漏殺簡介
定義指的是病毒已在網際網路上出現,但暫時不能被防毒軟體檢測到。
介紹漏殺產生的根本原因是傳統安全軟體無法適應病毒生產、傳播的全面網際網路化,傳統的病毒識別方法無法適應病毒的快速增長
為什麼95.6%的電腦上安裝了安全軟體,每年仍然有約百萬病毒木馬被漏殺?百萬被“漏殺”病毒木馬將直接影響到數億中國網民網路的正常使用,同時給中國網際網路帶來的經濟損失也將超過十億。在病毒木馬爆炸式增長的今天,安全軟體的“漏殺”問題越發凸顯,不容忽視。
現狀:部分網民電腦中存在漏殺病毒
1、年漏殺病毒木馬數量過百萬2009年新增病毒木馬數量超過2000萬個,如今每天新增的病毒木馬數量相當於2005年一年的數據,病毒木馬傳播的速度驚人。
即使使用簡單的自動化樣本分析系統,傳統的安全軟體每天處理新增病毒樣本的數量已經遠遠不能滿足於新增病毒的數量,漏殺問題也不可避免。2009年被各種安全軟體漏殺且漏殺期1-7天的病毒木馬超過100萬個,占到新增病毒的5%。
據國家計算機網路應急技術處理協調中心發布的最新調查數據顯示,2009年95.6%的電腦上安裝了各種各樣的安全軟體。但金山毒霸安全實驗室通過對1000位名用戶電腦樣本調查,其中包括100名上門訪問調查樣本,以及對新安裝金山毒霸2011進行安全掃描的用戶的數據統計,發現安裝了安全軟體,但仍然存在異常的用戶超過30%,這個比例相當驚人,說明該防毒軟體查殺率低,主動防禦低。安全軟體若無法檢測到,用戶完全不知道自己的電腦已經處於危險之中。
3、危險期越長危害越大,最長可達一個月觀察病毒被檢測到,至這個病毒從網際網路消失的動態變化,發現存在以下規律:超過78%的病毒木馬只有兩周的生存時間,隨著時間的延長,生存率顯著下降,超過一個月仍在產生危害的病毒木馬不到5%。
當病毒被安全軟體檢測到大約30天后,已不會對網路產生大的危害。同時還表明,防毒軟體必須加快回響速度,縮短漏殺期,才能更好地保護網民度過”危險期”。
當某惡意程式被一家安全軟體公司報告為威脅時,在較短的時間內,會有更多安全軟體對其進行查殺。而惡意軟體傳播者,在發現自己的程式被安全軟體檢測到時,也會及時對病毒木馬進行更新或免殺,舊版本病毒在傳播過程中逐步自然消亡。
危害:經濟損失過十億
按照每年百萬級別的漏殺病毒木馬計算,根據對漏殺期病毒木馬感染用戶電腦數量的分析,在病毒木馬的漏殺期,每年將有千萬級別的用戶感染這些被“漏殺”的病毒木馬。一旦電腦上中木馬,而最新的安全軟體也不能成功查殺時,漏殺就發生了,這時網民的電腦就會面臨威脅。主要危害包括虛擬財產的損失;個人隱私數據被竊取;商業秘密被泄露;電腦軟體系統故障頻繁,影響生產或其它正常套用。
使用金山毒霸2011進行病毒掃描的用戶報告了系統的異常現象描述,這部分比例占到雲安全查詢量的30%。異常現象包括主頁被強行鎖定、桌面莫名其妙多出幾個捷徑總也刪不掉、系統檔案被破壞,用戶隱私數據被盜對用戶來講更是不可見的嚴重損失。
產生的四大原因
1、病毒黑色產業鏈的利益驅使
眾多案例早已證實病毒木馬所構造的網際網路黑色產業,僅公安機關公布的利用計算機病毒破壞網路安全的案件,其非法收入已是數千萬人民幣的規模。巨大的利益吸引眾多從業者和防毒廠商打持久戰。這兩年還出現過為帶數字簽名的病毒木馬,這是更加明顯的商業化製造傳播計算機病毒的行為。
從病毒木馬的傳播規律分析,明顯符合“長尾定律”。數量龐大的病毒木馬只感染有限數量的機器,這樣木馬就可以減少被防毒廠商捕獲的機會,延長病毒木馬的生存周期,以圖長期潛伏。
2、病毒木馬作者對抗防毒軟體的情況加劇
一個可以被主流安全軟體檢測到的病毒,不具備商業牟利的基本條件。病毒木馬製作者、傳播者在發布新病毒或對老病毒進行改造之前,會針對各種主流安全軟體最新版本對病毒木馬進行免殺處理,保證新版病毒不被最新安全軟體檢測到。他們可以付出一定代價的“服務”成本,以求和“客戶”(病毒木馬買家)保持長久的合作關係。
3、傳統的病毒識別方法決定了“漏殺”現象必然存在
傳統的病毒識別方法是只在電腦上檢查病毒檔案,而病毒檔案的數量集到或識別出所有病毒卻在每天以萬種的速度遞增,黑檔案不斷增加,沒有哪個防毒廠商能將所有病毒樣本收集完。
4、傳統安全軟體的更新周期過長
傳統安全軟體通常是以小時為單位更新,客戶端必須下載最新的病毒庫才能防禦最新病毒,而將新病毒特徵庫分發到數以千萬計的最終用戶需要消耗相當長的時間。而某一種病毒木馬的更新代價卻要小得多。比如,那些釋放後門程式的黑客只需要一條命令就可以讓客戶端瞬間更新版本,需要的頻寬也遠小於防毒軟體。
減輕或解決漏殺帶來的風險是可以做到的,近年來國家制定或修訂了有關法律法規,嚴重打擊了破壞計算機網路的電子犯罪行為。安全廠商也再不斷進行技術創新,以應對網際網路帶來的挑戰。
解決思路:雲安全、虛擬機技術
分析漏殺產生的根源,是傳統防毒軟體技術已經無法適應計算機病毒木馬的快速增長,需要從技術理念、查殺方法上進行根本的革新。
傳統的病毒識別方法是只檢測“黑”檔案(病毒檔案),而“黑”檔案的數量卻是日新增數萬種,安全軟體永遠沒有能力收集完所有的病毒檔案。這一點,從各廠商每年公布的病毒統計報告就可以看出,沒有任何兩個廠商收集的病毒數量完全一致。
未來防毒軟體將無法有效地處理日益增多的惡意程式。來自網際網路的主要威脅正在由電腦病毒轉向惡意程式及木馬,在這樣的情況下,採用的特徵庫判別法顯然已經過時。雲安全技術套用後,識別和查殺病毒不再僅僅依靠本地硬碟中的病毒庫,而是依靠龐大的網路服務,實時進行採集、分析以及處理。整個網際網路就是一個巨大的“防毒軟體”,參與者越多,每個參與者就越安全,整個網際網路就會更安全。
虛擬機人工智慧引擎,它採用人工智慧算法,具備“自學習、自進化”能力,無需頻繁升級特徵庫,就能免疫大部分的加殼和變種病毒,不但查殺能力領先,而且從根本上攻克了前兩代防毒引擎“不升級病毒庫就殺不了新病毒”的技術難題,在全球範圍內屬於首創。