广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 22340 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
megakotaro 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x9 鲜花 x20
分享: 转寄此文章 Facebook Plurk Twitter 版主评分 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[心得分享] 防毒产业所面对的问题
本篇参考Eugene Kaspersky所写的The contemporary antivirus industry and its problems而成,由于该篇文章年代久远,因此这篇也加了一些现在所讨论的课题。本人才疏学浅,写得不好还请多多包含并提供意见。

自从电脑病毒诞生以后,网路上就充斥着许多的犯罪活动。不论是政府机关、大型企业、中小企业以及个人电脑,每年因网路犯罪损失的金额都非常可观。网路犯罪的议题也总是被广泛讨论。

早期骇客为了证明自己有高超的能力,或是为了报复以及政治目的,大多数的犯罪活动多是以恶作剧或破坏为目的;但是近年来,这些攻击都是以利益(金钱)为目标,例如:

1. 窃取信用卡卡号
2. 窃取银行帐密
3. 窃取游戏帐密或社交网站帐密
4. 建立僵尸网路(由一群遭到感染的电脑组成,这些电脑会在一般命令与控制基础结构下自动执行程式)以获得大量资料
5. 利用强制捆绑广告软体来获取金钱
6. 自动拨号程式让手机费用暴增


骇客组织所从事的地下经济早就远远超越了防毒软体公司的产值。即使许多知名的骇客已经被警方瓦解(例如:鲁兹安全),但是网路犯罪并没有因此减少,新的骇客团体还是不断出现,并威胁着全球企业的安全(例如:Anonymous)。根据研究,2004年因为网路犯罪的损失高达180亿美元,并预估每年将以30~40%的比例扩大。

而这些犯罪活动则成了下列三种情况的循环:
1. 骇客散布恶意程式躲避防毒软体侦测或找新的漏洞
2. 使用者的电脑及网路遭到骇客攻击
3. 资讯安全厂商开发解决方案以对付各方威胁

防毒厂商概况
以下列出防毒公司的概况,这些公司都有提供完整的防毒解决方案,从网路闸道防毒、伺服器防毒、邮件过滤软体到个人防毒软体以及手机防毒。
第一线公司,指的是在全球都设有据点:

公司             年营业额(百万)
                    2003            2004
Symantec    1098            1364
McAfee        577              597
Trend Micro 382              508
第二线公司,在特定区域取得领导:

公司                                年营业额(百万)
                                       2003        2004
Sophos                           97            116
Panda Software              65            104
Computer Associates      61            74
F-Secure                         36            51
Norman                           23            31
AhnLab                            21            28

第三线公司,虽然市占率较低但也正快速成长中,包括:Alwil,Arcabit,Doctor Web,ESET,Frisk Software,GriSoft,Avira,Hauri,BitDefender,VirusBuster。

上面的资料是我从尤金的文章中贴来的,我们也可以从2012年3月市场占有率看出最新的防毒软体使用率:
http://www.opswat.com/sites/default/files/OP...port-march-2012.pdf

每家防毒软体都在增加产品的新技术,从早期特征码比对、启发式扫瞄,到现在的入侵防御系统、云端防毒、档案信誉评鉴,每家产品也都非常类似。使用者或是网管人员在选购产品时,往往依据各大测试报告(主要是侦测率)、介面友善程度、资源占用度或是其他人的使用心得来选择产品。举个简单的例子:A、B、C三种防毒软体的病毒侦测率分别是10%、50%、99%,A防毒软体介面复杂且消耗大量记忆体,B防毒软体记忆体消耗量中等且介面普通,C防毒简洁易懂且记忆体占用少,消费者理所当然会选择C产品;如果选择了A,则电脑将暴露在危险当中,也会导致作业效率变慢,这也是消费者在选购产品上重要的依据。

防毒软体目前所面对的问题
一个良好的防毒解决方案,理论上应该100%不让病毒入侵,但这是不可能做到的事,这也正是防毒软体目前所面对的问题。

问题一:恶意程式大量爆发
恶意程式量以每年倍增的情况成长,即使全球有四十几家防毒软体公司,也无法对付如此庞大的威胁,也就是说,任何一个产品都不能抵抗全部的恶意程式。然而,大多数的使用者会还是会因为防毒产品宣称的功能而去购买。例如:轻巧不占资源、连续通过VB100测试等等。

从趋势科技Smart Protection Network可看出每天的恶意程式量非常庞大:http://go.trendmicro.com/i...attracker/

1990年代我们可以说安装防毒软体就能保护电脑安全,那时恶意程式多半是恶作剧、或是因为好玩,并没有强大的破坏性,数量也在防毒厂商所能应付的范围(还记得趋势科技当时是用寄磁片的方式替客户更新病毒码)。使用者只需针对被感染的文件做隔离、解毒或删除即可。但是,现在许多恶意程式是由地下组织所设计,网路上也流传许多恶意程式产生器,平均每4秒就有一个新的恶意程式产生。(说词来自:http://www.trendmicro.com...ro/faq.asp)

样本的捕捉来自于防毒厂商建置的Honeypot(专门诱捕未经授权、非法存取的行为,使分析师能进行侦测或反制)、已被感染的电脑(透过防毒软体内建的回报系统)、公司网管人员、网友的回报或其他防毒厂商。虽然防毒厂商表面上是互相竞争,但若一个新的恶意程式爆发,第一个侦测到的厂商大部分会将资讯发送给其他对手,各家厂商平常也都会进行技术交流。

假设有一个恶意程式A被防毒软体侦测到,这表示已经有许多电脑被恶意程式A感染了而且正在散布,若是利用作业系统的漏洞,则可能已经传出严重的灾情。例如conficker(Net-Worm.Win32.Kido系列),利用MS08-067这个漏洞大量散布。同时,防毒软体公司必须在最短时间内提供特征码,而且在作业系统厂商尚未修补此项漏洞时提供防护,这也将面临第二个问题。

问题二:特征码品质低落
为了防范恶意程式的大量散布,防毒厂商也被迫在最短时间内释出特征码,以减少感染风险。不幸的是,当特征码释出前,早就有许多电脑遭到感染,而快速释出的特征码不一定能「清除」该恶意程式(「侦测到」和「清除」是有差别的)。

由于特征码释出时间要快,许多厂商现在都依赖机器自动分析,虽然速度增快了,但是错误率也提升了,因为机器分析终究没有人工分析来得精准,许多破解文件、序号机或是加壳程式往往并不具有恶意行为,却被报称为毒。若恶意程式经过加密(例如SHA-256),机器分析也不一定会去做解密动作,这等于是遗漏了这方面的样本,而有些防毒厂商命名规则也是很松散的,可参考:不得不公布!现在还有大厂在使用档案大小判毒!

http://www.avira.com/en/...f-history

实际案例:软体序号机Nero 8 Ultra Edition v8.x Keymaker.exe
将Nero 8软体序号机送到Threat Expert:http://www.threatexpert.com/report.aspx?...fc8dbe1f99e97e7dbb

从报告得知,这个档案并不会对系统造成任何损害,但是将它送到Virus Total后......

http://www.virustotal.com/file-scan/report.html?id=3d2f949292c954...f4117878f579236fb84-1312617009

AhnLab-V3        2011.08.05.01        2011.08.05        -
AntiVir        7.11.12.233        2011.08.05        -
Antiy-AVL        2.0.3.7        2011.08.06        -
Avast        4.8.1351.0        2011.08.05        -
Avast5        5.0.677.0        2011.08.05        -
AVG        10.0.0.1190        2011.08.06        -
BitDefender        7.2        2011.08.06        -
CAT-QuickHeal        11.00        2011.08.06        Trojan.Agent.IRC
ClamAV        0.97.0.0        2011.08.06        -
Commtouch        5.3.2.6        2011.08.06        -
Comodo        9648        2011.08.06        -
DrWeb        5.0.2.03300        2011.08.06        -
Emsisoft        5.1.0.8        2011.08.06        Riskware.Keygen.Nero!IK
eSafe        7.0.17.0        2011.08.04        Win32.Banker
eTrust-Vet        36.1.8486        2011.08.05        -
F-Prot        4.6.2.117        2011.08.05        -
F-Secure        9.0.16440.0        2011.08.06        -
Fortinet        4.2.257.0        2011.08.06        W32/Turkojan.LWD!tr.bdr
GData        22        2011.08.06        -
Ikarus        T3.1.1.104.0        2011.08.06        not-a-virus.Keygen.Nero
Jiangmin        13.0.900        2011.08.05        Backdoor/Turkojan.bvw
K7AntiVirus        9.109.4973        2011.08.02        -
Kaspersky        9.0.0.837        2011.08.06        -
McAfee        5.400.0.1158        2011.08.06        generic!bg.gyj
McAfee-GW-Edition        2010.1D        2011.08.06        generic!bg.gyj
Microsoft        1.7104        2011.08.06        -
NOD32        6354        2011.08.06        -
Norman        6.07.10        2011.08.05        -
nProtect        2011-08-06.01        2011.08.06        -
Panda        10.0.3.5        2011.08.05        -
PCTools        8.0.0.5        2011.08.06        -
Prevx        3.0        2011.08.06        -
Rising        23.69.03.03        2011.08.04        -
Sophos        4.67.0        2011.08.06        -
SUPERAntiSpyware        4.40.0.1006        2011.08.06        -
Symantec        20111.2.0.82        2011.08.06        -
TheHacker        6.7.0.1.272        2011.08.06        -
TrendMicro        9.200.0.1012        2011.08.06        CRCK_KEYGEN.BB
TrendMicro-HouseCall        9.200.0.1012        2011.08.06        CRCK_KEYGEN.BB
VBA32        3.12.16.4        2011.08.06        -
VIPRE        10081        2011.08.06        Trojan.Win32.Generic!BT
ViRobot        2011.8.6.4609        2011.08.06        -
VirusBuster        14.0.154.0        2011.08.05        -

令人惊讶的是,毫无恶意行为可言的样本竟然被许多防毒软体厂商侦测出,报not-a-virus或是keygen也就算了,有些甚至显示为Trojan。

防毒软体误报也时有所闻。以前防毒厂商并没有建立系统档案白名单,在制作特征码时可能会误删重要档案,使得系统崩溃。因此现在的防毒厂商甚至会和合格厂商合作,将他们的程式建立在白名单内。

问题三:防毒软体占用资源
任何一款软体使用时都会利用电脑资源,防毒软体尤甚于此,因为防毒软体会随时监控使用者开启档案、读取档案、上网流量、下载过程、封包传送,侦测与删除一个档案也都会消耗电脑资源。若调高防护品质,则效率就会下降,所以要在两者之间取得平衡。

这样的情况其实很难去解决,若防毒软体提供快速的扫瞄,势必会遗漏一些可疑的档案,但扫瞄速度慢不代表能做深入的检查。

问题四:防毒软体互不相容
在大多数的案例中,安装两个不同的防毒软体在同一部电脑上以增加保护是不可能的,且两者会互相干扰。有人说这样会造成不公平竞争,其实这是没办法的事,软体设计师都想让其产品不会与其他产品互相排斥,包含防毒软体,可惜在技术层面上是不可行的。

为了能顺利扫瞄档案并提供完整保护,防毒软体几乎会写到系统核心内。若某个档案被认定是有问题的,由于防毒软体安装了中断点,可以传回防毒引擎上来中断这些档案存取、网路封包或其他可疑行为。然而,有时是无法很轻易地安装两个中断点在核心中,因此造成防毒软体之间的不相容,使得第二组防毒软体无法中断系统事件,或当两者同时中断却造成系统崩溃。

问题五:云端防毒真如其名抑或是噱头?
近来许多厂商标榜「云端防毒」,透过网路将庞大的运算处理程序自动分拆成无数个较小的子程序,再交由多部伺服器所组成的庞大系统经搜寻、运算分析之后将处理结果回传给用户。

云端防毒做得比较好的就是趋势科技的Smart Protection Network(简称SPN)。根据趋势科技表示其特点如下(参考integear所写一鸣惊人:TMSPN上市发表会心得整理):
(1)透过SPN搜集的资料反向追踪,可以找到恶意程式作者、地下组织,并通知警方。
(2)SPN不是只分析一个威胁,而是34000台以上的伺服器配合1000多位专家进行分析,快速处理大量资料,因此使用者能得到立即的更新。
(3)SPN是透过Host-based Intrusion Prevention(简称HIPS,安装在电脑上,监控所有在电脑上的程序活动)、启发式、大量而复杂的演算法、异常行为来抓取样本。并非是使用者中毒之后才回传样本。
(4)SPN透过「社群智慧」、「关连性分析」、「整合回报」架构起来;社群智慧包含「Smart Feedback」,它会记录网路上的可疑行为,再透过演算法过滤,最后以云端技术达到立即更新的资讯;关连性分析则包含「Monitor And Select」,透过演算法撷取大量资料,并选取必要的资讯,接下来「Incident Trigger」会标记顺序先后,之后「Correlate」交叉比对寻找众多档案之间的关联性。最后利用「Intelligent Scoring」给样本打上分数。
(5)SPN会将类似的网址做关连性分析。因为恶意程式作者可能会为了逃避追踪而设定乱数网址。
(6)SPN每天处理的资料大于1.2TB,每天分析用户50亿次的查询。

因此像趋势科技这样的云端,是可以有效达到遏止恶意程式的流窜。然而某些防毒软体打着「99秒云鉴定」或是「1秒云鉴定」,只是将云端技术拿来分析单一档案,这样对于恶意程式的防护能力明显下降许多。

没有完美的解决方案
很显然地,大家都希望寻找一个永久的防毒软体解决方案,但不幸的是,世界上没有一个永久的方法可以避免电脑遭受感染。由于恶意程式是人写的,不是自然演化,因此防毒厂商都是猜测骇客下一步的行动来设计软体,或是对已经存在的骇客技术来做预防,基本上,防毒厂商都是站在「被动」的一方。

就拿两个防毒厂商最常用的技术来说,特征码比对法就是拿一个被制作成2进位的程式码,来比对被扫瞄的档案是否符合,若符合则判定有威胁,若不符合则安全。这个方法的优点就是可以百分之百确定档案是否有问题,而缺点就是恶意程式越多,储存于资料库的资料也就越多,造成防毒公司的负担。

「启发式扫瞄法」则会根据一个档案的后续动作来判定是否有威胁,优点就是可以侦测未知的恶意程式,缺点就是误判率较高。假设有一个防毒软体A它写的启发规则可以百分之百正确判断「现有」的档案,骇客知道了以后,就会想办法用别的技术来躲避防毒软体A的启发规则,而防毒公司知道启发规则被破解了又会写新的规则来预防新的威胁,这就会造成无限循环。所以我们才需要每年不断购买新的防毒产品,或是更新防毒产品的版本,以因应新的威胁。

购买防毒软体
虽然说了许多防毒软体所面临的问题,但我们还是需要购买一款好的防毒软体来保护自己(请参考:我必须不客气的说:大部分的End User根本不懂网路安全!),那该如何选购呢?客观而言,就是参考一些来自世界各地机构的测试报告,这些测试包含了侦测率、0-day漏洞、扫瞄速度、防毒厂商对新威胁的反应速度以及清除率等。然而许多机构并未针对防毒品质做测试,因为进行这样的测试必须搜集大量的样本,并记录防毒软体从安装到移除的过程,费时又费工。

目前有提供完整测试的有AV-test(http://www.av....org)及AV-Comparatives(http://www.av-com...es.org),这些机构对于防毒软体的侦测率、防毒公司对新恶意程式的反应时间、中毒电脑的解毒率、受感染网站防御率及系统资源使用等,均进行完整的测试。另外,PC Security Labs(http://www.pcsecu...bs.net)、Virus Bulletin(http://www.virusb.../index)及WestCoastLabs(http://www.westc...bs.org)等则主要是针对侦测率做测试。

结论
恶意程式与防毒软体、骇客与资安专家,这两个善恶面是共存的,使用者收集到越多的资讯,才能避免令人遗憾的后果。

最后废话:大家好像都知道现实世界要防诈骗集团、小心歹徒,却在网路世界让自己处于危险

此文章被评分,最近评分记录
财富:100 (by upside)



及早治疗,长命百岁
献花 x2 回到顶端 [楼 主] From:台湾中华电信股份有限公司 | Posted:2012-04-07 14:54 |
★佳苗るか★
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x36
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

我觉得网路上有传言,病毒绝大多数为防毒软体制造商去制造"病毒"交由骇客等等散播>_<他们在重中钻取暴力!我不是很相识但也不得不相信,因为很怪美ˇ当您中了某个病毒,
你的邮箱或电脑就蹦出要求您安装某加防毒软体的小广告之类的! 表情


献花 x0 回到顶端 [1 楼] From:台湾中华电信股份有限公司 | Posted:2013-02-07 09:53 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.037066 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言