóng)正越來(lái)越多的偷偷潛入計(jì)算機(jī)，植入惡意程序，打開(kāi)計(jì)算機(jī)發(fā)送遠(yuǎn)程攻擊指令，并把它們變?yōu)榻┦W(wǎng)絡(luò)的僵尸軍團(tuán)。

造成這個(gè)局面的根本原因在于，現(xiàn)在大多數(shù)計(jì)算機(jī)依然還是通過(guò)防病毒軟件提供的病毒特征庫(kù)（或稱(chēng)病毒簽名庫(kù)）來(lái)防范惡意軟件。在這種傳統(tǒng)的方式下，計(jì)算機(jī)通過(guò)病毒庫(kù)中的特征碼來(lái)識(shí)別文件中是否存在惡意軟件代碼，而這顯然只能識(shí)別已知的病毒。但目前的情況是，每天都有成千上萬(wàn)的新病毒誕生，在這些病毒中，有許多進(jìn)行了分段加密，或以其他方式進(jìn)行藏匿或變種。在這種情況下，病毒特征庫(kù)必須要進(jìn)行頻繁的在線更新，但即使是這樣，許多新病毒仍然會(huì)漏網(wǎng)。

面對(duì)這種情況，安全供應(yīng)商們開(kāi)始將注意力轉(zhuǎn)向?yàn)榛谛袨榈臋z測(cè)方法，用以確定新的病毒。新推出的防病毒軟件將把重點(diǎn)放在監(jiān)測(cè)行為是否可疑上，比如一個(gè)程序是否試圖將數(shù)據(jù)寫(xiě)入可執(zhí)行的程序。

反病毒與互聯(lián)網(wǎng)安全供應(yīng)商AVG日前推出了身份保護(hù)軟件AVG Identity Protection，該軟件將重點(diǎn)分析病毒程序的行為和特點(diǎn)，如果電腦中的程序運(yùn)行看起來(lái)可疑，將會(huì)被關(guān)閉。這項(xiàng)技術(shù)原本來(lái)自頂尖的身份盜竊安全防范公司Sana Security，AVG在1月收購(gòu)了Sana Security，并對(duì)該技術(shù)進(jìn)行了強(qiáng)化。

“每天，把新的惡意代碼添加到特征數(shù)據(jù)庫(kù)的工作都會(huì)把我們這些防病毒軟件公司搞得焦頭爛額，因?yàn)槊刻於加袨閿?shù)兩萬(wàn)到三萬(wàn)的新病毒樣本出現(xiàn)，”AVG研究總監(jiān)Roger Thompson表示，“我們不能總是跟在他們后面。現(xiàn)在到了采取新措施的時(shí)候了！”

與此同時(shí)，另一家安全供應(yīng)商Damballa也發(fā)布了他們針對(duì)僵尸網(wǎng)絡(luò)的武器Failsafe 3.0，目的是殲滅侵入計(jì)算機(jī)的僵尸網(wǎng)絡(luò)惡意軟件。該技術(shù)通過(guò)監(jiān)聽(tīng)被侵入的系統(tǒng)和在Internet上進(jìn)行指揮控制的節(jié)點(diǎn)間的通信，來(lái)發(fā)現(xiàn)并移除惡意軟件。

Damballa產(chǎn)品管理和營(yíng)銷(xiāo)副總裁Bill Guerry告訴記者，即使企業(yè)部署了防病毒和入侵檢測(cè)系統(tǒng)，并且能夠保持即時(shí)更新，也會(huì)有5%的公司電腦被來(lái)自僵尸網(wǎng)絡(luò)的機(jī)器人軟件入侵——這個(gè)比例比人們通常想象的要高。

Damballa公司為此進(jìn)行了超過(guò)6個(gè)月的專(zhuān)門(mén)研究，使用最先進(jìn)的防病毒工具對(duì)超過(guò)20萬(wàn)個(gè)惡意軟件樣本進(jìn)行了掃描。結(jié)果顯示，從一個(gè)病毒被釋放出來(lái)直到它被捕獲，這兩者之間的平均時(shí)間差足有54天，而幾乎有一半的病毒在首次攻擊電腦時(shí)處在未被檢測(cè)的狀態(tài)，甚至有15%的病毒在180天后仍未被發(fā)現(xiàn)。

此外，另一家安全供應(yīng)商Triumfant上周發(fā)布了同樣基于行為的反病毒軟件，針對(duì)零日攻擊（zero-day attack）提供保護(hù)。零日漏洞攻擊專(zhuān)門(mén)針對(duì)那些還沒(méi)有得到及時(shí)的補(bǔ)丁保護(hù)的安全漏洞，攻擊時(shí)間很短，難以防范。

Triumfant為此提供的新工具名為Resolution Manager，它將對(duì)改變計(jì)算機(jī)屬性的行為進(jìn)行監(jiān)控，如注冊(cè)表的鍵值、安全性和端口設(shè)置、以及性能統(tǒng)計(jì)數(shù)據(jù)，并對(duì)可疑的代碼進(jìn)行移除。

編者按：事實(shí)上，針對(duì)惡意代碼的無(wú)窮增長(zhǎng)，目前安全公司正在通過(guò)“云安全”架構(gòu)技術(shù)，來(lái)實(shí)現(xiàn)快速、高效的病毒樣本響應(yīng)時(shí)間。在51CTO.com記者看來(lái)，云安全技術(shù)的確可以緩解一些亟待解決的問(wèn)題，但始終需要包括反病毒軟件在內(nèi)的安全工具的支持，最理想的狀況是，用戶(hù)端不需要任何反病毒工具，而直接享受安全的上網(wǎng)環(huán)境。

【51CTO.com譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】

原文：New antivirus software looks at behaviors, not signatures  作者：Elinor Mills

【編輯推薦】

1. 防病毒軟件技術(shù)：主動(dòng)防御與啟發(fā)式殺毒
2. 云安全技術(shù)專(zhuān)題：撥開(kāi)云霧見(jiàn)安全
3. 黑客談免殺關(guān)于特征碼修改技術(shù)