防病毒整体技术方案.docx

防病毒软件技术方案
赛门铁克软件（北京）有限公司
2012年 10月
目 录
第1章 恶意代码发展趋势 1
第2章 防病毒系统设计思路 3
基于特征防病毒技术分析 3
传统防病毒产品使用效果分析 5
2传播。它们不但能利用漏洞，而且综合了各类恶意代码（病毒、蠕虫和特洛伊木马程序）特点，从而可以在无需或仅需很少人工干预情况下，短时间内感染大量系统，迅速造成大范围破坏。混合型威胁常用多传播机制使其可以用灵活多变方式避开组织安全措施。它们可以同时使系统资源超负荷并耗尽网络带宽。
防病毒系统设计思路
基于特征防病毒技术分析
长期以来，应对混合型威胁（混合型病毒）传统做法是，一旦混合型病毒爆发，尽快捕获样本，再尽快写出病毒特征，并尽快去部署该病毒特征，然后寄希望于它能够迅速清除病毒并阻截该威胁蔓延。这种方式曾一度相当有效，但近年来――特别是近年来多次影响XXX冲击波、Slammer、Netsky、熊猫烧香、Flamer等病毒，已经体现这种基于特征被动式病毒响应方式效果不佳了。这一方面因为病毒快速发展，另一方面更因为传统防病毒技术采取被动跟踪方式来进行病毒防护。
但是，这种被动病毒响应方式越来越力不从心。如下图所示，Symantec公司统计了近十几年来病毒爆发速度和特征响应速度，并对近年发展趋势做了比较。
混合型病毒感染和病毒特征响应对比图
该图以计算机病毒/混合威胁复制速度（蓝色线条，自左上至右下）来显示这些威胁演变，以响应速度（红色线条，自左下至右上）来显示病毒技术发展。横轴以年为单位，时间范围是从 1990 年至 2005 年。纵轴实际上显示两种不同时间规定（都采用左边纵轴时间比例来显示）。左边纵轴（蓝色文本）显示恶意病毒达到“感染”状态所用时间，在该状态下，恶意病毒已经感染了相当多有漏洞计算机。右边纵轴显示提供描述病毒特征所用时间。
分析上图最后一部分可知，对于现在出现几分钟甚至几秒钟之内就可发作超速混合威胁而言，其传播速度和实现完全感染相关主机速度比人工或自动化系统生成和部署病毒特征速度快得多时，在这样情况下，原有基于病毒特征模式已经效果甚微，因为到那时每次混合型病毒爆发，由于特征响应方式滞后而让将付出沉重代价（最近冲击波、震荡波例子已经初步证明了这一点），而这是绝对不能接受。
传统防病毒产品使用效果分析
传统单一防病毒产品在应对新终端安全威胁时效果往往不佳，其根本原因在于：
基于特征病毒定义滞后性
虽然防病毒技术不断发展，出现了类似启发式扫描、智能检测等新技术，但是目前防病毒产品还是以基于特征病毒扫描方式为主要手段。也即一种新病毒出现后，防病毒厂商通过各种方式收集到病毒样本，经过自动地或者专家分析获取病毒特征码，随即发布新病毒定义供用户下载更新。而用户通过手动或周期地自动更新获取新病毒定义以后，才可以有效地防御这种新病毒。
显然，基于特征病毒定义更新存在着滞后性，这种滞后表现在：
病毒定义滞后于新病毒出现，当前病毒快速、大量变种特性加剧了这种滞后性所带来危害。
用户病毒定义滞后于厂商病毒定义。这是由于用户往往使用周期自动更新方式，甚至由于种种原因部分用户病毒定义不能正常升级，这些都会导致和最新病毒定义时间差。
区域性恶意代码增加了样本收集难度
特洛伊木马等恶意代码当前一个重要特征是具有很强目标性和区域性。特洛伊木马往往以特定用户和群体为目标。某一种特洛伊木马可能只是针对某个地区某类型用户。由于特洛伊木马目标性强，因此这些攻击只是发送给较小用户群，从而使其看上去并不显眼，并且不太可能提交给防病毒供应商进行分析。
而如果防病毒厂商不能及时获得最新病毒样本，也就失去了对这些木马防护能力。
单纯防病毒技术无法应对混合型威胁
混合型威胁整合了病毒传播和黑客攻击技术，以多种方式进行传播和攻击。不需要人工干预，能够自动发现和利用系统漏洞，并自动对有系统漏洞计算机进行传播和攻击。越来越多病毒会自动攻击操作系统或者特定应用软件漏洞，在漏洞未修复（未安装补丁）情况下，会造成病毒反复感染，纯粹防病毒不足以应付这些新型病毒事件。
复杂病毒查杀技术和性能需求
新型恶意代码采取了更多反检测和清除技术，包括前文描述多态病毒以及高级Rootkit技术。和传统恶意代码相比，检测复杂多态病毒和Rootkit对技术要求更高。涉及复杂加密逻辑和统计分析过程，以及代码模拟和数据驱动引擎设计。因此，这需要经验丰富分析师来开发检测和移除技术。
同时，防护时也需要占用更多终端系统资源。实际测试包括很多用户实际环境中，防病毒软件通常占用内存50M－60M左右，对于一些老机器（内存小于256M）会影响系统性能。部分终端用户往往在安全和性能抉择中放弃安全，这也导致了防病毒体系整体运行效果不佳。
技