如何預(yù)防未知病毒木馬發(fā)起的第一波攻擊，是擺在安全廠商面前的一道難題。面對(duì)越來(lái)越多的未知病毒木馬，殺毒軟件能否做到防患于未然？我國(guó)信息安全專(zhuān)家陳拂曉日前接受記者采訪(fǎng)時(shí)指出，從被動(dòng)挨打走向主動(dòng)防御，應(yīng)該是殺毒軟件產(chǎn)品的發(fā)展方向。但是，真正做到主動(dòng)防御并非易事。目前，一些反病毒廠商跟風(fēng)炒作，給自己帶上“主動(dòng)防御”的光環(huán)，是誤導(dǎo)消費(fèi)者的行為。

　　●未知病毒木馬防不勝防

　　目前，病毒木馬的泛濫使電腦用戶(hù)戰(zhàn)戰(zhàn)兢兢。通常情況下，普通電腦用戶(hù)都會(huì)使用殺毒軟件保障電腦安全，可是，現(xiàn)有的殺毒軟件并不能抵御所有的病毒木馬，尤其是對(duì)于那些未知病毒木馬的攻擊，許多殺毒軟件束手無(wú)策。

　　據(jù)悉，市場(chǎng)上的殺毒軟件大都采用特征值掃描技術(shù)，該技術(shù)要求一個(gè)新病毒至少感染一臺(tái)計(jì)算機(jī)，并被反病毒公司搜集到被感染文件后，再通過(guò)分析從病毒體中取得的特征代碼，將該特征代碼添加到病毒特征庫(kù)中。當(dāng)新病毒再次攻擊用戶(hù)電腦時(shí)，殺毒軟件即可掃描到其攻擊行為并進(jìn)行查殺。這種“先發(fā)現(xiàn)后查殺”的殺毒原理，導(dǎo)致殺毒軟件面對(duì)新病毒木馬時(shí)無(wú)從下手。一位不愿透露姓名的業(yè)內(nèi)人士告訴記者，許多靠病毒木馬斂財(cái)?shù)暮诳�，都掌握著眾多的功能�?qiáng)大的病毒木馬，這些病毒木馬都是新的，從沒(méi)被捕獲過(guò)，因而不易被殺毒軟件發(fā)現(xiàn)。同時(shí)，病毒通過(guò)網(wǎng)絡(luò)得到了進(jìn)化，正逐漸變得“聰明”，有的病毒自帶源碼庫(kù)和編譯器，在感染不同的系統(tǒng)時(shí)會(huì)根據(jù)不同情況修改源碼，然后重新編譯，自動(dòng)生成數(shù)百上千不同特征的新病毒，這多少也讓反病毒軟件顯得力不從心。

　　值得注意的是，電腦和網(wǎng)絡(luò)還未普及時(shí)，人們對(duì)電腦病毒木馬也并不十分關(guān)心，病毒木馬只是少數(shù)電腦高手交流技術(shù)的“小游戲“，功利性不強(qiáng)，攻擊面不廣，破壞性不大。但是，隨著電腦互聯(lián)網(wǎng)日益貼近百姓生活，病毒木馬制造者的目的在發(fā)生轉(zhuǎn)變。如果說(shuō)原來(lái)他們只是興趣使然，顯示自己的技術(shù)才干，現(xiàn)在的病毒木馬制造者則是利益趨使。病毒木馬從破壞計(jì)算機(jī)，到泄露信息，再到現(xiàn)在的盜竊資產(chǎn)，正在經(jīng)歷質(zhì)變。

　　目前，網(wǎng)絡(luò)的飛速發(fā)展，使病毒木馬借著這個(gè)載體散布得幾乎無(wú)處不在，人們甚至開(kāi)始談虎色變。根據(jù)2006年全國(guó)信息網(wǎng)絡(luò)安全報(bào)告，54%的被調(diào)查單位發(fā)生過(guò)信息網(wǎng)絡(luò)安全事件，感染計(jì)算機(jī)病毒、蠕蟲(chóng)和木馬程序是最突出的網(wǎng)絡(luò)安全情況。雖然我國(guó)計(jì)算機(jī)用戶(hù)的計(jì)算機(jī)病毒防范意識(shí)和防范能力在增強(qiáng)，但面對(duì)更加強(qiáng)悍的病毒沖擊，當(dāng)前的殺毒軟件表現(xiàn)得并不盡如人意。

　　●主動(dòng)防御是發(fā)展趨勢(shì)

　　針對(duì)反病毒行業(yè)出現(xiàn)的疲于招架的現(xiàn)象，一些業(yè)內(nèi)人士形象地將傳統(tǒng)的病毒防御軟件比喻成“盾”，這個(gè)“盾”始終處于被動(dòng)挨打的境地，顯然，再堅(jiān)強(qiáng)的“盾”也有被攻破的那一天。與其拿著傷痕累累的“盾”，不如造一把鋒利的“劍”。 陳拂曉分析認(rèn)為，被動(dòng)殺毒并不是唯一方法，主動(dòng)防御才是對(duì)抗病毒第一波攻擊、防范未知新病毒的有效方式。

　　專(zhuān)家指出，計(jì)算機(jī)病毒是人為編制的，所以它的行為能力不會(huì)超出人的思維范疇。計(jì)算機(jī)病毒還有一個(gè)特殊的生存環(huán)境，那就是操作系統(tǒng)，它的行為規(guī)范受到操作系統(tǒng)所允許操作范圍的限制，因此，相對(duì)于生物病毒而言，計(jì)算機(jī)病毒的行為能力要差得多。另外，為了便于傳播和隱藏，計(jì)算機(jī)病毒往往希望盡可能地縮小自身的尺寸，許多程序行為的實(shí)現(xiàn)都是通過(guò)調(diào)用操作系統(tǒng)的標(biāo)準(zhǔn)接口來(lái)完成的，于是更加限制了計(jì)算機(jī)病毒的行為能力。這樣，就為人們?cè)O(shè)法解決計(jì)算機(jī)病毒的問(wèn)題提供了一種可能。如果人們能夠?qū)⒂?jì)算機(jī)病毒有限的行為能力進(jìn)行歸納、總結(jié)，設(shè)計(jì)出能夠自動(dòng)判斷病毒的工具，那么對(duì)計(jì)算機(jī)病毒的主動(dòng)防御就將成為現(xiàn)實(shí)。

　　目前，這種新的主動(dòng)防御殺毒思路已經(jīng)實(shí)現(xiàn)。北京北方計(jì)算中心曾經(jīng)通過(guò)測(cè)試得出結(jié)論，通過(guò)關(guān)聯(lián)性分析，主動(dòng)防御軟件能夠發(fā)現(xiàn)復(fù)雜的、未知的攻擊行為，從而實(shí)現(xiàn)識(shí)別和防御未知病毒。該中心有關(guān)專(zhuān)家指出，主動(dòng)防御軟件能夠有效克服現(xiàn)有反病毒產(chǎn)品以被動(dòng)預(yù)防為主、識(shí)別未知攻擊行為能力弱的缺陷，是反病毒核心技術(shù)的重大突破和創(chuàng)新。

　　●主動(dòng)防御標(biāo)簽不能亂貼

　　目前，各種新病毒此起彼伏，傳統(tǒng)殺毒軟件面臨的形勢(shì)愈來(lái)愈嚴(yán)峻。盡管許多安全廠商不斷做一些相對(duì)的改良，甚至每周都在不停地更新病毒庫(kù)，但病毒庫(kù)更新的速度滯后于新病毒的出現(xiàn)，同時(shí)，不斷擴(kuò)大的工作量需要投入更多的人力物力，這形成一個(gè)令人擔(dān)憂(yōu)的惡性循環(huán)。

　　雖然一些安全廠商也在宣稱(chēng)主動(dòng)防御，但其主動(dòng)防御多數(shù)是對(duì)一個(gè)可疑行為動(dòng)作的預(yù)警：比如更改注冊(cè)表等，并不能分析出其行為的合法性。有的殺毒軟件宣稱(chēng)的所謂“主動(dòng)防御”，只是提示計(jì)算機(jī)正受病毒威脅，并不能對(duì)此進(jìn)行分析處理，致使電腦用戶(hù)即便明知面臨威脅也無(wú)所適從。

　　陳拂曉指出，先找到病毒，提取特征值，添加到病毒庫(kù)，然后通過(guò)對(duì)比來(lái)殺毒的原理，無(wú)法做到真正的主動(dòng)防御。主動(dòng)防御運(yùn)作機(jī)理的顯著特征是，沒(méi)有病毒庫(kù)依然可以殺毒，這是目前多數(shù)殺毒軟件做不到的。

　　北京東方微點(diǎn)信息技術(shù)公司田亞葵日前接受記者采訪(fǎng)時(shí)進(jìn)一步分析指出，主動(dòng)防御的定義應(yīng)當(dāng)是采用動(dòng)態(tài)仿真技術(shù)，模擬專(zhuān)家判定病毒的機(jī)理，自動(dòng)準(zhǔn)確判斷新病毒，主動(dòng)實(shí)時(shí)防御并查殺新病毒。類(lèi)似于一對(duì)一的服務(wù)，直接把專(zhuān)家安排到最終端，時(shí)刻準(zhǔn)備著為用戶(hù)服務(wù)，及時(shí)應(yīng)付各種問(wèn)題，第一時(shí)間把病毒拒之門(mén)外，把破壞降到最低，實(shí)時(shí)確保用戶(hù)的安全。

　　“可以肯定地說(shuō)，主動(dòng)防御是具有革命性的一種殺毒新方式。”陳拂曉說(shuō)，“主動(dòng)防御對(duì)于防止未知病毒木馬發(fā)起的第一波打擊具有重要的意義。但是，主動(dòng)防御也不可能做到百分之百地抵御未知病毒木馬，主動(dòng)防御軟件功能的完善還有很長(zhǎng)的路要走�！�(張磊）