病毒防范

病毒防范的新思路

随着IT 技术的不断普及，Internet 网络的高速发展，计算机病毒已经成为了IT 资源使用和互联网的最大威胁，越来越多的新病毒新攻击不断涌现，给公司个人都带来了不可估量的损失，而我们能够采取的防御措施和方法却相对单调，主要是采用各种防病毒产品来疲于应对。另外，对于防病毒软件效用的争论也有愈演愈烈之势。我们知道，目前所有的主流防病毒产品都是以分析病毒特征码为基础, 通过升级安装在用户端的病毒特征码数据库实现对病毒的辨识。只有发现和确认了病毒之后，才能比较准确地完成病毒的清除工作。这种工作模式多年来被证明是成熟和可靠的．但是环境的变化正在对这种可靠性提出严峻的考验, 因为这种模式的最大问题就是病毒的发现和病毒库升级的发布要滞后于病毒感染行为最近几年利用系统漏洞传播的蠕虫病毒成为了病毒世界的主流，其传播速度相当惊人。最新的蠕虫病毒每小时就已经可以感染数万台计算机。一台连接到互联网的存在漏洞的计算机往往在不超过30 分钟的时间就会被感染。在这种情况下，以往非常奏效的特征码识别病毒库升级的防御方式难免显得力不从心。越来越多的网络安全人士认为，滞后于病毒出现的反应方式是一种非常被动的方式，已经越来越难以满足用户的需要。

另外，我们发现最新形式的病毒通常都是以网络病毒的形式出现，并且更多的是以混合攻击的方式存在，例如，包含键盘记录软件、BOT 控制程序等等。而且“病毒”的范畴也从以前的破坏主机信息的定义，扩大为一切对信息有威胁的范围，例如，最新涌现的间谍软件、灰色软件、犯罪软件、欺诈程序、恶作剧程序、诈骗程序等等。不难看出单单从一套单机使用的防病毒软件已经完全无法满足目前以及将来对病毒防范的需要。所以我们需要一些防病毒的新方法和新手段来解决我们目前所面临的困境。

一、联合其他安全产品全方位立体交叉的病毒防范

由于目前病毒的主要形式已经从几年前的单台主机的病毒发展成了现在的以网络病毒、蠕虫为主，相信未来病毒的发展趋势也将会更多地以网络病毒的形式出现。而这些网络病毒存储、传播、感染的方式各异，有利用网页方式进行传播的，有通过系统漏洞进行加载的，还有的可能通过M S N，O u t l o o k 等应用程序进行扩散，因此在构建网络防毒系统时不给病毒留下任何藏身空间，使网络免受病毒的入侵和危害。先进的多层病毒防护策略应具有以下三个特点。第一，层次性。在用户桌面、服务器、邮件服务器以及因特网网关安装适当的防毒部件，以网为本，多层次地最大限度地发挥作用。第二，集成性。所有的保护措施是统一的和相互配合的，支持远程集中式配置和管理。第三，自动化。系统能自动更新病毒特征码数据库和其他相关信息。

1、ISP 的反病毒服务

一直以来防病毒的工作都是由个人和企业自己完成的，而Internet 服务提供商通常由于种种原因并不提供防病毒的服务，但是这个层次的防病毒服务我们还是很需要的。现在已经有各个I C P 提供邮件服务器的防病毒服务，同样, 我们设想将来的ISP 在提供Internet 线路租用的同时也可以提供基本的防病毒功能，至少可以实现40％－60% 的病毒的查杀。而且各个主要的I S P 将可以通过一定的协议，来共同发现攻击型病毒，例如DDoS 的攻击病毒，可以自动地进行屏蔽和限制。

2、在网关处的防范

网关作为公司或者家庭用户访问互联网的出口，通常使用的设备是公司的专业路由器、防火墙或者个人用户的宽带路由器。由于网关是所有Internet 流量的必经之路，因此我们可以通过在网关部署防病毒的措施和方案。目前大多数的防病毒厂家已经研发了网关防毒产品，主要是通过和网关设备结合，实现在网络数据经过网关设备的时候进行病毒的检查和清除，这种方法的确也有一定的效果。除此之外，我们还可以通过网关来确认网站的身份（或者内容），来允许客户端是否能够进行网站的访问。我们知道，著名的搜索引擎G o o g l e、百度都是通过其强大的W e b C r a w l e r（网页抓取器）来进行全球网站的收集和检索，他们有自己的专利技术来进行网站的自动分类和关键字的识别。类似于这样的技术，我们可以形成一个全球网站的网站数据库，这个数据库包含了网站的分类信息。另外，在IPv4 到IPv6 的迁移过程中，我们还可以通过重新整理网站注册信息用户来获取可疑或者未经确认的网站。有了这样的网站数据库，我们可以让所有的网关设备都可为客户端提供互联网访问之前先确认所访问的网站是否是具有威胁的网站，如果是，将禁止其访问。这样我们可以大大弥补单机防病毒产品更新病毒定义码不及时、系统补丁没有安装等问题，从病毒发起的源头控制病毒的扩散。

图1 通过专家系统预防病毒进入内部网络

3、通过网络层的防范

对于企业用户来说，如果在网关病毒防范失败，例如有新的病毒可以通过加密方式进行传输、穿越脚本攻击等等技术；又或者外部人员携带电脑进入企业内部网络，都需要我们能够从网络的层次第一时间侦测和检查出病毒，完成相应防御。

新思路1: 完全的整合防病毒产品和IDS、IPS 系统的功能，把病毒的传播也对待成为一种“入侵行为”

具体说明：

网络传播已经成为了现在病毒传播的必然方式，未来的病毒也将会在相当长的一段时间内存在。因此，如果我们能够在病毒通过网络传播时就可以进行侦测和防御，而不是到达主机才进行，

将大大减轻主机层次防病毒的压力。另一方面，目前I D S、I P S 的厂商也都纷纷意识到病毒的威胁已经成为了网络最主要的威胁之一，因此I D S、I P S的防御目标也需要进行相应地调整，如果我们能够把防病毒产品的技术整合到I D S、I P S 产品当中，将更好地适应目前和未来的安全需求。

新思路2：三层交换于防病毒技术融合

具体说明：

三层交换机在网络中担当着内部网管理的重要功能，因此其本身的安全及对内部网的安全管理非常重要。然而目前针对中小型网络所开发的三层交换机所具有的安全防御功能都非常不理想，现实常常是由于三层交换机不堪重负致使网络瘫痪。我们设想以后的解决方案构成的网络系统层次构架。系统整体由嵌入在三层交换机中的S e n s o r探针、安全策略机制库和安装在信息监控服务器中的外部访问理系统( 分析引擎、信息监控机制知识库、信息日志管理及监控显示) 等部分组成。

L A N 网络中的数据流经过探针时，数据包中的一些关键信息一方面被保存在数据存储器中，另一方面，探针按照安全机制库中的策略对数据包进行比较判断，并根据策略库要求对信息交换／路由的端口实施控制，阻断或警告提示具有病毒或垃圾邮件的端口。已保存的信息通过信息监控服务器中的分析引擎，产生系统分析数据，实现对网络运行状态的监控。对分析引擎中发现的具有病毒的用户端口，系统采用I E E E802．1 X 协议对其进行阻断性控制。

4、在客户端的防病毒

客户端的防病毒一直以来都是防病毒厂家最主要的市场，而且我们前面也提到如何提高在客户端防病毒的检测技术和判断技术是目前最热门的话题，在这里主要是从多层次防御的角度来提出我们的一些新思路。

新思路：通过桌面防火墙、补丁管理、端口锁定、程序锁定等各种桌面安全产品来弥补防病毒产品的“空窗期”

具体说明：

仅仅通过防病毒产品来进行病毒到达主机的最后防护往往是不足够的，因为现在的病毒的混合攻击方式决定了我们必须针对主机上的各个环节进行考虑。桌面防火墙和防病毒产品结合已经有防病毒厂家开始采用，例如国内的瑞星、国外的Z o n e L a b 等等，我们可以通过防火墙系统关闭不必要的端口漏洞、控制可以的进程加载；在病毒爆发的时候也可以通过端口锁定、程序锁定实现防止病毒的扩散造成更大的危害；在发现相应的威胁需要升级程序补丁或者操作系统补丁，我们能够有集中管理的手段来自动强制客户端升级。

不难看出我们这里提出的多层次的病毒防护，融合我们现有的网络安全产品，已经成为了未来防病毒体系的必然。其实现在已经看到了有众多的安全厂家开始提出UTM（United Threat Management）的概念，提倡“一体化的安全管理”。当然，要真正地实现各种不同特点的安全技术可以无缝地融合，我们还需要很长的一段时间来研究和磨合。

二、主动式防病毒体系

所谓：道高一尺，魔高一丈，病毒制造者与反病毒厂商已经较量了多年，总体来说反病毒这一方比较被动和处于劣势。目前的反病毒软件能够很好地查杀已知病毒，但对新爆发的病毒，由