主動防御技術在反病毒領域中的應用

正如我們所看到的那樣，計算機病毒（尤其是所有惡意軟件或代碼）的攻擊現(xiàn)在是在it安全威脅中的第一個庇護所。當前的病毒攻擊不僅僅會給計算機用戶帶來經(jīng)濟損失,還為其它安全威脅提供了途徑;并且,隨著IT技術的發(fā)展,計算機病毒的產(chǎn)生和傳播變得越來越快。因此,反病毒行業(yè)的廠商們也發(fā)展了很多新的技術以進行應對,如:主動防御技術,縮短對可能會大范圍爆發(fā)的安全威脅的響應時間和加快反病毒數(shù)據(jù)庫更新頻率等。今天,我們就一起來談談作為反病毒廠商新技術之一的主動防御技術(或者叫做“前攝防御”技術,意及在惡意程序產(chǎn)生不良后果前,就將其檢測出來并做出相應的處理)。當今的反病毒產(chǎn)品,主要使用兩種方法來檢測惡意代碼(安全威脅):基于特征碼的精確檢測和主動防御。這種檢測方法的優(yōu)點是能夠準確地確定惡意代碼并對其進行清除。但是,它的缺點也是顯而易見的,那就是滯后性—總是在新的威脅產(chǎn)生后,才能對其進行分析并生成對應的特征碼和處理方法。但是,隨著新威脅產(chǎn)生速度的越來越快,它們能夠在很短的時間內感染數(shù)以百萬計的計算機。因此,越來越多的反病毒廠商開始在他們的產(chǎn)品中加入主動防御技術。主動防御技術首先會構造一個框架(類似于一個篩子的外框),并在其內填入一組預先定義好的規(guī)則(類似于篩眼),這些規(guī)則是根據(jù)反病毒工程師在分析了超過幾十萬的大量病毒(或者說惡意程序)的代碼特征和行為特征后提煉總結出來的,因此具有很大的代表性和前瞻性。主動防御會使用這組規(guī)則對被掃描對象內的代碼和運行的行為進行分析,以確定其是否含有惡意代碼和具有惡意行為。從理論上來看,主動防御技術能夠檢測所有已知和未知惡意程序。但實際上,這是不現(xiàn)實的。我們要判斷一個主動防御技術的有效性以及它能否脫離基于特征碼的掃描技術而獨立承擔反病毒任務,就需要理解主動防御技術所基于的理論。目前來看,各反病毒廠商采用的主動防御技術主要有:啟發(fā)式分析技術、入侵防御系統(tǒng)技術、緩沖區(qū)溢出檢測技術、基于策略的檢測技術、警告系統(tǒng)和行為阻止技術?？ò退够褂玫募夹g主要有啟發(fā)式分析技術、入侵防御系統(tǒng)技術、警告系統(tǒng)和行為阻止技術。而總的來說,反病毒廠商使用最多的是啟發(fā)式分析和行為阻止這兩項技術。我們首先來看一下啟發(fā)式分析技術。啟發(fā)式分析技術又分為靜態(tài)分析和動態(tài)分析兩種?！办o態(tài)分析”就是指使用啟發(fā)式分析器分析被掃描對象中的代碼(指令),判斷其中是否包含某些惡意的指令(反病毒程序中會定義一組預先收集到的惡意指令特征)。比如說,很多病毒會搜索可執(zhí)行文件,創(chuàng)建注冊表鍵值等行為?！办o態(tài)”啟發(fā)式分析器就會對被掃描對象中的代碼進行解釋,檢查是否包含執(zhí)行這些行為的指令,一旦找到這樣的指令,就調高“可疑分數(shù)”。當可疑分數(shù)高達一定值,就會將被掃描對象判斷為可疑的惡意程序。這種分析技術的優(yōu)點在于,對系統(tǒng)資源使用較少,但是壞處就在于誤報率太高。而“動態(tài)分析”是指由反病毒程序在計算機內存中專門開辟一個受嚴格保護的空間(由“虛擬機”技術來實現(xiàn)),并將被檢測對象的部分代碼拷貝進這個空間,使用一定的技術手段來誘使這段代碼執(zhí)行,同時判斷其是否執(zhí)行了某些惡意行為(反病毒程序中會定義一組預先收集的惡意行為特征)。一旦發(fā)現(xiàn)有匹配的惡意行為,就會報告其為對應的惡意程序。這種技術的優(yōu)點在于準確度很高。此項啟發(fā)式掃描技術是經(jīng)過多年不斷改進的虛擬機技術。接下來,我們再來看看行為阻止技術。行為阻止技術是對程序的運行行為進行監(jiān)控,并對任何的危險行為進行阻止的技術。該技術與使用虛擬機技術的啟發(fā)式掃描不同,啟發(fā)式掃描是在受保護的內存空間虛擬地運行代碼,而行為阻止技術工作在實際的計算機環(huán)境中。它會檢查包括修改(添加/刪除/編輯)系統(tǒng)注冊表、注入系統(tǒng)進程、記錄鍵盤輸入、試圖隱藏程序等在內的大量潛在惡意行為。第一代的行為阻止技術,適用性并不是很強。當它檢測到一個潛在的惡意行為時,就會彈出提示窗口,提示用戶是否允許/阻止該行為。在某些時候,某些合法程序的行為也會被提示為惡意行為,這會給很多不理解這些進程及其行為的用戶帶來困擾。第二代,也是新一代的行為阻止技術在第一代技術的基礎上,做了很大的改進。它不會僅僅根據(jù)某個獨立的潛在惡意行為就提示風險,而是對程序行為執(zhí)行的先后順序進行分析,從而以更加智能和成熟的方式來判斷程序的行為是否有惡意。該技術大大提高了對惡意行為判斷的準確率。目前,通過行為阻止技術,不僅會分析/阻止惡意的行為,還能夠修復惡意行為對系統(tǒng)造成的修改和破壞。從以上著重描述介紹的主動防御技術(啟發(fā)式分析技術和行為阻止技術)來看,主動防御技術也需要基于一個“知識庫”進行工作。這個“知識庫”中包含了大量惡意程序的潛在惡意行為/指令特征。主動防御技術分析/監(jiān)控系統(tǒng)內進程或程序的行為和指令,并將它們與“知識庫”中的特征進行比對,判斷是否符合。而這個“知識庫”需要反病毒專家對大量已知病毒進行分析,并且對它們的常見行為和指令進行歸納總結,并將提煉出來的特征值添加入“知識庫”。說到這里我們應該可以想到,主動防御技術能夠防御大量使用已有惡意行為的新惡意程序。但是,如果某些新的惡意程序采用了全新的方法(不在“知識庫”中的方法)來入侵、感染計算機,并盜取私密數(shù)據(jù)的話,主動防御技術仍然是無法對其進行有效防御的。因此,主動防御技術也需要不斷地更新其“知識庫”和其采用的判斷邏輯,否則可能還是會被新的威脅鉆了空子?？紤]到各種保護技術的優(yōu)缺點和互補性,在系統(tǒng)中,我們使用了三重保護協(xié)同工作的方式來給用戶提供完整的安全保護。三重保護是指:基于特征碼的精確檢測、啟發(fā)式分析和行為阻止技術。這三重保護進行合理搭配,就能夠實現(xiàn)完美的安全保護。所謂基于特征碼的精確檢測,就是指將計算機上的對象與已知病毒的模