如何让主动防御的剑更锋利

夜魔天狼剑

其实这个话题本人两年前已经提过，但是当时提出来的时候，微点还没有上市，很多人都说条件还不成熟。
       今天微点上市了，扫描也出来了，我想是再提出这个观点的时候了。早在2004年的时候，我就已经感觉到了特征码体系的落后性，现在的手段多了，也不一定再叫特征码，但是始终是围绕“收集---处理---更新---查杀”这个体系运作的。
       刚才看了一位朋友写道：

云安全+主防+防挂马+高启发+网络攻击防护+系统漏洞维护

这才是最终的目的。

表面上看是挺完整的，但是全面不等于有效，我们需要的不是全面带来的心理安慰，而是经得起危险考验的有效性。现在的病毒层出不穷，加壳，定位填充等免杀手段非常的多，而且有些已经通过软件自动化，“收集---处理---更新---查杀”这个体系的基础是建立在收集上的，没有收集就没有认识，没有认识存在，云安全+主防+防挂马+高启发+网络攻击防护+系统漏洞维护都完全没有安全可言，说有的话那是幻想或者就是有利益损失也可以忽略的群体。
       样本收集都是以用户为基础的，用户的数量规模，在最新型病毒攻击下中毒用户的认识水平和处理能力，都限制了病毒样本收集的有效性。然而现实的结果却是，这种收集脆弱无比：
第一，具体到某一款杀软，它的用户数量不一定多，云安全也只有区区几个用户群大的杀软可以考虑，其它的无效；
第二，认识水平高的用户少，装杀软的不一定会报样本，多数都是重装系统或者见启发报出就杀掉，报过样本的用户10%都没有；
第三，杀软附带的收集处理体系落后，云安全和主动防御都是通过已知去找未知，而云安全倚赖用户数量，比主动防御在智能上差一点。
       第一和第二点都是短期无法改变的，作为一个杀软，能改变的是第三点，这篇东西，要探讨的就是如何赶在病毒作者的前面。
       杀软可以去解剖病毒和病毒作者的思路，同样病毒作者也可以解剖杀软的思路，病毒也可以把主动防御应用在病毒中，形成了针对不同杀软的不同思路自动变换隐藏或攻击模式，不少病毒已经一定程度上进行着这种试验。也就是说，即使有主动防御，杀软也只是和病毒在同一水平线上。
       但是，如果有一天，杀软脱离了通过已知找未知这种方式呢？这就是我想表述的主动防御更加精进的一个方向。
       为什么要提出这种大胆的方式？第一，主动防御的发展已经到了瓶颈，它虽然先进，但是依然是“收集---处理---更新---查杀”这个体系的产物，它每天做的就是把捕获的未知病毒提取特征，遇到重要的行为就提取进行为库，依然是通过已知应对未知，只是时间缩短了，对于全新的病毒依然是无效的，而且人手不足的情况下压力会很大。第二，从市场竞争上来看，微点是后起，相比其它杀软市场群体是不对称的，不对称的环境就要求采用不对称的模式，别人搞扫描你搞扫描，别人搞云安全你搞云安全，那么特色何在优势何在？
       摆在微点面前有两条路：第一，大力量投入搞扫描，然后改名换姓，挤进主流。第二，追求主动防御的无限精进，把做品质做标准做到底。如果它选第一条路，那么它就没有什么特别了，发这篇帖就没意义了。
       如果它选第二条路，那么我个人对其依旧崇拜，我崇拜的是主动防御这东西，在2004年的时候，那时候我刚开始接触大规模的病毒爆发，当时用的还是瑞星，那时候我是用盗版的，半年才能买一张新的，自然更新这东西就几乎没有了，因此对特征码的滞后深有体会，每次装上新的版本，都扫描出几百个病毒，而原来的版本一个也发现不了，那时候我就想，病毒这东西难道就没有共性吗，没有通用的工具可以杀掉它们吗，至少杀到只剩几个也行，也好手动对付。直到等到06年，微点的诞生，让我看到了这种设想不是空想，是可以实现的。同样我相信已未知去应对未知也是可以实现的。
       如何以未知去应对未知？这就是规则库的自动延伸，例如一个病毒j有A、B、C、D、E这5种行为，主动防御能识别A和B行为，把其组合为一条规则，通过这条规则识别出未知病毒j，病毒的行为都是比较具体的，每一个行为都有其实际的破坏或隐蔽目的，那么如果安全软件在拦截病毒j后自动把C、D、E行为单独入库或者组合入库，病毒得知被查杀后，病毒作者通过研究一定考虑修改A、B行为，然而这时候安全软件已经自动把C、D、E行为单独入库了，病毒修改版依旧可以拦截，拦截后同样把修改的A1，B1行为自动入库，那么就算他再修改也依旧被查杀。
       这就是规则库无限延伸，以未知杀未知的设想，当然，有很多技术上的困难或者是细节上需要考虑的地方，但是它毕竟是一个可以参考的方向，一旦实现，对瓶颈中的主动防御将是极大提升，它就能走出“收集---处理---更新---查杀”这个体系，对病毒防护更加有效，主动防御的剑更加主动，更加锋利！

245536252

建议楼主发去微点社区！！！微点用户路过。

haoge868

难得一见的开创性文章！
自动入库行为那将是一个非常浩大的工程......

白羊座

自动入库行为最终会演变成自动收集无限多的白名单，还是一个无底洞和特征码的现状没有本质上的不同
而且有一点，病毒在不同系统中的行为未必一样，比如感染MP3文件，如果机器上没有，就测不出这个行为

[ 本帖最后由 白羊座 于 2009-11-23 15:35 编辑 ]

y2131315

好文章 学习了

大汉天子1

关键是楼主崇拜微点不会打动微点，微点更需要挤进主流。

wangyunxi80

楼主的想法看能否申请个专利？

simonfour

感觉已经上升到了所谓的     人工职能  的地步了,,,,
还真是个浩大的工程

1e3e

学习了

龟蟹甲

特征码收集病毒样本
微点“定义”的“主动防御”收集白名单，规则越严，误报越高，需要收集的白名单越多