国内最大的信息安全企业瑞星公司宣布,“瑞星杀毒软件2008版”开始大规模公开测试,并在瑞星网站及天极下载等网站提供下载试用。为了鼓励用户对新产品提出意见和建议,瑞星公司设立了丰厚的奖品。瑞星2008新品采用了全新的产品架构,除了“杀毒”、“监控”等传统功能外,增加了“防御”、“安检”等全新的功能模块,在易用性和查杀毒能力方面有了显著的提高。
目前反病毒厂商使用的主流技术依然是沿袭多年的“特征码查杀”技术,其“截获-处理-升级”的病毒应急处理方式存在天然的缺陷,它总是滞后于病毒的传播,也就是说,当反病毒厂商截获新病毒的时候,已经有部分用户被病毒侵害。
为了弥补这个缺陷,反病毒业界尝试了种种办法,从传统的注册表监控、内存监控,到近期的虚拟机脱壳引擎,这些初级的主动防御技术在一定程度上缓解了未知病毒的侵害。但是,这些都不是根本的解决办法,专家研究主动防御的最终目的,是设计这样的软件:它可以根据程序的行为,智能判断出该程序是病毒还是正常软件。
在瑞星杀毒软件2008版中,“主动防御”功能正在逐渐接近专家的设计目标。“瑞星主动防御”是资源访问规则控制(HIPS)、资源访问扫描、恶意行为分析引擎等多种技术的统称,动态的对所有程序行为进行分析判定,综合系统加固、资源访问控制等方法,从整体上防范和遏制未知病毒的侵害。
从技术角度讲,真正完整的的主动防御应该包括三个逻辑层次:第一层是资源访问规则控制层,第二层是资源访问扫描层,第三层是智能化行为分析判断层,这三个层次在系统中依次起作用。
第一层主动防御,是将系统资源的访问规则进行完全控制,传统的注册表监控、内存监控等其实就处于这个层次。从2006年起,国外有些软件对这些功能进行了增强,针对系统资源设置了更多的可控点,包装成为“HIPS(Host Intrusion Prevent System)”概念,其实这只是瑞星主动防御中第一个逻辑层次的功能。
第二层主动防御,是资源访问扫描层,传统杀毒软件的网页监控、文件监控、邮件监控等都属于此层次的功能模块。上述两个逻辑层次的运行都基于静态的规则,需要大量用户的参与,典型的提示为:“**程序试图修改注册表,放过还是阻止”,这样的提示往往让用户不知所措,实用性存在很大问题。
第三层主动防御,也是主动防御技术的核心部分,就是“危险行为判定引擎”,它可以根据程序的动作和行为智能判定未知病毒,这也是瑞星主动防御在技术上的最大突破之一。瑞星专家根据十余年对病毒的深入了解,总结出一套预置的规则库系统,使得用户不必面对繁杂的提示框。
从技术上讲,以行为判断为核心的、动态的“主动防御”功能,如果能和静态的“病毒特征码查杀”结合,就能够产生非常好的信息安全防护效果。但是,传统的主动防御功能易用性比较差,如果应用不好,很可能造成大量的误报、系统不稳定等情况。因此,尽管业界公认“主动防御”是全球反病毒技术的发展方向,但是真正全面应用该技术的杀毒软件,在全球范围内还寥寥无几。
为了解决易用性的问题,瑞星专家在经过对几十万种病毒的危险行为分析,同时结合大量中毒用户的案例,把安全规则预先设置到瑞星2008版的主动防御模块中,同时在主动防御中加入DNA识别技术,有效纠正了主动防御可能产生的误报,从而使普通用户不必再去面对高深的技术操作,就能享受到主动防御的效果。
瑞星杀毒软件2008版如此巨大的变化,是跟瑞星在技术研发方面的巨大投入分不开的,在反病毒领域十余年的经验积累以及雄厚的技术储备,使得瑞星可以迅速转变为“以用户体验为核心”的产品开发思路上来,从而为用户打造出一款更为有效、实用、易用的安全产品。
| 
