于是,刘旭通过对病毒行为规律分析、归纳、总结,并结合反病毒专家判定病毒的经验,提炼成病毒识别规则知识库;模拟专家发现新病毒的机理,通过分布在操作系统的众多探针,动态监视所运行程序调用各种应用程序编程接口(API)的动作,将程序的一系列动作通过逻辑关系分析组成有意义的行为,再综合应用病毒识别规则知识,终于研发出了自动判定病毒的主动防御系统。2005年2月,微点主动防御系统诞生。
微点主动防御系统的诞生,为用户建立计算机免疫系统创造了条件。
此“免疫”非彼“免疫”
在计算机领域用到“免疫”这个词汇还只是近一两年的事情。众所周知,“免疫”这个词汇来源于生物学领域。有一点需要注意的是,二者存在着本质的区别,北京东方微点信息技术有限责任公司副总经理田亚葵对此做了很好的诠释:“业界常常有人用人类病毒的医治来解释计算机病毒防范。然而,与生物界的病毒复杂性不同,计算机病毒是人编写的,远比生物界的病毒简单。计算机病毒概念是人依据程序行为来定义的,因此识别病毒的另一种方法是采用动态分析,直接通过程序的行为判断它是否是病毒。”
从计算机病毒发展趋势来看,对田亚葵的观点也有所印证。虽然病毒越来越多,但真正有创意的、技术上有突破的病毒很少,不到总数的1%。而且这类病毒通常是概念病毒,一般破坏性不大。绝大多数病毒都是模仿其他病毒编写的,这些病毒的传播、感染、加载、破坏等行为特点都可以从已经存在的病毒找到,一个计算机本科毕业生经过短期培训,通常都可胜任人工识别这类新病毒的工作。因此人工识别绝大多数新病毒,并不是一件很难的事。
新病毒产生过程也是“特征码”杀毒防范安全威胁乏力的主要原因。从上个世纪八十年代病毒出现后,反病毒技术就有两种思路,一种是采用静态扫描方式,即特征值扫描技术,另一种采用动态分析方法。特征值扫描是目前国际上反病毒公司普遍采用的查毒技术。其核心是从病毒体中提取病毒特征值构成病毒特征库,杀毒软件将用户计算机中的文件或程序等目标,与病毒特征库中的特征值逐一比对,判断该目标是否被病毒感染。反病毒公司把捕获到并已处理的病毒称为已知病毒,否则就称为未知病毒。只有采用特征值扫描技术时,才区分已知和未知病毒。
由于新病毒却往往只是模仿编写,而且要频繁更改特征值,甚至是自动地动态调整特征值的方法以躲避杀毒软件的追杀。即便是反病毒公司收集到可疑程序时,也不能确定是不是新病毒,为了做出准确判断,必须先运行可疑程序,然后再根据程序的行为判断是否是病毒静态扫描方式显然应对乏力。
东方微点把相当于人脑的人工智能程序放到软件里,由软件自行识别,准确报出并自动清除,基本上与生物学的免疫机能吻合了。因此,该公司把主动防御系统出现的时代称为病毒免疫时代。信息安全防御新时代来临了,安全威胁与安全防护的战争上升到一个新的层级。
