网络安全也要“主动+零日”

　　在渴望中发展

　　随着网络资源的日益丰富，电脑病毒同样也是“日新月异”。根据IDC的统计，互联网中出现过的病毒种类高达7万种，目前仍在活跃的数目也达到数千种以上。

　　俗话说，“罗马不是一天建成的，但却能在一天被毁灭”。从去年的熊猫烧香开始，到目前泛滥的磁碟机，其中多用户都已经明白，让反病毒软件完全抵御住病毒进犯，图个一劳永逸是不可能的。

　　国内外专家普遍认为特征代码法是检测已知病毒的最简单、开销最小的方法。到目前为止，几乎所有防毒软件就如中医的“望闻问切”，透过病毒数据库里的病毒特征数据，以此与扫描中的文件加以对照，从而把合乎条件的真正病毒区分出来。面对每天不断涌现的新病毒和变种，各大防毒软件厂商只有不断进行特征更新、壮大自己的病毒数据库，确保自己的病毒数据库能在新的病毒大面积扩散前升级用户的病毒库。按照此方法就不可避免地造成病毒数据库的日渐庞大，扫描系统时须进行逐笔数据对照，过程极为费时，用户也会感觉到系统响应迟缓。

　　同时，传统杀毒方式还有一个重大的弊端就在于滞后。互联网的普及，让新病毒能在极短时间内迅速散播至全世界的每一个角落，同时病毒的作者们也将绕过防毒软件的实施攻击作为了必修课。所以，无论更新数据库行动有多迅速，还是与病毒的首发存在着可怕的一段时间差。而正是这一丝的空隙，往往成为千里之堤溃裂的蚁穴。

　　主动出击正当时

　　针对传统反病毒软件都是被动作用的现状，主动出击、御敌于先成为业界的共同思考，由此“主动防御”技术被提上了日程。事实上，主动防御技术本身是随着“零日防护”理念的提出而产生的，以往在企业级安全网关上多有体现。

　　主动防御技术主要是指在没有病毒样本的前提下，对病毒进行全面而有效的全面防护，主要表现在发现未知病毒和未知程序时，以“行为判断”技术识别大部分未被截获的未知病毒和变种。同时通过监测漏洞攻击行为，防止病毒在网络中的大面积扩散。

　　此前ESET公司资深安全专家在接受采访时表示，要实现“零日防护”的目标，反病毒系统必须能够对恶意软件进行实时防御，以便在其造成影响前进行干预。

　　事实上，目前ESET公司推出的NOD32被公认为主动防御的先行者。其内部集成的ThreatSense技术最早推动了反病毒系统的主动防御实用化。据介绍，ThreatSense属于一种高级启发式检测引擎。通过在文件扫描时主动地分析文件的代码和结构，并在虚拟的仿真系统环境里进行执行，可以将那些极具危险性的恶意行为拒之门外，从而最大程度地消除零日攻击的威胁。

　　另外，主动防御技术在提供了高效的反病毒效率的同时，还需要提供人性化的预警系统服务。要知道，对于未知威胁的防御具有不确定性，因此，每当客户端遇到疑似病毒的档案时，需要一种机制确保将疑似档案压缩加密，并通过电子邮件寄送给安全厂商的相关人员进行分析研究，一旦确定为病毒，厂方便可尽快进行后续的处理动作。

　　总的来说，如果将传统的杀毒方式比作病发后的的寻医问药，那“主动防御”杀毒方式更像是一种在医生指引下旨在提高自身免疫力的养生之道。