瑞星主动防御：有效解决三大安全问题(1)

【51CTO.com 综合报道】安全厂商在与病毒的对抗中，面临着众多的问题，包括反病毒产品的普遍适用性、用户的薄弱安全意识如何用技术弥补、流氓软件（灰色软件）与病毒的模糊辨别等一系列问题。但是在2007年中，有三大问题特别值得重视，它给整个安全行业带来了巨大的压力：

这三个问题是：

第一、如何发现判定未知病毒（未知威胁）。
第二、针对未知病毒（威胁）的泛滥，怎样增强计算机系统的主动防御能力；
第三、如果有些未知病毒的侵入不能完全避免，怎样才能降低它们所带来的损失；

如何发现（判定）未知威胁

从2007年的发展状况看，新增病毒数量仍然呈现爆炸式增长，这给病毒分析人员带来越来越大的压力。根据专家介绍，一个熟练的病毒工程师，每天可以分析40-50个样本，而现在每天出现在网络上的病毒样本平均为3000—4000个，这样的产生速度，几乎已经到了厂商捕获和分析能力的极限。

如果不能在技术上遏制这个趋势，那就会产生两个后果：传统的病毒采集渠道不堪重负，在短时间内收集不到必须的样本；而限于现有的病毒分析能力，即使收集到足够的病毒样本，海量的病毒也会让病毒分析人员无所适从。这就导致杀毒软件赖以生存的“特征码扫描”技术面临严峻的挑战。

因此，越来越多的安全厂商开始研究如何快速的发现（判别）未知（威胁），行为分析被认为有效解决这一问题的手段之一。

目前，行为分析主要分为虚拟机方式和监控方式。虚拟机行为分析是模拟操作系统环境，把程序放入虚拟机中“运行”观察程序的系统动作模式（行为）进行判定；而监控行为分析方式是指在真实操作系统环境中拦截（观察）程序的系统动作模式（行为）进行判定。

基于虚拟机的行为分析

瑞星很早就开始对基于虚拟机的行为分析技术进行研究，并在2003年底将该技术应用到瑞星杀毒软件2004版当中。当时的扫描引擎不仅可以有效地发现DOS及Win9X下的感染型未知病毒，并且还能够安全地清除掉这些未知病毒。

由于技术的发展，使得Windows系统越来越复杂，要想模拟出较为“完美”的系统环境需要占用较大的系统资源，这使虚拟机行为分析变得较为困难。尽管如此，虚拟机技术仍然在反病毒领域有着较高的地位，瑞星也没有放弃对虚拟机技术的研究。比如，瑞星杀毒软件2007版采用的虚拟机脱壳引擎就是通过制造一个虚拟的运行环境，对一些加壳加密的病毒进行脱壳，查杀病毒。由于虚拟机脱壳不需要创造一个完整的运行环境，因此对系统资源占用很小，速度也较快。

图1

随着计算机硬件技术的不断发展，Intel、AMD的CPU直接支持虚拟机指令，使得虚拟机的执行效率得到很大改善，虚拟机行为分析将会成为未来反病毒软件查杀未知病毒的重要技术手段之一。

基于监控的行为分析技术

基于监控的行为分析技术，瑞星杀毒软件2007版也已经开始采用。IE执行保护是针对目前网络挂马现象严重而开发的功能，它会自动对程序的动作进行判断。当发现带毒网站有试图利用用户计算机漏洞自动下载运行病毒的动作时，自动将其阻止。

瑞星杀毒软件2008中引入的恶意行为检测是一套较为成熟的基于监控的行为分析。它完全模拟反病毒专家分析病毒的过程，先对程序动作进行观察，然后分析程序动作之间的逻辑关系，并使用预装的病毒模式特征库进行判断，进而检测出病毒。

图2

由于行为分析技术是基于程序的行为特征进行判断，属于一种模糊判别。因此，行为分析不可避免的会遇到误判的问题。某个主动防御软件的做法是引入白名单进制，发现有误判的就加白名单，致使软件要像升级病毒库一样升级白名单库，同时会造成白名单数据库庞大，对系统资源占用较高的问题。同时，当一个正常软件升级后，必须将其升级版本也加入白名单，否则就会再次发生误判。

为了解决这一问题，瑞星杀毒软件采用了病毒的家族特征判别技术，有效的提高了行为分析的准确率。

图3