病毒靠“防”不靠“杀”

        2007年的桌面安全领域称得上风起云涌，天昏地暗。从春节前后的熊猫烧香，到电脑被放灰鸽子;从ANI漏洞到MSN的相片也会传毒;从天才儿童小浩到U盘全面封杀;从rootkit到ARP病毒，让大家知道了除了IP地址外还有个MAC地址……

一时间各大安全厂商纷纷使出看家本领，针对各种病毒拿出了自己不同的解决方案，很多用户发现恶意程序的快速传播致使反病毒数据库的更新升级总是落后一拍，而重大病毒、恶意软件和流氓软件、木马等的侵入令防火墙和杀毒软件也显得无力且苍白。

而我作为一个普通用户，在又一次format了我的C盘后，我发誓再也不去上自己不熟悉的网站。但是在逛了某个安全社区后，我发现了一种新玩意，它在一小撮人群中流传着，而且这一小撮人很少安装其他安全软件，更奇特的是他们居然很少重装系统。这大大激发了我的好奇心，后来才知道原来这就是“主动防御”软件。

那么，究竟什么才是主动防御，这是最新最完备的安全理念和趋势、反病毒未来走向？还是安全厂商忽悠用户的一个新“鱼饵”？通过安全厂商的主动防御技术，我们真的能用今天的子弹打中明天的敌人？

什么才是真正的主动防御

主动防御不仅仅是一种技术、一种功能，它需要达到一系列的标准，才能被称为“主动防御”。也正因为主动防御技术的这个特点，但是现在涉足主动防御领域的各家厂商对“主动防御”产品都有自己不同的看法。

趋势科技

趋势科技的安全专家建议企业从监控和强制两个方面入手来寻求解决之道，跳出传统的思维方式，站在网络威胁的角度来重新审视企业级安全体系架构。

这里所说的监控，是指通过智能安全防护，实时准确地检测已知和未知威胁并识别网络威胁的来源，让所有的网络威胁清晰地完全暴露出来，以便于企业有的放矢地解决问题。通过这个解除网络安全威胁的前提和基础性环节，企业便能尽可能地防患于未然，并在第一时间找到问题的症结所在。

赛门铁克

主动防御技术是减少使用者判断机会,同时具有局部封锁威胁等功能。

主动防御在封锁可疑威胁之余,会更重视使用者体验,例如在遇到可疑威胁时能自行判断、不去询问使用者,且只封锁有危害的程序代码,而非整个网页,让威胁被阻挡之余,使用者仍能获得所需信息。

Websense

所谓的主动防御，就是在用户还没有意识到之前，给予用户更多的提示与建议，虽然需要有传统的网络防护方法的补充，但它“先察觉，先管理”的产品理念已经超越了单纯的杀毒，能够从各个角度全面的保护用户的网络安全才是安全厂商未来的发展方向。

通过采用ThreatSeeker技术每天对上亿个网站进行内容的扫描与分析，及时将各类网站进行分类，并将可能含有恶意代码的网址交由安全专家们进行分析，并通过实时安全升级方式使全球客户立即可享有该分析结果。通过阻止客户端访问这些可能含有恶意代码的网站，从而达到避免企业或个人的计算机受到病毒的侵害。

启明星辰

从网络信息安全的角度来说，主动防御是需要建立一个可信的通信机制或模型。真正的主动防御思路默认把所有信息看作不安全的，只有证明是安全的信息后才接收，主动防御和被动防御的出发点有着本质不同。

病毒厂家所指的“主动防御”，确切的说是对一类新技术的形容词，利用虚拟机等技术发现更多未知病毒，比仅依赖特征查历史病毒更加积极和主动。主动防御在安全设备中体现的层次不一样，比如只有可信的网络区域之间才能通信是通过防火墙实现，只有可信的操作才能被接受是通过网络安全审计来监管，主要表现在产品如何确定可信的对象。而可信对象不会产生欺骗。

东方微点

主动防御软件具有五大技术特点:包括创立动态仿真反病毒专家系统、自动准确判定新病毒、程序行为监控并举、自动提取特征值实现多重防护、可视化显示监控信息。

其核心思想是走出传统特征值扫描技术的束缚，从病毒定义入手，模拟反病毒专家人工识别病毒的方法，根据程序的行为直接判断其是否是病毒。“主动防御”并不是一个抽象的概念，它是以自动识别病毒、明确报出病毒、自动清除病毒为三个最基本目标。这也是任何一种反病毒技术所必须达到的目标，所不同的是传统的特征值扫描技术只能识别已知病毒，而主动防御技术能够识别未知病毒。

绿盟

传统的类似于防火墙或者反XX类软件（如反病毒、反垃圾邮件、反间谍软件等），都是属于被动型或者说是反应型安全措施。在攻击到来时，这类软件都会产生相应的对抗动作，即使这些产品宣传具备主动防御能力，其实都是利用一些预先设定的规则来检查或是抵御攻击。

一个具有主动性的网络安全模型是以一个良好的安全策略为起点的。之后你需要确保这个安全策略可以被彻底贯彻执行。最后，由于移动办公用户的存在，你的企业和网络经常处在变化中，你需要时刻比那些黑客、蠕虫、恶意员工以及各种互联网罪犯提前行动。要做到先行一步，你应该时刻具有主动性的眼光并在第一时刻更新的你安全策略，同时你要确保系统已经安装了足够的防护产品，来阻止黑客的各种进攻尝试。虽然安全性永远都不是百分之百的，但这样做足可以使你处于优势地位。

在实现客户安全过程中，以安全咨询和设计为主导，形成统一的安全策略之后，再考虑部署安全策略所需的安全产品，同时通过技术和管理手段保证安全策略能够得到坚决的贯彻，这才是真正的主动防御。  

江民

“主动防御”产品应该是一种系统级的病毒行为监控，它不仅仅是对注册表的监控，更包括对各种病毒行为的准确判断，如病毒的自动运行、写入程序、系统钩子、向外发送数据等等。

更广泛意义的主动防御还指是否能够提前主动为用户实施安全防范措施，如系统漏洞自动修复、BOOTSCAN（系统启动前杀毒）、网页防木马墙、隐私信息保护等等，都是主动防御的体现。  

金山毒霸

主动防御要实现整体预防未知威胁，需要多组功能协调完成。比如，我们提出的主动升级和主动漏洞修补，也应该是主动防御体系的一部分。现在，被炒得很热的主动防御概念，只是行为识别这一个方面。

比如，有的厂商，已经把漏洞扫描、注册表关键键值的保护，已经视为主动防御。对系统进程的保护，未知应用程序的行为拦截，这些技术的应用，某种程度上可以起到拦截新病毒的作用。但是，也有一些负面的作用。这拦截过程中，会发现较多的人机交互界面，既然是交互，就可能出现误操作。很可能把风险程序放行，而把正常程序加以拦截。现有的具备行为拦截功能的产品，还没有很好的解决对程序的智能判断功能。频繁的报警信息，肯定会降低用户使用计算机的体验。有关的拦截提示信息，令普通计算机用户难以理解，从而增加操作失误的几率。

用户理想中的主动防御，是能够实现自动判断，而不是频繁的跳出一个选择框。

用户为何需要主动防御

用户需要主动防御，通常是无法接受任何的不安全事件，安全比应用的优先级更高。是用户对安全需求进一步提升的体现。

现在计算机病毒频繁变种，传统病毒库升级技术存在必然的缺陷。相对于新病毒，传统病毒特征码技术必然需要先截获病毒再升级病毒库，虽然现在反病毒厂商的反应机制足够快，但从截获到用户升级到最新病毒库必然存在一个时间差，这还不包括许多因为互联互通的问题导致无法及时升级的因素。

病毒数量在正在呈爆炸式的增长，病毒更是变种层出不穷，再加上网上越来越多的所谓“免杀”病毒的出现，仅仅依靠快速升级病毒库的方法并不能彻底根治。电脑用户更需要一种能防范于未然的方法，一种能够在未升级病毒库的情况下也可以有效防范和处理病毒的技术和产品。

面对市场上的形形色色“主动防御”产品，记者认为可自动识别、明确报出未知病毒并自动清除才是真正的“主动防御”产品。似是而非、含糊不清的监控报警系统，肯定不是用户需要的“主动防御”产品。用户购买反病毒产品的目的就是需要它自动分析文件或程序究竟是不是病毒，如果是病毒应自动清除。如果反病毒产品不能解决这个问题，反而要用户自己判断、自己回答，那用户购买这样的“主动防御”产品有什么用？

主动防御未来趋势

未来几年主动防御市场会出现更多比以往防御更积极的技术，但随着不安全的事件比例增加，和各种应用的成熟与规范化，真正实现主动防御不在于识别不安全的信息如何发展，而在于如何准确的识别安全的信息，除了安全的信息之外的其他信息都是不可信的、不安全的。只有这样才是真正意义上的主动防御。但相当长的事件主动防御的思路和被动防御的思路是相互补充、长期共存的。

安全隐患的加重和人们风险意识的提升使得主动防御的需求飞速增长，基于快速反应技术的反病毒保护要求也越来越高。

作为反病毒厂商，从主动防御方向上面的努力，是值得欢迎的，毕竟能够为用户带来更安全的产品。但对于作为用户的您来讲，对于正在快速成长并充满各种尝试想象的安全厂商，一定保持好您的信任尺度，如果您不相信它们，不行，毕竟它们在保护您的安全;如果您过于信任它们，也不行，任何安全技术都不是包治百病的，如何选择他们，还是看功效。

12日

在瑞星、江民和金山几个正版付费杀毒软件中比对后，我个人喜欢江民。

江民价格便宜量又足；瑞星最贵但给我的感觉是花冤枉钱；金山在系统中毒提醒方面做的很出色。

前天看到微点这个东西，下载试用中。

13日

在一台健康的电脑上有意下载游戏外挂、免费商业软件等疑带病毒的程序，在解压或安装过程中，微点即提示发现木马或病毒，提醒删除该文件。删除后不留尾巴，系统无任何不良反应。

今天正巧遇上一台装有瑞星正版杀毒软件的机子，开机提示两个DLL文件找不到，根据经验感觉应是瑞星杀毒后残留有尾巴。也就是说某进程试图调用这两个文件，却找不到这两个文件。听说瑞星与微点会有冲突，卸载瑞星后安装微点90天试用版。

开机仍然提示这两个文件找不到，微点报出两个Torjar Downloader类型木马，提示删除该文件。执行删除操作重启仍有相同提示。

目前感觉微点在主动防御方面还是有一定优势，但对一个染毒平台的杀灭能力还是不够强大。

14日

进一步用360安全卫士来验证微点主动防御软件，在360安全卫士中有一项功能叫 “查杀流行木马”。尽管我的这台家用电脑在使用中并无异状，以前用江民的时候全盘查杀也没有发现病毒，我还是选择了“全盘扫描”，发现每个盘的根目录下都有一个名为setup.exe的隐藏文件，安全卫士判定为W32.Mumawow.F这一类。我这才想起，它们应该是伴随autrun.inf进来的？以前autorun.inf被江民杀掉了，却把setup.exe这个尸体留在了我的电脑里？

出于对微点主动防御功能的好奇，我并没有直接用安全卫士查杀，而是双击setup.exe。这时微点动作了，提示我是否删除。当然要删啦！

但是微点没有对文件的扫描功能，希望把这种主动防御性的软件，与传统的杀软结合起来。

蜜罐技术发展历程

从蜜罐被提出到现在，欺骗技术经历了从简单到复杂、从单用途到多用途的三个发展过程:

(1)Sacrificial Lambs

发展初期的蜜罐。主要具有数据捕获功能，是一台用于被未授权访问、被攻击的目标主机，提供整个操作系统与攻击者交互，安装监控软件用于全方位地记录入侵行为。该蜜罐相对容易配置，能搜集整个主机上的入侵信息。但由于缺乏有效的数据控制，系统很容易被攻击者作为跳板去危害其他系统，具有较大的危险性。

(2)Facades

针对Sacrificial Lambs的高交互、高危险，Facades只提供应用层上的网络服务，并模拟一些漏洞作为诱饵，降低系统与攻击者的交互程度，从而降低了危险性。目前已有该类蜜罐被作为产品与传统安全产品进行捆绑销售，此时的蜜罐具有数据捕获和网络服务模拟功能。但其缺点在于低交互性所带来低信息捕获量，而且网络服务模拟的逼真程度一直是设计难点，一旦服务模拟失败而被攻击者发现，将会带来意想不到的后果。

(3)Instrumented Systems

作为该时期蜜罐的典型——蜜网(Honeynet) ，有机集成了多个蜜罐系统。根据目的和功能不同，这些蜜罐可以是Sacrificial Lambs，也可以是Facades，同时具有网络服务模拟、数据捕获、数据控制多个功能，因此它同时具备了高交互性和安全性。但由于有多个蜜罐和其他辅助设备，导致了蜜网难以部署、管理和维护。

author: xiaoyi