【51CTO.com 綜合消息】“漏殺”問題關(guān)乎中國互聯(lián)網(wǎng)安全

為什么95.6%的電腦上安裝了安全軟件，每年仍然有約百萬病毒木馬被“漏殺”？百萬被“漏殺”病毒木馬將直接影響到千萬中國網(wǎng)民網(wǎng)絡(luò)的正常使用，同時給中國互聯(lián)網(wǎng)帶來的經(jīng)濟損失也將超過十億。在病毒木馬爆炸式增長的今天，安全軟件的“漏殺”問題越發(fā)凸顯，不容忽視。

金山毒霸安全實驗室對2009年1月2010年4月的部分典型病毒木馬生存周期的觀察分析，以及自2010年4月以來，金山毒霸2011用戶執(zhí)行病毒掃描過程中查詢云安全服務(wù)器的結(jié)果，進行為其一年多的深入研究分析，最后形成了《中國互聯(lián)網(wǎng)病毒木馬漏殺問題的研究報告》。希望能夠借此讓“漏殺”問題引發(fā)安全行業(yè)以及用戶的關(guān)注。

漏殺問題的現(xiàn)狀——近三成網(wǎng)民電腦中存在漏殺病毒

1、年漏殺病毒木馬數(shù)量過百萬

據(jù)金山毒霸安全實驗室最新數(shù)據(jù)顯示，2009年新增病毒木馬數(shù)量超過2000萬個，如今每天新增的病毒木馬數(shù)量相當(dāng)于2005年一年的數(shù)據(jù)，病毒木馬傳播的速度驚人。  

面對每年病毒木馬數(shù)量的爆炸式增長，傳統(tǒng)的安全軟件的病毒識別查殺方法已經(jīng)力不從心。據(jù)調(diào)查，一個業(yè)務(wù)熟練的病毒分析員一天可以分析100個病毒，若按這個思路處理病毒，安全廠商一年能夠處理的病毒上限將在300萬-500萬種，即使使用簡單的自動化樣本分析系統(tǒng)，傳統(tǒng)的安全軟件每天處理新增病毒樣本的數(shù)量已經(jīng)遠遠不能滿足于新增病毒的數(shù)量，漏殺問題也不可避免。據(jù)金山云安全服務(wù)器監(jiān)測到的數(shù)據(jù)，2009年被各種安全軟件漏殺且漏殺期1-7天的病毒木馬超過100萬個，占到新增病毒的5%。

2、95.6%安裝了殺毒軟件的電腦，其中30%電腦中存在漏殺病毒

據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心發(fā)布的最新調(diào)查數(shù)據(jù)顯示，2009年95.6%的電腦上安裝了各種各樣的安全軟件。但金山毒霸安全實驗室通過對1000位名用戶電腦樣本調(diào)查，其中包括100名上門訪問調(diào)查樣本，以及對新安裝金山毒霸2011進行安全掃描的用戶的數(shù)據(jù)統(tǒng)計，發(fā)現(xiàn)安裝了安全軟件，但仍然存在異常的用戶超過30%，這個比例相當(dāng)驚人。安全軟件若無法檢測到，用戶完全不知道自己的電腦已經(jīng)處于危險之中。  

3、危險期越長危害越大，最長可達一個月

互聯(lián)網(wǎng)每天都會出現(xiàn)許多新程序文件，當(dāng)一個新生的程序文件在互聯(lián)網(wǎng)出現(xiàn)時，傳統(tǒng)安全廠商及傳統(tǒng)基于用戶規(guī)模 云安全技術(shù)無法及時監(jiān)測。只有該程序文件分布到一定的廣度，比如監(jiān)測系統(tǒng)發(fā)現(xiàn)某個程序文件在不同地區(qū)的不同電腦中出現(xiàn)，被用戶舉報為可疑程序。安全廠商才會分析該程序文件是否具有惡意行為，這個文件從出現(xiàn)到被殺毒廠商報告為惡意程序，再到這個病毒文件從互聯(lián)網(wǎng)消失，這是病毒木馬的危險期。在此階段，傳統(tǒng)安全軟件對這種新生的惡意程序會熟視無睹，并報告用戶電腦為安全，用戶也缺少相應(yīng)的防御能力。

金山毒霸安全實驗室分析了流行病毒木馬的生存周期，觀察病毒被檢測到，至這個病毒從互聯(lián)網(wǎng)消失的動態(tài)變化，發(fā)現(xiàn)存在以下規(guī)律：超過78%的病毒木馬只有兩周的生存時間，隨著時間的延長，生存率顯著下降，超過一個月仍在產(chǎn)生危害的病毒木馬不到5%。  

圖 病毒長期生存周期觀察  

圖病毒各生存周期的分布圖

上述數(shù)據(jù)表明，當(dāng)病毒被安全軟件檢測到大約30天后，已不會對網(wǎng)絡(luò)產(chǎn)生大的危害。同時還表明，殺毒軟件必須加快響應(yīng)速度，縮短漏殺期，才能更好地保護網(wǎng)民度過”危險期”。

當(dāng)某惡意程序被一家安全軟件公司報告為威脅時，在較短的時間內(nèi)，會有更多安全軟件對其進行查殺。而惡意軟件傳播者，在發(fā)現(xiàn)自己的程序被安全軟件檢測到時，也會及時對病毒木馬進行更新或免殺，舊版本病毒在傳播過程中逐步自然消亡。 #p#

漏殺病毒的危害——給中國互聯(lián)網(wǎng)帶來的經(jīng)濟損失過十億

據(jù)金山毒霸安全實驗室研究結(jié)果顯示，按照每年百萬級別的漏殺病毒木馬計算，根據(jù)對漏殺期病毒木馬感染用戶電腦數(shù)量的分析，在病毒木馬的漏殺期，每年將有千萬級別的用戶感染這些被“漏殺”的病毒木馬。

一旦電腦上中木馬，而最新的安全軟件也不能成功查殺時，漏殺就發(fā)生了，這時網(wǎng)民的電腦就會面臨威脅。主要危害包括虛擬財產(chǎn)的損失；個人隱私數(shù)據(jù)被竊取；商業(yè)秘密被泄露；電腦軟件系統(tǒng)故障頻繁，影響生產(chǎn)或其它正常應(yīng)用。

使用金山毒霸2011進行病毒掃描的用戶報告了系統(tǒng)的異?，F(xiàn)象描述，這部分比例占到云安全查詢量的30%。異?，F(xiàn)象包括主頁被強行鎖定、桌面莫名其妙多出幾個快捷方式總也刪不掉、系統(tǒng)文件被破壞，用戶隱私數(shù)據(jù)被盜對用戶來講更是不可見的嚴重損失。

圖金山毒霸2011反饋的異?，F(xiàn)象統(tǒng)計

金山毒霸安全實驗室分析了云安全服務(wù)器的查詢結(jié)果，發(fā)現(xiàn)在被其他安全軟件漏殺的病毒木馬中，其主要類型有盜號木馬11%、后門程序71%、木馬下載器7%、黑客程序8%、廣告間諜軟件3%。從中我們看出，以盜取用戶隱私信息和虛擬財產(chǎn)的木馬占漏殺病毒的絕大多數(shù)。而這些病毒的背后都有商業(yè)運作的痕跡，部分持續(xù)更新的病毒木馬甚至購買帶寬進行商業(yè)發(fā)行。這些病毒的分發(fā)渠道，往往和色情網(wǎng)站、共享軟件、中小軟件下載站、部分網(wǎng)址導(dǎo)航站相互勾結(jié)。  

  #p#

漏殺產(chǎn)生的原因——安全軟件技術(shù)理念革新迫在眉睫

金山毒霸安全實驗室研究顯示，漏殺產(chǎn)生的根本原因是傳統(tǒng)安全軟件無法適應(yīng)病毒生產(chǎn)、傳播的全面互聯(lián)網(wǎng)化，是傳統(tǒng)的病毒識別方法跟不上病毒的快速增長。具體來講有這幾點：

1、病毒黑色產(chǎn)業(yè)鏈的利益驅(qū)使。病毒木馬早已形成互聯(lián)網(wǎng)黑色產(chǎn)業(yè)，其非法收入每年可數(shù)千萬人民幣，有足夠的利益吸引眾多從業(yè)者和殺毒廠商打持久戰(zhàn)。這兩年還出現(xiàn)過為帶數(shù)字簽名的病毒木馬，這是更加明顯的商業(yè)化制毒販毒行為。

2、病毒木馬的傳播規(guī)律符合“長尾定律”。數(shù)量龐大的病毒木馬只感染有限數(shù)量的機器，可以減少被殺毒廠商捕獲的機會，延長病毒木馬的生存周期，有的木馬甚至可以長期潛伏，只有少量的蠕蟲病毒能散播的很廣。

3、病毒木馬作者對抗殺毒軟件加劇。病毒木馬制作者、傳播者在發(fā)布新病毒或?qū)喜《具M行改造之前，會針對各種主流安全軟件最新版本對病毒木馬進行免殺處理，保證新版病毒不被最新安全軟件檢測到。一個可以被主流安全軟件檢測到的病毒，不具備商業(yè)牟利的基本條件。

4、傳統(tǒng)的病毒識別方法決定了“漏殺”必然存在。傳統(tǒng)的病毒識別方法是只在電腦上檢查病毒文件（一般稱之為黑文件），而病毒文件的數(shù)量卻在每天以萬種的速度遞增，黑文件不斷增加。傳統(tǒng)識別方法，決定了沒有哪個殺毒廠商能收集到或識別出所有病毒。

5、傳統(tǒng)云安全，特別是依賴用戶規(guī)模的云安全技術(shù)同樣無法避免漏殺期。其原理根據(jù)用戶電腦新文件統(tǒng)計學(xué)分布特征進行初步判斷。對于一些新起步的云安全廠商，其定性判斷依賴后臺服務(wù)器自動使用其他殺毒軟件掃描結(jié)果定性，具有反映遲緩、漏殺誤殺嚴重的硬傷。

6、傳統(tǒng)安全軟件的更新周期過長，通常是以小時為單位。將新的病毒特征分發(fā)到數(shù)以千萬計的客戶端需要消耗相當(dāng)長的時間，而某一種病毒木馬的更新代價卻要小得多。比如，那些釋放后門程序的黑客只需要一條命令就可以讓客戶端瞬間更新版本，需要的帶寬也遠小于殺毒軟件。 #p#

漏殺問題的解決思路——可信云安全將有效解決病毒木馬漏殺問題

分析漏殺產(chǎn)生的根源，是傳統(tǒng)殺毒軟件以及傳統(tǒng)的云安全技術(shù)已經(jīng)無法適應(yīng)計算機病毒木馬的快速增長，需要從技術(shù)理念、查殺方法上進行根本的革新。

傳統(tǒng)的病毒識別方法是只檢測“黑”文件（病毒文件），而“黑”文件的數(shù)量卻是日新增數(shù)萬種，安全軟件永遠沒有能力收集完所有的病毒文件。這一點，從各廠商每年公布的病毒統(tǒng)計報告就可以看出，沒有任何兩個廠商收集的病毒數(shù)量完全一致。

解決漏殺問題，必須采取全新的病毒鑒別理念。一個重要的突破是“可信云安全”，其理論基礎(chǔ)是，用戶電腦上的正常程序（“白”文件）可以被近乎完全的識別出來，只有非白的文件才會對用戶有威脅，把非白文件隔離，系統(tǒng)就安全了。

作為全新的可信云安全殺毒軟件，主要可以依靠三個重要的特征庫：本地正常文件白名單庫+本地流行病毒特征庫+云端海量特征庫，高效快速的完成病毒程序的鑒定和清除，同時盡可能消除誤報或漏報。

另外，傳統(tǒng)安全軟件解決漏殺是靠更新頻率，從原來的每天升級改進到每小時升級，但都必須依賴客戶端下載升級。而“可信云安全”的體系并不依賴于客戶端升級，云服務(wù)器以分鐘級更新特征庫，客戶端只要能聯(lián)網(wǎng)就能得到最新的病毒防御能力。這種快速響應(yīng)能力是傳統(tǒng)安全軟件無法做到的，這一點也在很大程度上縮短了漏殺期的存在，最大限度的解決了漏殺問題。