杀毒软件等于“过期药”?
先认识小偷才能抓小偷
信息安全要求杀毒软件必须防住病毒,而杀毒软件杀毒的前提是通过对病毒暴发后的分析找到解决病毒的方法。为此,国内反病毒产业奠基人之一、“国家863计划反计算机入侵和防病毒研究中心”专家委员会专家刘旭表示,在高速网络时代,以传统杀毒软件作为病毒防范最主要工具的方式,已经很难适应用户新的信息安全防护要求了。网络新病毒的数量有增无减,已经越来越明显地暴露出杀毒软件滞后杀毒的重大缺陷———对新病毒的防范始终滞后于病毒出现。
杀毒软件又是如何背上“过期药”的恶名的呢?据专家介绍,杀毒软件采用的查杀病毒的方式可以概括为“特征值扫描法”。所谓计算机病毒就是由人编写的一种有害程序。每一种病毒都一定有着与别的程序不同的部分,这部分就构成了病毒的特征值。当某一种病毒暴发后,杀毒软件厂商就会从中找出病毒特征,并根据它的特征值将这一病毒从其他程序中找出来并用杀毒软件进行杀毒处理。这种滞后性就成为依据“特征值扫描法”的杀毒软件一道难以逾越的障碍,也成为其被称之为“过期药”的缘由。
更令人称奇的是,面对由此而来沸沸扬扬的议论,杀毒软件厂商们有些措手不及,只有行业中个别的佼佼者敢于站出来表示:正在开发能够提前预防未知病毒的产品。
有人形象地将这种“特征值扫描法”比喻为“笨警察抓小偷”,即抓住一个小偷后,根据这个小偷与众不同的某种特征值,如穿着红衣服,将所有穿红衣服的人都视为小偷。也就是说,要先认识小偷,才能抓小偷。
牺牲小部分人挽救大众
然而,令人遗憾的是,病毒的发展却不以人的一厢情愿而放慢步伐,传播速度以分秒计的网络新病毒也不会再给信息安全厂商以足够的分析病毒、升级软件的时间和机会了。公安部日前颁布的《2004年全国计算机病毒疫情调查分析报告》显示,2004年重复感染3次以上的用户高达57.07%%。其中,相当一部分用户是因为杀毒软件对新病毒反应的滞后而遭受重复感染的。
大量新病毒的出现,使用户们惶恐而又无奈。信息安全厂商也在尽力工作着,他们将发现病毒的时间和分析破解病毒的时间缩短了又缩短,将杀毒软件升级的速度提高了又提高,将已知病毒库扩大了又扩大……总之,在他们力所能及的范围内,把该做的工作都做了。但是,效果又如何呢?
一位网管很无奈地说:“我已经很小心了,做了很多限制,但是我不知道什么时候我的系统会因为新病毒而崩溃。坦率地讲,升级杀毒软件对我而言是亡羊补牢———不干不行,干了,也不一定行。”
这种无奈蔓延开来,就成为了一种挥之不去的观念:对层出不穷的计算机病毒是防不胜防的,也不可能做到事先防范,只能采取牺牲一小部分人(最早的病毒感染者)来挽救大多数人。
难以承担网络防病毒重任
伴随网络在全球的飞速应用,利用网络技术、以网络为载体频频爆发的间谍程序、蠕虫病毒、游戏木马、邮件病毒、QQ病毒、MSN病毒、黑客程序等网络新病毒,已经颠覆了传统的病毒概念。据国际著名病毒研究机构ICSA统计报告,目前通过磁盘传播的病毒仅仅占7%%,剩下的93%%来自网络,其中包括E-mail、网页、网络下载、QQ和MSN等即时通信工具。
与传统病毒相比,网络病毒呈现传播速度空前、数量与种类剧增、全球性暴发、攻击途径多样化、以利益获取为目的、造成损失具有灾难性等突出特点,使杀毒软件面临严峻挑战。
