滞后杀毒难担网络防御重任杀毒软件亟待弥补重大缺陷

　　新华社北京5月26日电（记者顾洪洪）信息安全要求杀毒软件必须防范住病毒，而杀毒软件杀毒的前提是通过对病毒爆发后的分析找到解决病毒的方法。这样就出现了一个无奈的现状：杀毒总是在病毒爆发之后。

　　而且，传播速度以分秒计的网络新病毒也不会再给信息安全厂商以足够的分析病毒、升级软件的时间和机会了。就这样，信息安全厂商被迫走到了一个十字路口：要么固守传统的“特征值扫描法”坐以待毙；要么凤凰涅（般下加木）、进行产业和技术的升级换代。

　　反病毒产业奠基人之一、“国家八六三计划反计算机入侵和防病毒研究中心”专家委员会专家刘旭，日前在接受记者专访时指出，在高速网络时代，以传统杀毒软件作为病毒防范的最主要工具的方式，已经很难适应用户新的信息安全防护要求了。网络新病毒有恃无恐、数量有增无减的趋势，已经越来越明显地暴露出杀毒软件滞后杀毒的重大缺陷——对新病毒的防范始终滞后于病毒出现。

　　刘旭在深刻反思国际国内反病毒实践和当前网络新病毒日益泛滥的现状后强调，在过去病毒传播速度不快、新病毒数量和种类较少、感染多为区域性、利益危害相对较小的情况下，杀毒软件因其对厂商已捕获的病毒具良好的识别效果、可有效清除和阻止病毒进一步传播与破坏的优点，被作为最主要的反病毒工具，为病毒防范做出了重要贡献。

　　但是，伴随网络在全球的飞速应用，利用网络技术、以网络为载体频频爆发的间谍程序、蠕虫病毒、游戏木马、邮件病毒、ＱＱ病毒、ＭＳＮ病毒、黑客程序等网络新病毒，已经颠覆了传统的病毒概念。与传统病毒相比，网络病毒呈现传播速度空前、数量与种类剧增、全球性爆发、攻击途径多样化、以利益获取为目的、造成损失具有灾难性等突出特点，使杀毒软件面临严峻挑战。

　　刘旭介绍说，杀毒软件以“特征值扫描法”作为理论基础，其核心是从病毒体中提取病毒特征值构成病毒特征库，杀毒软件将用户计算机中的文件或程序等目标，与病毒特征库中的特征值逐一比对，判断该目标是否被病毒感染。杀毒软件厂商只有发现并捕获到新病毒后，才有可能从病毒体中提取其特征值。这种特征值扫描技术是在新病毒出现后，才以滞后的单个病毒人工捕获、滞后的人工分析、滞后的版本升级为防范机制，要应对每小时数种、数十种网络新病毒的威胁，显然力不从心，难以承担网络病毒防御的重任。

　　刘旭直陈，当前杀毒软件厂商依然沿用“亡羊补牢”的事后“补丁”式技术路线，期望通过频繁的版本升级克服其技术的重大缺陷——对新病毒的防范始终滞后于病毒出现。这种滞后杀毒技术固有的重大缺陷，导致用户不能对网络新病毒及时防御，被动处在一个又一个“时间差”的危险之中。即从一种新病毒出现，到厂商人工捕获病毒，再到分析病毒样本，最后完成杀毒软件升级之前，这一段时间内，用户对该病毒没有防范能力，处在“不设防”状态中。

　　刘旭认为，网络病毒的频频爆发，已经使国际国内反病毒领域开始意识到，杀毒软件赖以生存的事后“补丁”式技术越来越被动。“病毒主动防御技术”已经成为反病毒软件的发展趋势和全球反病毒厂商新的竞争焦点。我国反病毒领域应跳出传统技术路线，尽快研制以“行为自动监控、行为自动分析、行为自动诊断”为新思路的主动防御型产品，从根本上克服杀毒软件重大缺陷，实现反病毒技术的革命性飞跃和反病毒产业的升级。