突破“围城” 杀毒软件群雄聚首研讨2008(5)

2008-04-18 11:55:56 中华网科技 【大 中 小】 发表评论

    
    王皇文：我们进行下一个议题就是主动的防御技术。应该说最近这个话题非常的热，每一家都说我的防御技术都是用主动的方式，化被动为主动的方式来把病毒提前做预防。除了这个以外，我们目前各家有什么技术，或者说针对主动防御有什么看法，可以跟我们谈这个话题。
    
    东方微点：我因为一上来就说我不是做杀毒软件的，我讲认证，讲本土化我也不太懂，产品没有上市，也不存在本土化和国际化的问题，现在谈的主动防御我要说两句。实际上我不是做杀毒软件的，但是实际上跟这个有关，我们产品叫主动防御软件。我想说一下我眼中的主动防御，现在各家都在做主动防御。主动防御在我们看来，这个所谓主动防御跟杀毒软件是有很多区别的。我们现在讲杀毒软件最基本的不光是我们谈论的人很清楚，我相信很多的网友和用户都很清楚。
    
    我觉得主动防御本身它实际上区别于一种防御体系和模式，它是好些种技术的综合。它的这种方式从判断原理是和运作模式上，跟杀毒软件有区别，但是不管你怎么变，我认为无论你采取哪种方式，有一个基本诉求是需要保证的，就是不论你采取什么方法，目的只有一个，我们要把病毒防住。所以你是传统杀毒也好，主动防御也好，我们讲对它有一个最基本的要求，最基本的要求是用户有没有感觉到你所谓的主动防御,我想大家说的更多的是针对病毒来说。
    
    现在为什么大家又提出来主动防御，实际上面临着病毒迅速增长没有办法去克服的问题。所以才提出要主动防御.主动防御同样要做到针对未知病毒的防御，你能够去识别，同时你还能够明确告诉用户，并最终把它清除，这是最基本的问题，如果你满足不了这三个条件，我认为你叫主动防御就有点小问题，只不过是防御方式的改变，初衷并没有改变，我们的目的并没有改变，就是怎么解决病毒困扰的问题。
    
    所以在这样的前提之下，现在我们讲主动防御似乎很多人很难去处理，这个题目里面不知道怎么去回答，怎么样去确认，你报出来的信息他看不懂，为什么会看不懂呢？因为没有明确你究竟给了一些什么东西，就不符合我眼中的主动防御，既然是主动防御你要告诉用户是不是蠕虫或者是木马，我们现在看到很多的也被称为主动防御的，只是告诉你某一个动作，就讲某某程序在修改注册表，让不让他改，他完全没有告诉他这个性质是什么，用户不就是很茫然吗，他肯定会茫然，因为你不告诉我动作的结果是什么，我自然不知道该怎么办，这样的情况下，可能就会对主动防御有一种误解。在我心目中这种防御方式可能不是主动防御。我是这么理解，谢谢大家。
    
    趋势科技：主动防御这个概念对于趋势来说，我们可以把它理解成两个层次，第一个层次就是我们在这个问题里面提到的，我们一般称为它为启发式扫描的功能。一般都会使用行为检测技术，而这种行为检测技术会提供人机交互的模式，让客户去判断。这种模式只是简单地处理未知病毒，对于趋势，这种只是主动防御的一部分。我们理解何为主动的防御，意思是说当客户还没有发现这个问题，我们提前发现了这个问题，并解决了这个问题这是主动的防御。
    
    主动防御涉及到几块，第一块是我们怎么样去处理病毒防御。就是对已知和未知病毒的处理。我们会根据这个文件执行的过程中会不会有病毒的倾向，这种情况会造成很大很大的误报，尤其是对于一些企业，在研发的里面单独的软件的时候，比如说ERP系统的单独开发都会存在误报。我们在客户端装一个装置，它会把违反规则的所有的文件搜集起来，通过一个渠道转借到后台的服务中心去，通过VES的病毒审核系统和人工审核上来的文件是否是病毒，如果是，我们会给出相应的解决方案去解决这个方案。这才是比较理想的主动防御的解决方案，这款产品具备了真正的主动防御的解决方案。
    
    还有一个是服务的体现，所说的主动的防御，就是帮助用户及时地解决问题，当用户出现了问题，我们及时地解决，或者说当用户没有发现问题时，我们去分析问题。另一种情况就是通过服务器实现，它会监控企业里面哪几台计算机有问题，出现问题的时候怎么解决，提早告诉管理人员这些机器应该怎么样去处理，这样实际上把问题及时地发现和解决，这也是主动式的服务。不像以前，客户在抱怨我的机器为什么不能用了，而是说我们跟客户说你的机器可能有问题，我们帮你解决，这是主动服务的概念。
    
    其实行为检测技术一直会存在这个问题，就是说客户的判断和误报的现象。只有通过后台的服务和加产品才能真正的解决，才能够实现真正的主动防御。在主动防御方面我我还想说一点，任何的一个产品在部署的过程中，想要实现主动，最终的结果客户没有发现这个问题才叫主动式的工作，在这种情况下趋势为了解决这个问题，推出了信息检测的技术。可以放在企业网端的位置，任何的病毒通过网端传送的时候，我们检测你访问的网页是否有病毒倾向是否是不该访问的网站，这样实现在网端主动的防御。在还没有引起客户影响的时候我已经起到了作用，信息检测弥补了网端产品的不足，以前只是检测是否有病毒这是很传统的方式。
    
    关于趋势的发展的的方面我想谈两点，一个病毒技术的进化，比如说U盘病毒的严重，ERP病毒的影响，现在评判一个防病毒领域有什么变化是很难预知的工作。当有一种功能出现了影响很大的时候，我们才知道有这种技术还在危害网络。往往防病毒的处理方式是被动的方式，作为防御的厂商来说，趋势科技在ARP病毒和ARP有完整的解决方案。往往我们提出的解决方案才是根本解决问题的方案，举两个例子，一个是U盘防护的概念，对于U盘防护的概念，你厂商的U盘去检测和扫描，这是新增的功能，这是只是解决了我去扫描的问题，如果你的病毒码没有更新，没有免疫的功能你还是防御不了这个功能。怎么去解决真正的U盘病毒的问题，你就要有免疫的功能，即使它有病毒也不会感染你的计算机，另一种是防御的功能，趋势科技对于U盘的解决方案一个是免疫的功能，是跟微软进行合作，我们出了解决方案，这个会放在我们升级服务器上面去，它会自动地下载到客户端去，修改注册表。
    
    ARP病毒困扰了我们很久，现在的解决方案一种是我们的IP地址绑定的功能，它解决的问题使我不会被欺骗，但是不会解决中病毒客户端受攻击的问题。实际上这种解决方案不是完整的解决方案，很多的厂商提出的解决方案，为了解决网络畅通的问题，为了解决客户端不被欺骗的功能，你发ARP包我也发，看谁的速度快，如果客户端识别到的正确就可以上网，如果识别的是欺骗的你还是要中病毒。这种情况解决不了根本的问题，同时会造成网络的ARP包会大量的增加，趋势科技对于ARP病毒的解决方案，应该包括免疫以及防护的两个层次，免疫就是说你一定要阻止这个网络中继续发ARP包，我们防护通过一个设备实现所有的设备的绑定的功能。
    
    关于一些其他方面的发展趋势，我认为市场的导向和威胁的变化，决定的趋势科技的变化，关于趋势科技的变化方式，趋势科技提出的观念，防病毒产品可能会演变成以服务为导向，服务外包为核心机制的解决方案，尤其是在企业行业，对于单机行业还是以产品的解决方案为主，会演变成具备防控、防火墙、修复的功能等等，会变成盒子，这个盒子放在终端上解决问题，这只是单机版，网络版不会出现这个问题。
    
    江民科技：大家对于主动防御的技术概念的解释，都有各自的说法。我也听了大家的议论， 和一些网上关于主动防御的阐述。我认为动防御技术是一种狭义的反病毒技术，另外一种是广义的主动防御技术，包括刚才所讲的种种漏洞、补丁，这里我认为我们应该本次会议主要谈的还是主动防御技术。我就给大家讲一讲关于主动防御技术方面的。江民实际上主动防御，我们为什么认为目前为止我们还是是特征码技术的补充技术，主动防御依靠的是病毒行为的特征，只不过是把种种病毒的行政的特征概括了一下，采取了一种广义或者一种共性的病毒行为进行识别。
    
    实际上它还是基于庞大的病毒样本的基础之上的，比如说蠕虫病毒行为，我们会给它概括一下，然后定义成一种行为特征，如果发现这种行为了可以报成蠕虫，这就是主动防御。实际上它不仅仅是包括像病毒的自动运行等等行为，这里边提到了初学者怎么样判断主动防御的报警的给大家的提示。江民是这样做的，我们首先给用户提示一下，你是否在安装一款软件，是否在进行一些操作，假如说没有安装这些的话，我们建议你可能感染了病毒，我们并没有给他一种病毒的名称，因为它是一种共性的特征，也没有办法给出名称。为了避免这种误报率，我们采用的另一种办法就是把所有的系统程序，以及正常的软件程序都加入到白名单里面去。如果是发现了这种软件的行为也是会放行的，也就降低了病毒的误报，其实江民提出主动防御也好，杀毒软件也好，我们现在也关注了一个媒体上有一种说法，就是说杀毒软件现在不行了，杀毒软件杀不了病毒了，杀毒软件无用论，这种论调是越来越高。实际上杀毒软件发展到今天，已经不单纯是一款杀毒软件了，它包括了杀毒防病毒，反黑客，漏洞管理，漏洞修复，像我们江民最新的2008加入了系统战略恢复的功能，已经是一个很系统的安全软件了，已经不能单纯认为它是一种杀毒软件，仅仅是中了病毒杀一下，它是有包括多种主动防御概念在里边的。
    
    现在我们目前还是提倡以主动防御为辅助，而不能单纯地强调是只用主动防御，或者只用特征码技术来保护用户的电脑安全。
    
    瑞星科技：现在基本上市场上所有的主流的防毒产品不提主动防御的，好象只有两三家。现在从瑞星看来，我们在这里探讨具体的主动防御的一些技术和学术方面的问题我觉得不是特别的合适。这种争论在厂商和学术界都有很多，借这个机会，我想咱们通过这个会议的，网友来看到这个东西，我想从这个角度来出发，我想来谈几点。首先一点，安全或者说做反病毒，做安全这样的工作，有可能是永远没有止境的事情，不可能有一款产品或者某一项创新技术即否定了所有以前的工作，又能在以后给用户带来永远的安全。如果哪个厂商敢说这样的话，这样的厂商有过，几年前有过，后来那个厂商死得很惨，我们不说名字了，如果敢用某一项技术或者某一项功能能够解决所有的问题，能帮用户彻底地解决所有的问题，这个厂商就跟老中医差不多。
    
    所以请广大的网友一定不要受这样的蒙蔽，从主动防御本身来说，我们打个比方，狭义地说主动防御，它无非是从两个方面来说，第一你见了坏人的时候，你能通过他的行为识别他是坏人，第二就是说当坏人进行破坏的时候，你让他破坏不了。
    
    那么从瑞星这边来看，我们更强调第二个，让他破坏不了。所以说瑞星的主动防御，强调在于系统的加固，就是说病毒你在我电脑里跑着，我会保护我的很多关键的部位让它破坏不了，然后我再去杀病毒。另外一种我来判断这个人，我通过他的外部特征，或者他的行为特征来判断他是不是一个坏人，来去杀他。我们认为这也是刚才趋势的同行所说的，所谓的行为判断，行为检测，那么这种技术我们认为目前只能作为特征码技术和主动的加固技术的补充，很简单，很多时候好人他的行为方式跟坏人是差不多的。
    
    其实各家在这方面都有一些积累，我们会注意到所有的大的厂商，拥有的非常多的用户的厂商，不敢轻易地把行为的判断作为主要的手段，否则会导致比去年的误杀更严重的情况发生。我想瑞星，包括趋势，即使我们的技术比别人做的好，我们也是作为补充，在瑞星的免费的安全工具里面，瑞星卡卡上网助手有这个东西，我们也是告诉用户慎用。结合刚才说的主动防御还想谈谈瑞星看来杀毒软件的趋势和变化，从我们看来主动防御这个东西只是我们目前，我们所经历的这样的阶段，真正未来杀毒软件整个的发展来说，我们认为它是一定和互联网密切相关的。
    
    从反病毒这块来说，很简单，除了我们刚才所说的主动防御形势判别之外，另外就是接受和处理样本的速度。不管各个厂商编出怎样深奥的名词，永远也不可能摆脱这两点，从获取病毒、发现病毒这一块，这是我们非常重要的一个问题，刚才有个厂商说的，他们会在某一些用户中设一些重要的品牌端测，对于我们我们会在所有的用户端来做一个非常庞大的互联网安全计划，让所有有兴趣来参加这场活动，来了解自己电脑的人有没有病毒这样危害的人都来参加。
    
    另外就是说强调病毒的处理能力，所以我们认为未来反病毒领域的发展的状况是什么呢？第一是要专注、第二是强者越强，很简单，因为我的用户多，所以我在结合样本，我在发现新的问题这种可能性就比其他的软件大得多，其次不管是主动防御，行为模式判断，都在核心技术的不断的积累，另外还有你的核心技术的，和你的反病毒的经验不断地积累，我们举个简单的例子。
    
    目前在我们国内的互联网上根据瑞星的检测，每天出现的新的木马病毒三到五万种，这个量是非常庞大的，我们在座的都是IT厂商出来的，你们一个程序员每天可以分析多少个病毒，估计15到20个，也许你要招募几千个成熟的编辑员进行分析，这是在全球任何的厂商都不可能实现的。
    
    对于瑞星来说，我们采取的是什么样的策略呢？我们采取的是新推出的一个叫做病毒自动处理系统，我们去自动处理它，靠人工是处理不了，这个自动处理系统要承担一个什么问题，就是误报。自动处理一定会出现这样的情况，所以有些厂商号称是也做这种病毒自动处理系统，我们也跟他的区别是什么呢？他们是把这些都拿过来之后去分析，去跑一遍，出现某些行为特征的利马就杀，我们采取相反的方式，我们是通过分析以往的病毒积累了经验，来进行查杀，我们判定某一种病毒只有它有，别的病毒没有的时候我们才去查杀，这样就不大会导致误杀了，比如说每个人都要吃饭，通过吃饭的行为你是发现不了好人坏人的，但是好人一般不会把手伸进别人的兜里的，所以说用这样的方式是比较好。如果一些好的软件被杀掉，就会对客户造成一定的影响。
    
    我们是通过足寻的方式来做我们样本的自动分析，我们认为通过这种方式紧密地联系互联网，不断地发展你的核心技术，同时把你的以往的反病毒的丰富的经验充分地利用起来，通过几种方式我们才有可能向用户交一份满意的答卷，未来从瑞星这边看来，我们在三到五年内就有这样的发展，这也是整个全球的感觉行业都在走的路子，我们不太相信有非常好的一种创新技术能让大家能用非常少的代价来得到非常好的产品，这是不太可能，谢谢大家。
    
    ESET NOD32技术人员：我们一直谈的这些问题，不应该是主动防御的问题，这应该是一个厂商技术不成熟的表现，包括误杀这个问题。我想说一下ESET NOD32在这个主动防御方面的技术，其实我们知道很多的防病毒软件都是采用特征码来作为病毒库，但实际上我们ESET NOD32采用的是一种基因码或者是DNA的病毒库的技术。我们在搜集一款病毒的样本的时候，我们知道基于特征码的防病毒软件产品，它是搜集的代码的特征、而我们搜集的是这款病毒的它的行为的一些基本的特征，对于这种行为它有什么好处、我们知道我还没说两分钟，某一款病毒已经出现了几百种，或者是几千个变种，对于变种这种行为特征，我只要识别出一个样本以后，它后续的所有的变种我们都可以在零时间来防护，如果说基于代码特征的，它在变种到后续的几千种、几万种，防病毒厂商都需要给客户来更新病毒库，才能达到查杀病毒的目的，这就被动的防御不能叫主动防御。
    
    我们的第一种技术就是基因码，第二种我们针对未知病毒，通过病毒的一个行为特征库，这个库里会记录很多对于计算机的可疑的行为，这种技术主要也是针对未知病毒的。
    
    如果说我们发现用户计算机上的程序执行了一些可疑的行为，它很可能有时候不一定是病毒，我们会提示用户把这个样本发到我们的病毒中心去，我们后台会有一系列的程序，先做自动化的处理，这种处理也是很快的，另外还有一种我们会有一个虚拟机的技术，这个应该说很多厂家都会采用的虚拟机的技术，虚拟机主要是对变种是非常有效的。
    
    对于这种未知病毒还有主动防御，其实我想说，国外其实有一个评测机构，叫IVC。他们有非常好的测试的方法，他的方法我可以跟大家介绍一下，它实际上是在检测的时候会把所有的防病毒软件拿在一起，然后封存起来，封存三个月，在三个月以后才把这些计算机打开，大家不更新病毒库，这时候他把三个月内出现的新的病毒和新的软件拿过来，让所有的防病毒软件来查杀，在IVC评测里面，NOD32我们的检测率都是最高的，误杀率也是最低的，也是可以说明主动防御的优势。
    
    还有一个刚才大家都在谈到，现在的计算机的威胁，安全威胁是已经开始多方面的，我们一开始主要做防病毒这方面的，主要是抵御病毒方面的攻击，我们有新的安全套装，其中也后会有ARP，类似于网络的防火墙，对于网络方面的攻击也会有所抵御。
    
    江民公司：我是负责市场这块的，做企业市场这块，我不知道在座的各位同仁，有没有跟客户进行交流。前段时间看了新浪网有个贴子，浙江某大学一个教授，他的资料数据全部破坏掉了，最后导致他数据去恢复，他说他的数据到恢复公司说没有办法再恢复，哪怕我花十万，能把我的数据恢复过来都可以。他的最早曾使用KV，金山，包括最近非常好的卡巴斯基，最后他在帖子里留下一句话，以后再也不相信任何杀毒软件，也不用任何杀毒软件，他跟计算机系的同事要一个解决方案，最后在帖子里写，我现在用电脑的时候，如果要存储资料，我会用U盘移动硬盘保存起来。U盘和移动硬盘可以保护吗，应该不能，我们都谈到技术、认证、国际化，这个是大家应该去做的，应该去论证，技术要创新，你技术有创新了，可能针对您的技术可能又有一个漏洞，除非你的技术是天衣无缝的，我相信这种情况很难，没有哪一款产品可以包治百病，这个产品出来了以后你的产品肯定不会中病毒，谁也不敢承诺。
    
    江民公司在2006年底做过一次江民安全意识的活动。我们主动上门给客户做一些安全的检测是否有病毒。我们做这个活动的时候发现，客户很乐意参与我们的活动。我们在做一些企业的客户里面，我们也关注到企业的网管对病毒很内行，很了解，企业或者是单位里面的个人，他对自己电脑根本就不关心，或者是说有病毒我找网管，包括家庭用户他们也认为，我用了杀毒软件是最安全的。不见得是这样，在非典出现的时候，大家都经历过，非典时我要戴口罩，也有人知道我要在办公室放醋，因为大家已经意识到这个破坏或者这个伤害已经是非常大。有这个意识，我要去做一些防范或者是学习，我这里要提的就是说，从用户的角度，从厂商的角度，我认为防病毒不是技术就可以解决的，甚至未来的很多年会有新的破坏，防病毒包括杀毒软件的发展，全民的防毒意识，一些安全知识的培训，深入到每个用户。最起码他有一种潜意识，安全知识的培训，大的来说这个可能是社会的责任，因为我们在接触很多客户，很多的客户包括。刚才同行业说过，每天的病毒种类可能是上万。
    
    一个新的问题计算机的网络用户，或者说计算机用户怎样判断我的电脑是否中毒，我是否可以基本地了解怎么样去防范，或者出现了一个网页，我们怎么知道这个网页就是挂木马网页或者是窃取信息的网页，我希望可以服务一些用户去增加安全知识的学习，提高大家的防病毒意识，作为一个全民行为。
    
    金山科技：大家困惑的是主动防御是说到底是系统在主动防御还是用户在主动防御，很多的时候要提示用户这个东西是不是病毒，用户去猜，这、相当于没用。假如说修改注册表都需要提示的话，普通的用户是不明白的，你如果没有主动防御的技术，我们俗话说杀毒软件卖的是过期药，传统的杀毒软件肯定没有病毒反应快，软件开发人员勤奋，做病毒的人员更勤奋，因为可以赚钱，我哪怕感染五百台机器我可以达到我的收益，那么我就不要了。产业的情况也是需要有一些新的技术出来，主动防御能不能解决所有的问题，我觉得是不能的，它只是一种工具和配合的手段。
    
    所以说现在的问题包括很多厂商还有整个产业用户之间的问题，主动防御防你说的东西我不懂，这东西就没有用了，你不懂这个东西又不清楚就要受到伤害。金山从几年前就开发一套东西，叫互联网可信认证，包括有记者朋友去了我们2008发布的会，我们就是提出了一个概念，叫互联网三层防御体系，这个防御体系就是主动防御，病毒库，还有一个可信认证。传统的病毒库是可以做到明枪易躲，我们的平台要做到善恶可变，现在很有意思的现象，原来是恶意的程序很少，病毒的作者完全是处于兴趣爱好，现在是恶意的软件比正常的程序还要多，互联网二进制的可执行文件数量是有限的，咱们对比常用的程序有多少种，所以说现在恶意的程序恶意的文件实际比善意的文件要多的。
    
    所以说作为主动防御，这是一个补充手段，所以我们提出互联网可信认证的概念。现在有一个叫互联网一对一安全体验的计划，用户可以通过他的客户端，因为我们有很多的客户端上传可以文件，包括安全的信息，这样我们可以达到搜集很多信息，我们也有自动分析的系统，有专门的专家组做这件事情，用户上报可疑文件我们两天之内肯定会给你解决，随着流程会越来越熟练的话我们会越来越快的。
    

更多"杀毒软件08行业会议" 的相关消息

请选择您看到这篇新闻时的心情

查看结果　心情调查排行

佩服

微笑

难过

愤怒

路过

恶心