3月5日外電頭條:特征碼弊端漸顯 殺毒技術面臨革命
原創【51CTO.com快譯】一種觀點認為,防病毒與安全供應商們在與網絡罪犯們的戰斗中正逐步失去主動。黑客們的網絡爬蟲正越來越多的偷偷潛入計算機,植入惡意程序,打開計算機發送遠程攻擊指令,并把它們變為僵尸網絡的僵尸軍團。
造成這個局面的根本原因在于,現在大多數計算機依然還是通過防病毒軟件提供的病毒特征庫(或稱病毒簽名庫)來防范惡意軟件。在這種傳統的方式下,計算機通過病毒庫中的特征碼來識別文件中是否存在惡意軟件代碼,而這顯然只能識別已知的病毒。但目前的情況是,每天都有成千上萬的新病毒誕生,在這些病毒中,有許多進行了分段加密,或以其他方式進行藏匿或變種。在這種情況下,病毒特征庫必須要進行頻繁的在線更新,但即使是這樣,許多新病毒仍然會漏網。
面對這種情況,安全供應商們開始將注意力轉向為基于行為的檢測方法,用以確定新的病毒。新推出的防病毒軟件將把重點放在監測行為是否可疑上,比如一個程序是否試圖將數據寫入可執行的程序。
反病毒與互聯網安全供應商AVG日前推出了身份保護軟件AVG Identity Protection,該軟件將重點分析病毒程序的行為和特點,如果電腦中的程序運行看起來可疑,將會被關閉。這項技術原本來自頂尖的身份盜竊安全防范公司Sana Security,AVG在1月收購了Sana Security,并對該技術進行了強化。
“每天,把新的惡意代碼添加到特征數據庫的工作都會把我們這些防病毒軟件公司搞得焦頭爛額,因為每天都有為數兩萬到三萬的新病毒樣本出現,”AVG研究總監Roger Thompson表示,“我們不能總是跟在他們后面。現在到了采取新措施的時候了!”
與此同時,另一家安全供應商Damballa也發布了他們針對僵尸網絡的武器Failsafe 3.0,目的是殲滅侵入計算機的僵尸網絡惡意軟件。該技術通過監聽被侵入的系統和在Internet上進行指揮控制的節點間的通信,來發現并移除惡意軟件。
Damballa產品管理和營銷副總裁Bill Guerry告訴記者,即使企業部署了防病毒和入侵檢測系統,并且能夠保持即時更新,也會有5%的公司電腦被來自僵尸網絡的機器人軟件入侵——這個比例比人們通常想象的要高。
Damballa公司為此進行了超過6個月的專門研究,使用最先進的防病毒工具對超過20萬個惡意軟件樣本進行了掃描。結果顯示,從一個病毒被釋放出來直到它被捕獲,這兩者之間的平均時間差足有54天,而幾乎有一半的病毒在首次攻擊電腦時處在未被檢測的狀態,甚至有15%的病毒在180天后仍未被發現。
此外,另一家安全供應商Triumfant上周發布了同樣基于行為的反病毒軟件,針對零日攻擊(zero-day attack)提供保護。零日漏洞攻擊專門針對那些還沒有得到及時的補丁保護的安全漏洞,攻擊時間很短,難以防范。
Triumfant為此提供的新工具名為Resolution Manager,它將對改變計算機屬性的行為進行監控,如注冊表的鍵值、安全性和端口設置、以及性能統計數據,并對可疑的代碼進行移除。
編者按:事實上,針對惡意代碼的無窮增長,目前安全公司正在通過“云安全”架構技術,來實現快速、高效的病毒樣本響應時間。在51CTO.com記者看來,云安全技術的確可以緩解一些亟待解決的問題,但始終需要包括反病毒軟件在內的安全工具的支持,最理想的狀況是,用戶端不需要任何反病毒工具,而直接享受安全的上網環境。
【51CTO.com譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
原文:New antivirus software looks at behaviors, not signatures 作者:Elinor Mills
【編輯推薦】
