论文部分内容阅读
摘 要:社会经济与技术的进步,使得互联网的应用领域愈发广泛,国内网民数量逐年递增,网络整体处理的信息量翻倍增长,但随之而来的网络安全问题却也困扰着大量客户,一些不法分子利用互联网大肆传播的木马、病毒来盗取用户信息,破坏用户数据。有效的网络病毒防御技术也就应运而生,目前主流的防御技术虽然可以满足大部分互联网操作环境下的要求,但在一些特殊条件下,却难以查杀病毒,本文作者通过分析对比传统病毒防御技术,简要探析主动防御技术在用户使用计算机过程中的应用。
关键词:主动防御;特征防御;启发式扫描
网络技术的进步极大的促进了网络的便捷性与实用性,网络辅助人们获取信息、处理数据、促进人与人之间的沟通交流,并且在空间与时间层面上极大的缩短交流的过程,互联网作为虚拟世界也成为了重要的公共环境之一。而网络具有社会属性之后,部分不法分子开始试图通过网络获取经济利益,技术高超的黑客制作、贩卖病毒在网络中传播,盗取、损坏用户信息。而如果没有有效的治理措施,这样的现象也有愈演愈烈的趋势。网络病毒威胁到了用户的安全,也给用户的日常使用带来的很大的困扰,如何能够利用新型主动的防御技术来保障计算机系统、互联网用户的信息安全,成为当下各界最热门的话题之一。
一、传统网络防御技术与主动防御技术的比较
计算机发明之初,优秀的计算机技术人员就开发出了世界上第一款病毒的雏形,当时存粹为了炫耀技术以及“恶作剧”,但没想到这种破坏计算机系统的程序执行机制通过一些别有用心的人的利用,却成了当今互联网时代向前发展的“毒瘤”。大量不法分子利用病毒、木马盗取用户个人信息,甚至是攻击企业的数据库获取大量信息,然后针对性的出售或加以利用,获得成倍的利润。而目前针对病毒的查杀以及删除机制都是讲病毒的特征进行量化提出并加入病毒库,之后在用户中的电脑中安装杀毒软件,对于可以识别的病毒进行及时的查杀。但这样的病毒查杀方式需要对用户电脑中的程序逐渐对比,才能够判断病毒是否被感染,如果新型病毒出现而杀毒软件公司的工具还不能够识别那么病毒程度会被认为安全软件得以继续存在。对于未知病毒的查杀,传统杀毒软件效果十分的有效,新型的病毒出现之后必须结合实际需要,来更新用户的杀毒软件才能够达到杀毒的效果。而如果病毒的制作者在植入用户电脑之后强行关闭杀毒软件的更新程序,那么用户的电脑无异于陷入任人宰割的危险境地。对于未知病毒被当成正常程序放过就会导致用户电脑出现各种信息以及数据的泄露,而反病毒技术人员以及机构一直积极探索如何能够有效识别未知病毒,并进行有效的拦截,而这种方式正是今天需要重点分析的“主动防御”技术。
市面上绝大部分杀毒软件在面对新病毒查杀的过程中都或多或少的存在滞后性,这是业内公认的问题,而最新逐渐兴起的主动防御技术能够很好的解决上述问题,主动防御技术主要针对未知病毒的防御与查杀。杀毒软件通过智能分析的查杀方式对未知的文件进行隔离,并针对用户的需求进行定期提醒,从病毒的运行层面阻止其运行,主动防御技术通过对程序的行为进行分析与鉴别,对于有嫌疑的程序先行隔离,等确认为新型病毒之后进行提醒用户查杀。另外一方面计算机公司结合自身强大的后天处理技术,实时更新用户电脑的漏洞分析数据库,保证用户电脑的杀毒软件能够时刻监测网络上最新出现的运行漏洞,谨防病毒利用计算机系统或者插件的漏洞进行对用户的攻击,在源头上阻断病毒的传播渠道。
二、主动防御技术分斩
1.触发式防御
主动防御是结合日益严峻的互联网形式而形成的防护概念,此概念一经提出就得到了国内外各大安全厂商的一致追捧。各大杀软公司也开始反思传统病毒防御技术过程中存在的问题,原有的杀毒软件技术机制永远跟不上花样翻新的计算机病毒更新速度,通用的控制规则利用反病毒程序建立扫描程序进行逐一分析对比,如果能够发现病毒的相关API就进行第一时间的清理,而触发式防御是在用户不需要使用杀毒软件的时间内,也占用一定量的系统内存与资源对通过互联网进入用户计算机的行为进行严格的检测,尤其是文件下载。
这种触发式的监控方式类似计算机的防火墙,但又区别于防火墙,因为防火墙仅有防御功能,而触发式防御技术将防御技术与杀毒技术融为一体,保证程序运行的高效性。在第一时间就将未知程序进行沙盒隔离。在沙盒内进行模拟运营,分析未知程序的安全性,如果觉得嫌疑较大会第一时间上传至总公司的反病毒云查杀服务器,通过云计算的方式分析程序的安全性,如果该程序有问题就第一时间通知用户删除。如果从技术层面进行分析,反病毒系统就在一个进程建立之前对此进程的代码进行扫描,进而分析其安全性,即使程序安全也要对该未知程序进行一段时间的检测,确认没有问题之后才会认定程序为安全。例如:杀软在监控计算机系统的各程序的过程中,会利用触发式的机制将大部分文件假想成被感染的文件,为每一个可能出现问题的程序制定防御方案,一旦系统内出现某些问题,会在最短的时间内调动防御机制,先隔离,然后通知用户是否需要监控某些程序。主动防御系统检测利用触发式的机制动态仿真反病毒专家系统划定监测区域之后,进行自动的程序监视,自动分析系统各区域内程序之间的编译机制与逻辑关系,并综合运用用户计算机系统的安全规则和目前最先进的识别规则,在此基础上建立起新的病毒防御模式,这种主动防御的方式从根本上改变了传统的互联网病毒防御思维,通过触发式的机制达到了主动防御的目的。
国内外不乏优秀的安全防御厂商,某计算机安全领域的权威杂志对国内外主流的十余款杀毒软件进行分析,在互联网信息传播速度不断加快的今天,主流杀毒软件对于未知程序的查杀率仅为34%,甚至低于去年同期。相比之下只有部分技术发达、主动防御技术运用纯熟的厂商有较强的主动防御能力,例如:俄罗斯卡巴斯基以及美国的ESETNOD32对未知病毒的查杀率均在60%以上。其在主动防御过程中融合运用虚拟机、病毒反编译程序以及云分析等方式进行查杀,不仅效率高而且误报少,但在国内的应用普及率并不高,因为年费较高,在国内杀软免收费盛行的大环境下,大部分个人用户并不愿意承担上述安全软件的使用费用。 2.启发式防御
启发式查毒技术,给计算机杀毒软件加入智能化的程序,允许杀毒软件拥有分析与推理的能力,这样的杀毒软件可以根据用户的使用习惯、查杀习惯进行数据的收集与分析,之后总结经验,提高杀毒软件的分析能力,随着用户使用时间的延长,该杀毒软件也会越来越智能。甚至技术优秀的程序,可以自助分析各种类型的文件代码,梳理结构进行对恶意程序的反编译,利用自身的查杀能力构建虚拟安全环境来进行病毒防御,甚至随着技术的不断成熟,启发式防御技术可以赋予杀毒软件一定的“主动性”,即主动预测未来可能出现的病毒变种,而在病毒未产生阶段就拿出应对措施,这也是计算机安全发展过程中想要达到的终极目标。
启发式防御技术也属于主动防御技术的一种,互联网技术应用渗透到各行各业以及人们学习生活当中。启发式防御在利用静态代码分析的基础上结合动态虚拟机的各种分析指令进行工作,并在杀毒软件外部架构过程中附加人工智能程序,保证杀毒软件的智能型。且由于病毒程序在日常运营与监控过程中,通常一个应用程序在最初的指令,是检查命令行输入有无参数项、清屏和保存原来屏幕显示等,而病毒为了避开杀毒软件的监控与查杀,其主程序通常采取迂回策略,在最初的指令是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列来绕过杀软的防御程序。这时候静态代码分析程序就会失效,需要动态虚拟机程序对加壳病毒进行分析,而动态启发技术本身程序逻辑十分复杂。开发耗时长,很多网络安全公司尚不具备启发式防御的基本技术。因此启发式这种最先进的主动防御技术普及率依然极低。目前国内具备基本的启发式查杀技术的网络安全公司只有ESETNOD32,其动态智能查杀引擎ThreatSense虽然尚未完全进行商用阶段,但其超过81%的未知病毒检测率与查收率,并辅以低于0.1%的误报率而震惊业界,成为安全行业发展的最高水准。该技术在动态启发式查杀过程中充分掌握了静态分析技术的精髓,将静态代码分析技术按照智能化的逻辑融入到虚拟机技术当中,会在计算机占用率低的时候自动生成虚拟的病毒,为虚拟病毒构建仿真的运行环境,通过观察记录分析得出病毒查杀的具体方式,这样在未知病毒产生之后,可能启发式程序内部已经有了类似病毒的记录而进行第一时间的查杀。
三、结束语
综上所述,在互联网时代的大背景下,关于网络方面的应用已经渗透到各行各业,人类的发展与进步已经离不开计算机以及互联网。但伴随计算机与网络诞生的“毒瘤”——病毒的相关技术也日新月异,花样翻新,越来越多的变种病毒、加壳病毒威胁着用户的计算机网络安全,尤其是个人信息以及有经济价值的商业信息,更成为不法分子眼中的“唐僧肉”。而主动防御技术的出现让网络安全行业以及用户看到了彻底根治网络病毒的希望,在这场“矛”与“盾”的较量过程中,安全防御技术终将战胜网络上愈发泛滥传播的病毒,还用户一个安全健康的网络环境。
参考文献:
[1]张超等.基于主动防御的网络防治技术研究及网络安全技术与应用[M].中国人民公安出版社.2014.(09):12-51
[2]崔鹏.给予语义的启发式病毒检测引擎研究[J].常熟理工学院报.2011.(02)
基金项目:河南省教育厅科学技术重点研究项目“网络病毒的交互模型和防御研究”(编号:15B520012)
关键词:主动防御;特征防御;启发式扫描
网络技术的进步极大的促进了网络的便捷性与实用性,网络辅助人们获取信息、处理数据、促进人与人之间的沟通交流,并且在空间与时间层面上极大的缩短交流的过程,互联网作为虚拟世界也成为了重要的公共环境之一。而网络具有社会属性之后,部分不法分子开始试图通过网络获取经济利益,技术高超的黑客制作、贩卖病毒在网络中传播,盗取、损坏用户信息。而如果没有有效的治理措施,这样的现象也有愈演愈烈的趋势。网络病毒威胁到了用户的安全,也给用户的日常使用带来的很大的困扰,如何能够利用新型主动的防御技术来保障计算机系统、互联网用户的信息安全,成为当下各界最热门的话题之一。
一、传统网络防御技术与主动防御技术的比较
计算机发明之初,优秀的计算机技术人员就开发出了世界上第一款病毒的雏形,当时存粹为了炫耀技术以及“恶作剧”,但没想到这种破坏计算机系统的程序执行机制通过一些别有用心的人的利用,却成了当今互联网时代向前发展的“毒瘤”。大量不法分子利用病毒、木马盗取用户个人信息,甚至是攻击企业的数据库获取大量信息,然后针对性的出售或加以利用,获得成倍的利润。而目前针对病毒的查杀以及删除机制都是讲病毒的特征进行量化提出并加入病毒库,之后在用户中的电脑中安装杀毒软件,对于可以识别的病毒进行及时的查杀。但这样的病毒查杀方式需要对用户电脑中的程序逐渐对比,才能够判断病毒是否被感染,如果新型病毒出现而杀毒软件公司的工具还不能够识别那么病毒程度会被认为安全软件得以继续存在。对于未知病毒的查杀,传统杀毒软件效果十分的有效,新型的病毒出现之后必须结合实际需要,来更新用户的杀毒软件才能够达到杀毒的效果。而如果病毒的制作者在植入用户电脑之后强行关闭杀毒软件的更新程序,那么用户的电脑无异于陷入任人宰割的危险境地。对于未知病毒被当成正常程序放过就会导致用户电脑出现各种信息以及数据的泄露,而反病毒技术人员以及机构一直积极探索如何能够有效识别未知病毒,并进行有效的拦截,而这种方式正是今天需要重点分析的“主动防御”技术。
市面上绝大部分杀毒软件在面对新病毒查杀的过程中都或多或少的存在滞后性,这是业内公认的问题,而最新逐渐兴起的主动防御技术能够很好的解决上述问题,主动防御技术主要针对未知病毒的防御与查杀。杀毒软件通过智能分析的查杀方式对未知的文件进行隔离,并针对用户的需求进行定期提醒,从病毒的运行层面阻止其运行,主动防御技术通过对程序的行为进行分析与鉴别,对于有嫌疑的程序先行隔离,等确认为新型病毒之后进行提醒用户查杀。另外一方面计算机公司结合自身强大的后天处理技术,实时更新用户电脑的漏洞分析数据库,保证用户电脑的杀毒软件能够时刻监测网络上最新出现的运行漏洞,谨防病毒利用计算机系统或者插件的漏洞进行对用户的攻击,在源头上阻断病毒的传播渠道。
二、主动防御技术分斩
1.触发式防御
主动防御是结合日益严峻的互联网形式而形成的防护概念,此概念一经提出就得到了国内外各大安全厂商的一致追捧。各大杀软公司也开始反思传统病毒防御技术过程中存在的问题,原有的杀毒软件技术机制永远跟不上花样翻新的计算机病毒更新速度,通用的控制规则利用反病毒程序建立扫描程序进行逐一分析对比,如果能够发现病毒的相关API就进行第一时间的清理,而触发式防御是在用户不需要使用杀毒软件的时间内,也占用一定量的系统内存与资源对通过互联网进入用户计算机的行为进行严格的检测,尤其是文件下载。
这种触发式的监控方式类似计算机的防火墙,但又区别于防火墙,因为防火墙仅有防御功能,而触发式防御技术将防御技术与杀毒技术融为一体,保证程序运行的高效性。在第一时间就将未知程序进行沙盒隔离。在沙盒内进行模拟运营,分析未知程序的安全性,如果觉得嫌疑较大会第一时间上传至总公司的反病毒云查杀服务器,通过云计算的方式分析程序的安全性,如果该程序有问题就第一时间通知用户删除。如果从技术层面进行分析,反病毒系统就在一个进程建立之前对此进程的代码进行扫描,进而分析其安全性,即使程序安全也要对该未知程序进行一段时间的检测,确认没有问题之后才会认定程序为安全。例如:杀软在监控计算机系统的各程序的过程中,会利用触发式的机制将大部分文件假想成被感染的文件,为每一个可能出现问题的程序制定防御方案,一旦系统内出现某些问题,会在最短的时间内调动防御机制,先隔离,然后通知用户是否需要监控某些程序。主动防御系统检测利用触发式的机制动态仿真反病毒专家系统划定监测区域之后,进行自动的程序监视,自动分析系统各区域内程序之间的编译机制与逻辑关系,并综合运用用户计算机系统的安全规则和目前最先进的识别规则,在此基础上建立起新的病毒防御模式,这种主动防御的方式从根本上改变了传统的互联网病毒防御思维,通过触发式的机制达到了主动防御的目的。
国内外不乏优秀的安全防御厂商,某计算机安全领域的权威杂志对国内外主流的十余款杀毒软件进行分析,在互联网信息传播速度不断加快的今天,主流杀毒软件对于未知程序的查杀率仅为34%,甚至低于去年同期。相比之下只有部分技术发达、主动防御技术运用纯熟的厂商有较强的主动防御能力,例如:俄罗斯卡巴斯基以及美国的ESETNOD32对未知病毒的查杀率均在60%以上。其在主动防御过程中融合运用虚拟机、病毒反编译程序以及云分析等方式进行查杀,不仅效率高而且误报少,但在国内的应用普及率并不高,因为年费较高,在国内杀软免收费盛行的大环境下,大部分个人用户并不愿意承担上述安全软件的使用费用。 2.启发式防御
启发式查毒技术,给计算机杀毒软件加入智能化的程序,允许杀毒软件拥有分析与推理的能力,这样的杀毒软件可以根据用户的使用习惯、查杀习惯进行数据的收集与分析,之后总结经验,提高杀毒软件的分析能力,随着用户使用时间的延长,该杀毒软件也会越来越智能。甚至技术优秀的程序,可以自助分析各种类型的文件代码,梳理结构进行对恶意程序的反编译,利用自身的查杀能力构建虚拟安全环境来进行病毒防御,甚至随着技术的不断成熟,启发式防御技术可以赋予杀毒软件一定的“主动性”,即主动预测未来可能出现的病毒变种,而在病毒未产生阶段就拿出应对措施,这也是计算机安全发展过程中想要达到的终极目标。
启发式防御技术也属于主动防御技术的一种,互联网技术应用渗透到各行各业以及人们学习生活当中。启发式防御在利用静态代码分析的基础上结合动态虚拟机的各种分析指令进行工作,并在杀毒软件外部架构过程中附加人工智能程序,保证杀毒软件的智能型。且由于病毒程序在日常运营与监控过程中,通常一个应用程序在最初的指令,是检查命令行输入有无参数项、清屏和保存原来屏幕显示等,而病毒为了避开杀毒软件的监控与查杀,其主程序通常采取迂回策略,在最初的指令是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列来绕过杀软的防御程序。这时候静态代码分析程序就会失效,需要动态虚拟机程序对加壳病毒进行分析,而动态启发技术本身程序逻辑十分复杂。开发耗时长,很多网络安全公司尚不具备启发式防御的基本技术。因此启发式这种最先进的主动防御技术普及率依然极低。目前国内具备基本的启发式查杀技术的网络安全公司只有ESETNOD32,其动态智能查杀引擎ThreatSense虽然尚未完全进行商用阶段,但其超过81%的未知病毒检测率与查收率,并辅以低于0.1%的误报率而震惊业界,成为安全行业发展的最高水准。该技术在动态启发式查杀过程中充分掌握了静态分析技术的精髓,将静态代码分析技术按照智能化的逻辑融入到虚拟机技术当中,会在计算机占用率低的时候自动生成虚拟的病毒,为虚拟病毒构建仿真的运行环境,通过观察记录分析得出病毒查杀的具体方式,这样在未知病毒产生之后,可能启发式程序内部已经有了类似病毒的记录而进行第一时间的查杀。
三、结束语
综上所述,在互联网时代的大背景下,关于网络方面的应用已经渗透到各行各业,人类的发展与进步已经离不开计算机以及互联网。但伴随计算机与网络诞生的“毒瘤”——病毒的相关技术也日新月异,花样翻新,越来越多的变种病毒、加壳病毒威胁着用户的计算机网络安全,尤其是个人信息以及有经济价值的商业信息,更成为不法分子眼中的“唐僧肉”。而主动防御技术的出现让网络安全行业以及用户看到了彻底根治网络病毒的希望,在这场“矛”与“盾”的较量过程中,安全防御技术终将战胜网络上愈发泛滥传播的病毒,还用户一个安全健康的网络环境。
参考文献:
[1]张超等.基于主动防御的网络防治技术研究及网络安全技术与应用[M].中国人民公安出版社.2014.(09):12-51
[2]崔鹏.给予语义的启发式病毒检测引擎研究[J].常熟理工学院报.2011.(02)
基金项目:河南省教育厅科学技术重点研究项目“网络病毒的交互模型和防御研究”(编号:15B520012)