面对病毒所具有的目的性和网络性的特征,传统的反病毒技术暴露出很多不足:
1.首先,传统的反病毒技术只能针对本地系统进行防御。
2.传统的病毒查杀技术是采取病毒特征匹配的方式进行病毒的查杀,而病毒库的升级是滞后于病毒传播的,使其无法查杀未知病毒。
3.传统的病毒查杀技术是基于文件进行扫描的,无法适应对效率要求极高的网络查毒。
由于以上三点,传统的反病毒技术已经远远不能满足反病毒的需要。现在反病毒技术必须要能够针对病毒的网络性和目的性进行防御。于是,众多的反病毒厂家都开始了新一代反病毒技术的研发。总的说来,反病毒技术的发展具有以下趋势:
1.未知病毒查杀技术付诸实用。目前,对未知病毒检测的最大挑战是Win32文件型病毒(PE病毒)、木马和蠕虫病毒。许多操作系统漏洞除了微软自己知道外,不能被广大用户主动发现和知晓,这给反病毒造成的困难远远大于给病毒编写造成的困难。反病毒技术只能跟在病毒后面去亡羊补牢。另外,Win32程序的虚拟运行机制要比DOS环境下复杂很多,涉及到虚拟内存资源的API调用和很多系统资源进程调度,而很多木马程序,都善打擦边球,反病毒程序很难用传统行为分析的方法去区别木马程序和一些正常网络服务程序的区别,因为从技术的角度讲,这些木马程序的运行机制和正常的网络服务完全一样,不同的只是目的。未知病毒查杀技术是对未知病毒进行有效识别与清除的技术。该技术的核心是以软件的形式虚拟一个硬件的CPU,然后将可疑文件放入这个虚拟的CPU进行解释执行,在执行的过程中对该可疑文件进行病毒的分析、判定。虚拟机机制在智能性和执行效率上都存在很多难题需要克服,在今后几年内,该技术将会有一个突破性的发展,完全进入实用阶段。
2.防病毒体系趋于立体化。从以往传统的单机版杀毒,到网络版杀毒,再到全网安全概念的提出,反病毒技术已经由孤岛战略延伸出立体化架构。这种将传统意义的防病毒战线从单机延伸到网络接入的边缘设备;从软件扩展成硬件;从防火墙、IDS到接入交换机的转变,是在长期的病毒和反病毒技术较量中的新探索。
3.流扫描技术广泛使用于边界防毒。为了能够更好地避免病毒(特别是蠕虫病毒)的侵袭,边界防毒方案将会得到更加广泛的采用。它在网络入口处对进出内部网络的数据和行为进行检查,以在第一时间发现病毒并将其清除,有效地防止病毒进入内部网络。由于边界防毒需要在网络入口进行,那么就会对病毒的查杀效率提出极高的要求,以防止明显的网络延迟。于是,流扫描技术应运而生。它是专门为网络边界防毒而设计的病毒扫描技术,面向网络流和数据包进行检测,大大减少了系统资源的消耗和网络延迟。(本文作者系天融信公司产品经理)
