波莉代表普通用户炮轰现行安全软件,展望未来
来自:MACD论坛(bbs.macd.cn)
作者:govyvy
浏览:1755
回复:3
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
今天的安全软件,主要有杀软,防火墙,HIPS及辅助工具组成。它们在提高计算机安全水平上,起到了显著的作用。但对于我们这些专门玩安软的人来说,目前的安全软件尚难令人满意。其缺点如下:
1. 传统杀软识别率不足。基于的传统杀软的弱点已经显现。到处流行的加壳和加花指令等简便易行的免杀手段日益普及,威胁到了传统杀软的识别能力。即使加入了启发式查杀的主动防御技术,有时仍难以识别一些变种,还会引起一定的误报误杀。
2. 包括HIPS在内的行为分析技术在对付新病毒方面有得天独厚的优势,对付各种免杀病毒效果较好。但基于单步行为分析的HIPS对用户的要求较为苛刻,普通用户难以掌握,还存在严重的误警。(咱们卡饭上的规则常常说菜鸟也能用,减少询问80%,即使这样也远远不够)类似微点的多步行为分析大大降低报警频率,但依然存在误报问题(特别在安装和卸载时)。究其原因,在于安装文件和病毒的行为极其类似。这些妨碍了行为分析软件的普及。
注意:不要以我们的水平衡量大多数人。我们屋好几个人的AVG被微点干掉了,HIPS根本不用说
3. 防火墙和杀毒模块相对独立,智能程度不高,有时用户不易判断。(比如,某某程序要访问某某IP的某端口,把人搞得一头雾水)
4. 一般用户最严重的问题是,当前HIPS和防火墙需要用户参与太多,容易形成“狼来了”效应,很多时候,只能给人以心理安慰而已。我了解的家人和朋友,对待防火墙和主动防御的唯一方法就是狂点允许。这个事实我们无法改变。
在普通用户眼里:安全软件就像一位保安,我们是老板。我花钱雇了你,你就老老实实地干活,坏人来了就打,好人来了别拦。拦不住坏人就不称职,收拾铺盖给我走人!误打好人影响了正常生意,我不狂暴才怪。每分钟请示一次让老板来判断该不该打?我先打你一顿算了。
接下来,说说我心目中的安软,一位称职的保安
未来的安软,以行为分析为核心,才能打破今天杀软追着病毒跑的窘境。在此基础上,扬长避短,加入外围模块,成为一个完整的安全系统,集监控,扫描,修复,网络控制于一体。
1. 白名单库,增加效率和减少误报的关键。特别是现在恶意软件数量已超过正常软件数量,在杀软中加入大量白名单是大势所趋。
2. 为了弥补行为分析无法消灭非活动病毒和残体的问题,并作为提高安全系数的有效手段,+启发式构成行为分析前的一道防线,可有效消灭已知病毒。启发式查出的可疑对象无需交由用户判断,而应作为行为分析的一个参考项,提高该程序的威胁级别。
3. 对各种程序行为的分析应是安软的中心。其中应包括防火墙的网络行为分析。防火墙应与其他模块联动,自动允许信任程序,自动切断危险程序的网络连接。多步行为分析应建立在沙盘或影子系统的基础上,便于回滚。
经过该步分析,明显威胁直接报毒并回滚,杀毒,提取本地,并发送到数据中心。
4. 仍有疑问的,提取其信息发送到安全社区,这时必须提示用户,并将其他人的判断提供给用户作为参考。
个人认为,这样可以同时降低漏报,误报以及用户参与的次数。将本地分析和社区统计信息结合,将智能分析和人脑分析结合,并降低了用户判断的难度。
我们同学看了之后说:这不就是微点+红伞+360么?并不是。我们需要的是一个整体,一套完整的解决方案,一个悄悄工作的员工。只有这样,安软才能真正的达到智能化,行为分析技术才能走进千家万户。
后记:我昨天先把此文发到卡饭,与大家讨论了相关问题。目前,微点在行为分析的道路上走得最远,比起传统HIPS,易用性有很大提高。希望微点继续努力,在技术上走在国际前列。
附件 1: 1.jpg (2008-2-28 19:57, 21.81 K,下载次数: 1)
|