| 出版日期:2004-03-08 总期号:1294 本年期号:15 |
|
 |
全面的盾牌
——防毒防黑综合治理方案分析 张晓兵、刘宏伟 病毒与垃圾邮件是目前的两大威胁。80%的问题来自于它们。通过对Mydoom蠕虫的分析,病毒与垃圾邮件合二为一是这个蠕虫的一大鲜明特点。面对黑客攻击技术的新变化,反病毒产品的多功能融合也成为了一种必然。 去年的“大无极”病毒泛滥,使该病毒的网络传播率达到99%,而今年的“Mydoom”病毒的爆发,传播与破坏能力更是超过了“大无极”病毒,分析这两个病毒泛滥的原因,发现都有一个共同的特点,就是它们已经不再是传统的系统病毒,而是通过邮件和网络进行传播的网络病毒了,病毒破坏也已经不再是传统的删除文件、格式化硬盘之类的传统破坏模式,病毒传播的过程就是破坏的过程:不但在传播过程中会阻塞网络,还会发送大量的垃圾邮件填满用户的邮箱。 从病毒感染特性上看,“大无极”和“Mydoom”这两个病毒都属于邮件蠕虫病毒,据有关数据表明,近两年,病毒和垃圾邮件已经成为信息安全领域的头号杀手,而二者的结合则更具威胁性,因为这类病毒会不断地感染网络上的计算机,然后,利用被感染计算机的CPU资源和邮件资源向外扩张,形成链式反应,使每台被感染的计算机都成为病毒邮件的发射源,向外发送大量的病毒邮件,不但在数量上超过了那些手动的垃圾邮件发送器,而且,在病毒邮件发送的过程中,还会使整个网络阻塞。 这是一种痛 对个人电脑用户来说,对邮件病毒破坏性的感觉并没有像CIH病毒那样强烈,在大多数人的印象中,邮件病毒是一种只会发发病毒邮件的温和病毒。其实,邮件病毒的破坏要远大于此。 首先,邮件病毒会对主干网的流量造成影响。被感染的计算机不但会向一些未感染病毒的计算机发送病毒邮件,还会进行邮件互发,从而在全球泛滥的同时,大量占用网络带宽资源,使整个主干速度变慢,像“求职信”就是这样的一个病毒。如果邮件病毒又具备了黑客攻击的手段,那么,这种破坏性就更明显了,像“Mydoom”病毒,它不但会进行邮件传播,还会在某个特定时间对SCO、微软等网站发起DDoS(分布式拒绝服务)攻击,病毒的意图很明显,就是要集结全球所有被感染计算机,然后,统一向这两个网站发起攻击。全球范围内的超量非法服务请求,不但会使这两个网站瘫痪,还会使整个主干网阻塞。 其次,邮件病毒还会对企业和电子邮件服务商造成影响。目前,绝大多数企业都会有自己独立的内部网络和邮件服务器,邮件服务器每秒钟要收发数以万计的邮件,但是,一个邮件服务器的吞吐量和邮件并发数是有限的,当邮件病毒泛滥时,大量的病毒邮件会随时从外部网络涌入,如果企业内部感染了邮件病毒,那么,同时也会有大量的病毒邮件从内部网络经由邮件服务器而发送到外网,当病毒邮件远远大于邮件服务器所能承载的最大邮件数时,邮件服务器便会来不及处理邮件请求从而导致邮件阻塞,严重时还会使邮件服务器系统崩溃,从而拒绝服务。一些互联网邮件服务商同样也面临着这样的问题,虽然,他们的邮件服务器吞吐量很大,但他们接受的是整个互联网的邮件请求,因此,在邮件病毒大量泛滥时,仍然会产生邮件阻塞及拒绝服务的情况。很多用户一定还记得当年求职信病毒爆发时的情形,在病毒的泛滥高峰期,用户几乎是无法收取任何邮件的。 最后,邮件病毒会产生大量的垃圾邮件,阻塞用户信箱。这种危害是普通用户能亲身感受到的,邮件病毒泛滥时,会给用户的邮箱发送大量的病毒邮件,虽然,一些邮件服务商采取了一些邮件过滤的技术,如字符串过滤,截取附件等方法,但是,如今的邮件病毒都会采取随机更换邮件标题和内容的方法来躲避过滤,而一些被截去附件的病毒邮件就成了名符其实的垃圾邮件。一些躲过过滤的病毒邮件会用很有迷惑性的标题来诱使用户中毒,而一些被截去附件的病毒邮件则会变成垃圾邮件来占满用户有限的邮箱空间,使用户无法收取正常的邮件。 综合治理是出路 有关安全专家指出,目的性、网络性将是2004年病毒发展的主要趋势,而“Mydoom”病毒正是这种趋势的开始,面对病毒产生的新特性,反病毒产品应该何去何从,才能有效地遏制住病毒的发展呢?简单地说,就是反病毒产品要向多功能融合化的方向发展。 首先,计算机工业的发展有这样的一个逻辑,总是工业化最强的硬件工业先发展,在摩尔定律的指导下不断地推出新的硬件体系,带来新的硬件逻辑,然后,和硬件关系最密切的系统软件进行跟进,不停地推出新版本以适应硬件的这种变化,然后,就是基于操作系统的应用程序再根据操作系统提供的新接口来进行设计。计算机病毒也是一种应用程序,它要依靠操作系统才能发挥自己的作用,因此,每一次操作系统的革新都会带来新型病毒的产生,而反病毒产品则是需要根据病毒的变化而进行相应改进的。每一种新类型病毒的产生,反病毒产品都要提供一种新的解决方案,随着病毒的发展,反病毒产品也就呈现出越来越强的多功能化的趋势。 另一方面,由于操作系统是向下兼容的,即新型的操作系统总是要兼容旧操作系统上的程序运行,新病毒不断产生,旧病毒依然存在,这种情况也使得反病毒产品在增加一种新的反病毒功能后也必须保留旧的反病毒功能,这种情况也导致了反病毒产品的多功能化。而随着网络的发展,黑客攻击变成了一种基本的破坏,病毒本身也加入了许多黑客攻击的技术,这种情况促使了反病毒产品要将原来与反病毒无关的防黑功能加入进来,可以预见,随着发展,将来的反病毒产品的性质会逐渐演变成信息安全软件产品,反病毒产品提供的不再是单一的反病毒功能,而是整个信息安全的功能。 从反病毒技术的发展逻辑讲,早期DOS操作系统的简单性导致了计算机病毒也相对简单,病毒一般只会感染文件或引导区,针对病毒的这种情况就出现了特征码杀毒技术。由于安全性较高和界面友好的Windows操作系统的出现,人们更加依赖电脑,这时,病毒也开始进化,变得更复杂,于是,反病毒产品中出现了实时监控系统。CIH病毒技术成熟后,越来越多的病毒作者开始编写能破坏硬件的病毒,而CIH病毒本身也出现了多个版本,为了解决病毒的善后问题,反病毒产品中就又融合进了硬盘备份恢复系统,在用户硬盘受到毁灭后,还能恢复关键数据。后来,邮件病毒产生了,大量的垃圾邮件使人们的工作受到了很大的影响,为了对付这种情况,邮件系统出现了,它会在人们收邮件的时候,直接对邮件进行扫描,只要发现病毒就会直接删除病毒邮件。网络的发展使得黑客攻击变得普遍,于是,反病毒产品中就又融合了能够防止黑客的个人防火墙功能。反病毒产品就是这样根据病毒的发展,一步步地进行功能融合,造就了今天的多功能融合的产品。 融合也有瓶颈 虽然,目前反病毒产品表现出来的趋势是向融合化发展,但是,从用户角度来考虑,并不是功能越多就越好,因为一个反病毒产品在进行多功能融合的过程,肯定会带来一些问题或者进行某些方面的折衷,而某些融合的功能对于每个用户来说又是不必要的。如何进行多功能融合,每个反病毒公司出于对自身的考虑都会有不同的做法,不过反病毒产品在进行多功能融合的过程中还是需要注意一些问题的。 首先,在功能融合的过程中要注意冲突问题。这里的冲突指的是,软件产品由于工作原理和执行模式不同,大家互相争夺资源的现象。很多用户可能知道,不同的杀毒软件之间会存在一些冲突,在多个杀毒软件共存的情况下会出现电脑死机等现象,但很少有用户知道,同一杀毒软件产品内部也会存在冲突。比如,文件监控与病毒查杀引擎之间,由于实时监控工作在系统的核心层,而反病毒引擎工作在应用层。核心层的内存资源与时间资源都是极其有限的,因此,操作系统虽然允许实时监控系统夺走文件读写权,但是,只给它一定的时间,如几十个毫秒,这点时间对于用户来说是极其短暂的,但是,对每秒可以处理几百次的CPU来说,已经可以做很多事情了,但是,实时监控系统还要和应用层的病毒查杀引擎进行沟通,如果碰到很大的文件或者很复杂的病毒,病毒查杀引擎对文件的分析将会超过操作系统分配给实时监控系统的时间,这时候,实时监控系统与病毒查杀引擎之间就会产生冲突,实时监控系统要么选择超时继续等待,降低计算机性能,要么放弃对该文件的查杀,从而产生病毒漏报现象。这种冲突是技术问题,解决的办法是选择一个好的开发策略,对性能和安全性进行某些折衷,如果开发策略选择得不好,使产品内部的冲突过多、过 大,就会影响整个反病毒产品的质量。 其次,在功能融合的过程中要注意性能问题。性能指的是一个反病毒产品对计算机资源的占用情况,一般包括时间占用、内存占用和CPU占用三种情况。在时间占用方面,我们可以感觉到,反病毒产品每一次升级,都会使病毒查杀时间变得更长,几乎没有人能容忍杀毒软件对整个硬盘做的病毒扫描动作,这是由于病毒库越来越大的缘故。很多反病毒厂商也提出了一些优化方案,不过病毒库变大所产生的问题在短时间内还无法真正解决。在内存占用方面,功能的融合会导致内存占用量逐渐增大,这几乎是产品多功能融合化的一个必然结果。早期的反病毒产品只有一个主程序,在运行时只占用一份内存,后来出现了实时监控系统,该监控系统和主程序就会占用两份内存,而反病毒产品的各个模块是单独进行研发的,虽然每个模块可以保证占用尽量少的资源,但是,所有功能模块合成一个完整的反病毒产品时,这种内存占用问题就很明显了,而随着反病毒产品的功能融合度越来越高,这种问题就会越来越明显。而CPU占用问题是一个反病毒产品在研发的过程中,由流程和算法的设计而产生的,早期的反病毒产品往往只有单一的文件,实现单一的病毒查杀功能,因此,软件的流程和算法都是很容易控制的,这时CPU资源占用问题是可控的。但是,随着 产品的多功能融合,各种与反病毒相关的模块加入进来,它们之间不仅仅是功能简单地相加,很多情况下,还需要互相协作,软件的复杂度大大增加,在这种情况下,CPU资源的占用就成为了一个不可控的问题。 再次,在功能融合的过程中要注意安全问题。在软件工程学中,一个软件产品的错误是随着代码量的增加而极速增加的,有一个形象的说法是,只要引入一行代码,就能带来十个隐藏的错误,这虽然是一种夸张的说法,但却说明了软件工程所面临的问题。早期的反病毒产品由一个人写几万代码就能完成,而随着反病毒产品的多功能融合,软件的复杂度大大增加了,代码量也增加了十万行以上,这时候,软件中的隐藏错误也会大大增加,同样会出现像微软系统漏洞那样的安全漏洞,只是目前反病毒软件的应用还远没有达到操作系统的普及程度,因此,还没有出现专门研究反病毒软件安全漏洞的组织,不过,随着反病毒产品的普及和多功能融合,这种安全问题最终会显现出来。 多种方式融合 以上主要从横向来说明一个反病毒产品的多功能融合化,其实,随着计算机工业的发展,反病毒产品还会进行纵向的融合化。 首先是独立产品之间的融合。像瑞星杀毒软件2004版提出的立体防毒概念就说明了这点。该产品提供了包括硬盘备份、病毒查杀、漏洞扫描、短信通、个人防火墙以及网络游戏防盗等功能的个人反病毒解决方案。其实,上面提到的这些功能,都可以做成独立的产品,尤其就个人防火墙产品而言,它本身就是一个完全独立的产品,是由不同的研发队伍进行开发,并进行独立升级的,但是,为了整个反病毒市场的需要也融合在一起了。 其次是软件与硬件的融合。在信息安全行业,有越来越强的软硬件融合的趋势,而且这一趋势还在进一步地加强。我们都知道,软、硬件产品各有各的优缺点,硬件的优点在于,所有功能都是靠硬件电路实现的,性能稳定、执行速度快,但缺点是,维护困难、价格昂贵。而软件的功能是靠算法来实现,它的执行速度取决于计算机配置的高低,一般情况下没有硬件执行速度快,但是,本身能实现更强大的功能,升级和维护都很方便,价格也便宜。据悉,瑞星公司要在近期推出的MINI防火墙,其实就是个人防火墙的硬件版本,它本身要比普通的硬件防火墙便宜得多,而且又要比个人防火墙的软件版本有更大的吞吐量,因此,很适合小企业或家庭局域网使用。而反病毒产品一贯是以软件的形式出现的,但是现在出现的网关防毒产品、防毒墙产品等,则改变了反病毒产品一贯的软件状态,被融合在硬件之中。这种融合的重要性在于,它能弥补软硬件之间的缺点,使软硬件协同工作,完成一些单纯的软件或者硬件无法完成的功能。 还有一种更广泛意义上的融合,就是整体解决方案,从某种意义上来讲,它是将产品、销售、技术支持等全部融合在一起的一个完整的“产品”,因为单一的产品已经不能满足企业整体的信息安全需要了,企业一般都会搭建自己的内部局域网,并且根据企业自身的需要,会配备相应的服务器,因此,为了对症下药,在安装反病毒产品之前,必须对企业的网络结构、安全问题进行分析和评估,然后,提出一个安装方案,而这种安装方案也只有熟悉反病毒产品的人员才能胜任,企业一般没有这种自我分析的能力,因此,企业就有了很强烈的整体解决方案的需要,从而产生了整体解决方案这种“打包”的产品。 网关是融合产物 针对病毒与垃圾邮件等方式结合攻击的病毒发展新趋势,完整的企业安全系统,必须考虑能保护企业免遭混合或多种模式病毒攻击。这种需求促使了集防病毒、防垃圾邮件等多种功能的网关产品开始出现。 由于一般防火墙仅有基本的过滤功能,对于企业大幅导入各项网络应用的趋势,并没有相对跟进的安全技术。尤其是,随着电子邮件而来的电子邮件病毒和垃圾邮件,更成为企业头号大敌,因此,可在网关把关,甚至在病毒入侵前发出预警的安全过滤软件,相对备受重视。作为第三代防病毒技术,网关防毒是今后非常重要的一种新型反病毒手段。 网关,是指连接不同性质的网络,保证网络之间正常信息交换的一种接口设备。网关防毒,是指在网关上部署防毒产品,以达到从外层保护网络的目的,网关防毒的特点就是在内部网络的外围部署反病毒产品,使病毒进入网络之前就能将病毒直接清除,这样,既保证了外部的病毒侵入,又丝毫不影响内部网络的效率。因此,这种产品很适合有大型网络的企业使用。 冠群金辰软件公司总经理陈葵曾经预测:“网关过滤产品将会是第二个防火墙市场。”其巨大的市场潜力可见一斑。正是看到这一点,各家厂商也在陆续推出自己的网关产品。像冠群金辰推出的KSG网关,集防病毒、防垃圾邮件及内容过滤等多功能于一身;趋势科技垃圾推出的IMSS(InterScan Messaging Security Suite)可阻绝网关上的无效邮件与恶意邮件,使企业免受这些垃圾邮件所扰,同时杜绝其可能夹带的病毒;美讯智公司开发邮件安全信息网关(SMG),已经成为国内邮件安全技术领域的优秀产品,现在帮助国内的用户每天过滤掉超过300多万封垃圾邮件;NAI推出的e500在对来往的邮件进行扫描之前,将整个邮件及附件下载并进行病毒检查;箱ServGate公司推出的模块化安全网关产品EdgeForce是一套集防火墙、VPN、IDS、反病毒、反垃圾邮件、内容过滤于一身的整合式网络安全系统;CheckPoint公司最近也推出了一款集成智能蠕虫防护的网关产品——CheckPoint InterSpect;清华紫光比威推出的邮件安全系统UnisInspector可以提供对病毒邮件、垃圾邮件(SPAM)等的防护。 又一轮竞争已经拉开帷幕,集防病毒、防垃圾邮件等多种功能于一身的网关产品究竟会如何发展?让我们拭目以待。 |
||||||||||||||||||||||||||||||
