09安全威胁趋势和反病毒行业发展情况

淡淡体味

09安全威胁趋势和反病毒行业发展情况

来自：MACD论坛(bbs.macd.cn) 作者：淡淡体味 浏览：1695 回复：0

从1988年我国发现了最早的计算机病毒“小球”和“大麻”以来，20年转眼已过，这20年既是病毒与反病毒“魔道较量”的20年，也是反病毒行业高速发展、不断前行的的20年。早期的病毒，难以清除，现在的病毒，更难防御，但尽管“道高一尺、魔高一丈”，却正如同安全厂商所追寻的目标一样，每个用户、每个开发者都都坚信，我们总有一天可以战胜毒魔，不再被其左右。当然，距离那一天还有段距离，但是回首过往，展望未来，我们还是看到了希望和曙光。

说到病毒，到底何为病毒？其实很多朋友还并不了解，那么我们不如翻阅资料，看看病毒真正的定义（中学、大学课本上的定义）“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”这是我国对于计算机病毒的正式定义，但是在实际中，所有会对用户的计算机安全产生威胁的，都被划入了广义的病毒范畴，特别是目前最为流行的恶意脚本、木马病毒、蠕虫变种等等。

病毒类别和新兴威胁

病毒大致分为以下几类：传统病毒，宏病毒，恶意脚本，木马、黑客、蠕虫、破坏性程序（资料来源于网络）。

1.传统病毒：能够感染的程序。通过改变文件或者其他东西进行传播，通常有感染可执行文件的文件型病毒和感染引导扇区的引导型病毒；

2.宏病毒（Macro）：利用Word、Excel等的宏脚本功能进行传播的病毒；

3.恶意脚本（Script）：做破坏的脚本程序。包括HTML脚本、批处理脚本、VB、JS脚本等；

4.木马（Trojan）程序：当病毒程序被激活或启动后用户无法终止其运行。广义上说，所有的网络服务程序都是木马，判定是否是木马病毒的标准不好确定，通常的标准是：在用户不知情的情况下安装，隐藏在后台，服务器端一般没有界面无法配置；

5.黑客(Hack)程序：利用网络来攻击其他计算机的网络工具，被运行或激活后就象其他正常程序一样有界面；黑客程序是用来攻击/破坏别人的计算机，对使用者本身的机器没有损害；

6.蠕虫（Worm）程序：蠕虫病毒是一种可以利用操作系统的漏洞、电子邮件、P2P软件等自动传播自身的病毒；

7.破坏性程序（Harm）：病毒启动后，破坏用户计算机系统，如删除文件，格式化硬盘等。常见的是bat文件，也有一些是可执行文件，有一部分和恶意网页结合使用。

上面这些类别，目前大多仍在“一线”。不过传统病毒、宏病毒等已基本可以被杀毒产品有效识别和快速清除，通过及时更新系统补丁也能够有效预防。而恶意脚本、木马、黑客程序，包括部分蠕虫和破坏性程序，目前仍然困扰着厂商，也威胁着用户。特别是近年来，以“冲击波”、 “震荡波”、“熊猫烧香”、“武汉男生”等为代表的蠕虫，和以“挂马”网页为代表的木马病毒和部分骗取用户钱财、盗取账号、密码等信息的黑客程序，渐渐成为威胁主流。前者破坏性极强，具备瞬间使系统崩溃的巨大威力，后面两类则具备极大的破坏性和诱惑性。
整体趋势和隐患特征　　从病毒发展的整体趋势来看，感染蠕虫病毒还是用户不幸“中招”的主要元凶，利用系统存在的相关漏洞，扫描后门端口并伺机侵入，篡改系统关键文件，导致无法正常启动或失去效用，最终迫使系统崩溃、蓝屏。而通过网页中植入相关代码、包括木马程序，形成“挂马”网页的形势散播，也是病毒的重要传播途径。由此可见，“破坏性”和“传播性”依然是病毒的主要特征。

在破坏性方面，除传统利用Windows操作系统的相关漏洞进行植入外，08、09年开始，通过其它软件后门，如Adobe系列产品的BUG进行植入，所形成的所谓利用“零日漏洞”攻击，也成为了一种全新的破坏和入侵方式。
01.jpg (11.55 KB)
2009-7-11 16:04

利用非微软软件漏洞进行攻击的行为几乎达到了攻击总数的一半
新近兴起的“零日漏洞”是指被发现后立即被恶意利用的安全漏洞，这种攻击利用厂商缺少防范意识薄弱或缺少及时补丁修复，“钻空”寻找突破，植入系统，篡改相关文件，从而能够造成巨大破坏。而一旦成功侵入，并开始发作，“零日漏洞”攻击就会迅速传播，甚至不断繁殖和进行“变种”。

而在“传播性”方面，以“挂马”网页、“钓鱼”网页、IM病毒为代表的散布方式，已经愈发引起用户的担忧，一方面很多正规站点，因存在漏洞被黑客侵入，在页面中写入部分恶意代码，导致其加载木马程序，一方面很多通过注册相似域名，高度模仿官方页面，并散播部分虚假广告、中奖信息，骗取用户访问，或是在浏览后自动植入病毒，或是要求用户输入相关信息，并最终窃取用户钱财。

从整体趋势来看，相比07年以前的安全威胁，病毒的破坏方式更强、传播方式更加“多元化”。同时伴随网络高速发展，人们开始乐于接受网络购物、网银支付、在线交易、以及包括网络游戏的快速兴起和市场的逐渐成熟。这也诱使黑客萌生了犯罪动机。特别是窃取账号和盗取网银余额等行为，已经逐渐引起成整个社会的关注。
行业现状和发展前景　　说到了病毒的威胁，自然要谈反病毒领域的发展，这场“魔道之争“维持了很多年，总体讲有效遏制了病毒的无限拓展。当用户安装并使用相关的防火墙程序之后，已可有效屏蔽或拦截绝大多数的入侵病毒。通过不断升级和完善的查杀引擎，也可以有效清除各类隐藏在系统中的病毒程序。加之一些交互时系统，如”云安全“系统的兴起，也有效提高了病毒分析和捕获效率。快速对已知和未知病毒做出响应。

回顾反病毒历史，我们则首先可以从查杀引擎的变迁说起，早年的反病毒软件，大多采取甄别和广谱特征认知等方式对病毒进行检测，虽然这种方式持续了很多年，甚至一直到本世纪初，但最终却由于误杀率过高、检测速度太慢而被逐渐淘汰。在新时代的反病毒产品中，以”启发式“扫描和“行为判定”、“虚拟机脱壳技术”检测为代表的新式查杀引擎，已经成为了当前杀软所采用的主流技术。
02.jpg (20.23 KB)
2009-7-11 16:04

“行为分析判定”已成为当前杀毒所采用的主要侦测技术
同时在防护模块中，以智能时时监控系统、主动防御系统以及网络攻击防御、系统漏洞监控等标准防护系统、以及包括黑客行为判定、“沙盒”技术等防护模块的引入，也使得反病毒产品可以有效遏制病毒发作，并拦截各类威胁程序试图利用系统后门或漏洞，对计算机进行攻击。
03.jpg (19.14 KB)
2009-7-11 16:04

以“智能主动防御”为主题的全新反病毒技术已经成为主流
同时，出当前所采取的相关反病毒技术之外，目前已经初具端倪的如“云安全”、“沙盒”系统等，也将成为日后的杀软所采取的主流技术，通过“云安全”系统，每一个杀软用户，都可以自由上传自己的相关日志信息，供工程师进行分析，并在进行整理后最后判定后，融入到病毒库更新当中，真正实现信息交互和实时响应。
了解类别、回顾历史、洞悉现状、展望未来，安全领域在这几十年中不断发展、前行，从早期的简单对抗、手工清除，到如今的智能扫描、一键查杀，从部分所谓的“杀毒软件”目前仍然在采取的靠更新病毒特征来维持识别机制的传统方式、到如今通过“启发式扫描”、“行为判定”为代表的全新技术引擎。一部行业的“编年史”让我们体会了这些年发展的不易。然而安全行业的威胁依然严峻、防病毒事业任重道远。但我们有理由相信，邪不可能压正，这场维持了几十年、可能还将继续战斗几十年的“矛与盾”之间的斗争将最终以反病毒事业的胜利而告终。