Board logo

标题: 刘旭:主动防御杀毒软件的特征 伪主动防御技术不是用户想要的 [打印本页]
作者: 点饭的百度空间     时间: 2008-12-31 12:57    标题: 刘旭:主动防御杀毒软件的特征 伪主动防御技术不是用户想要的

2008年12月30日21:07        IT频道 > 互联网 > 国内互联网 > 搜狐IT博客训练营 > 最新报道

【搜狐IT消息】12月30日消息,近日,瑞星杀毒软件发表者、前瑞星公司总裁、东方微点创始人兼总裁刘旭做客搜狐IT《博客训练营》,与现场的30余位博客及业内人士分享了其经历1997年亚洲金融风暴和2000年互联网泡沫的经历,此外也对目前的金融危机及杀毒软件产业的发展等发表了自己的看法。



  杀毒软件现在面临着很大的危机,国外有一个公司叫洋基格路普指出,过去采取特征值辨别病毒的杀毒软件,已经没有办法每天出现的病毒。 这也是我们杀毒软件存在的机会。危机来的时候,也有机遇。既然传统的特征码技术已经不适用新型的杀毒要求。我们提出一种观点,叫做主动防御。主动防御是什么东西?我们知道,我们刚才前面讲了,防病毒公司发现一个病毒,提取出来体征。但是我们没有介绍防病毒公司怎么发现病毒?这个问题是值得研究的。防病毒公司的病毒是用户给他提供的。防病毒公司拿到很多可疑程序,要分析哪些是病毒,哪些不是病毒。他要看这些可疑程序到底是不是病毒,以什么方式决定它是不是病毒呢?就是运行,运行一下这个程序到底做了什么东西。我们抓小偷不是靠外形来抓的。是靠行动。同样,杀毒软件公司在分析病毒的时候,他也要靠行为来进行分析。杀毒软件分析病毒,判断一个程序是不是病毒,难不难?我们首先要说不难。防病毒公司的病毒分析能力是防病毒公司里面非常普通的技术。现在有一些防病毒公司说,我们一个病毒分析是每天能够更新五十到六十次。按八个小时来算,每一个小时你分析六七个。每十分钟,你都分析一个,分析病毒的难度并不大。

  既然难度不大,能不能把人工的分析过程自动化、智能化?绝大部分病毒,或者说99%以上的病毒基本上是雷同的,不是自己独创的技术。这个病毒有另外一个 病毒的特点,所以绝大部分病毒跟其他病毒有很多类似的地方。我们将这套东西自动化,把它变成专家系统设计出来。微点防御软件就是采用的这一套,当然首先要监控程序,它起到的结果就是,我相当于把病毒分析程序放到你电脑上,一旦发现病毒,马上就会处理。这个效果是非常明显的。我们现在微点主动防御,经过我们统计,包括我们自己的测试,我们测试过一百多万个病毒,它能够识别病毒,没有任何特征,识别率能够达到99%以上。这一百多万多种病毒,能够逃避它检测的只有不到一百个,是万分之一。效果非常明显。

  它是不是一劳永逸呢?不是。它也需要更新。不是说你按照这个行为就能够防御所有的病毒,这是做不到的。在88年国际上已经证明一个定义,不存在一个 程序能够识别出所有的病毒。但是他没有否定你能够发现尽可能多的病毒。微点防御,你新的行为没有考虑到,你在修正他的逻辑,采用相同技术的编写者都防御。而杀毒软件是一对一的。杀毒软件,我只要来一个新编的,你就发现不了。而现在的主动防御,就有非常强的对抗性。

  举一个例子,防御软件起的效果是什么?大家也知道,06年底,07年初,我们国内也出现了一个很有名的病毒,叫做熊猫烧香,当时熊猫烧香的病毒编写者就是和防病毒公司公开对抗,包括他们中间曾经也有过邮件的来往,他就是公开的挑战。你只要搞清了,他完全防不了。他完全没有防御能力。所以当时这场较量,因为那场病毒的传播能够非常广,病毒编写者老更新他的病毒。但是这场较量什么时候结束的?杀毒软件公司首先是惨败。是这个病毒作者叫李军在湖北被抓了,抓了以后没有人再制造了。说明杀毒技术在这场熊猫烧香病毒,使得杀毒技术彻底的惨败。但是微点是05年研究成功的,如果大家下载05年的微点的主动防御软件,那个时候我们就放在网上测试。05年微点能够防06、07年所有的熊猫烧香病毒。可见它对防范未知病毒的作用非常独特。

  也许现在有人问,这几年杀毒软件都在提主动防御。但是有一些人看了主动防御老问。有人认为主动防御技术需要一定的技术资源,我们觉得这是对主动防御的误解。首先,成熟的主动防御技术作为新一代的防病毒技术,它跟传统的技术特征一样,成熟的主动防御病毒不需要用户参与,它自己判断。它不需要用户参与,就能够准确的、自动的明确的报出是不是病毒。目前国内有一些杀毒软件声称有主动的防御技术,实际上不是真正的主动防御技术。

  有一些杀毒软件,可能大家用过一些其他的杀毒软件,他会报警,有一个程序正在向你的计算机设置程序挂钩,问你是否同意。在我机器里面甚至程序挂钩到底是好的还是坏的?正常程序是不是有程序设置挂钩?正常程序也会设置程序挂钩,病毒也会设置程序挂钩。我用户到底是允许还是不允许?这一类的技术我们认为是主动防御技术的初级阶段。或者说是一个雏形,远远不是我们讲的主动防御。还有一些主动防御的会问,某某程序正在修改你的程序,你知道这个程序到底要不要修改程序?正常程序很多都需要修改程序,你说是允许还是不允许?你把这种似是而非的问题给用户提供。用户买防病毒技术和杀毒软件,我究竟想干吗?我是想把我防病毒的技术交给你,由你来判断。而不是你来问我。我交给你的任务,你再问我,我怎么知道?这种所谓的主动防御技术不是用户想要的。主动防御技术应该是,是病毒你给我报出来。不是病毒你不要告诉我,不要问我。所以我觉得对于用户来说,要的是,我把这种事情交给你,你给我负责这件事情。现在很多市面上很多的主动防御,我们叫伪主动防御。他基本上都是根据一个病毒来做的。比如说我们手举起来,举起来是什么动作?也有可能我拍一下,也有可能举手。我们所说的行为和动作是有差异的。行为是一组动作构成有意义的行为,行为是动作的结合。现在所谓的一些杀毒软件的主动防御是根据一个动作来判断的。一个所谓的动作就是微软提供的一种系统的API,那么所有的API都是可以被正常程序所用,也可以被恶意程序所用。他不存在好与坏。你如果做了一系列动作,他构成了有意义的行为,才能识别得比较准确。现有的杀毒软件基本上是单一的。

  微点主动防御经过了对未知病毒的主动防御。微点主动防御还是国家863项目的重点课题,是国内防病毒项目的唯一的国家863项目。今年是奥运年,奥运会有一个组织,叫做北京奥运会开闭幕式运营中心,也就是张艺谋导演的中心,好几百台机器,这次全部采用微点作为它的防病毒中心。经受了这次重大的考验。这次奥运会彩排的时候被韩国人偷拍了一下引起多大的反响。如果之前他的开闭幕式的方案被公开,影响就更大了。所以奥运会这一次经过多方选择,比较完了以后,选择了微点主动防御产品作为奥运会开闭幕式的保证。他们开闭幕式的运营中心还专门给微点公司发了感谢信。我们网站上有。奥运会的组委会、奥组委给我们公司发了一个感谢信,说我们在奥运会中作出了突出贡献。微点是一个很成熟的技术,05年就出来了。我不知道大家有没有听说,微点主动防御为什么今年才开始出现?大家可以去互联网查一查。因为它被人陷害,导致了产品三年不能上市。目前,它也是国家唯一的一个863计划的防病毒产品。在金融危机来的时候,我们一种方式就是,可以公司裁员,但是我们觉得,你能不能提供给用户非常适合、非常急需的产品,是大家所需要的一个产品。

  如果你能够提供这样一个产品,就会使你在金融危机中能够脱颖而出。因为金融危机来了,市场并没有消失,只是需求减弱了。你如何让你的产品在这个份额里面占得更大。所以我们说,危机来临时,我们更需要技术,化危机为机遇。谢谢大家。

博客训练营的演讲实录

刘旭:科技创新是过冬良策 不看好免费杀毒模式
http://it.sohu.com/20081230/n261506768.shtml

瑞星靠技术创新度过了1997年2000年的金融危机
http://it.sohu.com/20081230/n261506768_1.shtml

目前全球病毒的特征及杀毒软件的缺陷
http://it.sohu.com/20081230/n261506768_2.shtml

主动防御杀毒软件的特征
http://it.sohu.com/20081230/n261506768_3.shtml

手机杀毒会是一个很大的机会
http://it.sohu.com/20081230/n261506768_4.shtml

不看好杀毒软件的免费模式
http://it.sohu.com/20081230/n261506768_5.shtml

提问:微点软件的目前市场占有率是怎样的?
刘旭:现在正在逐步上升。我们现在的微点主动防御软件,有些人知道,有些人不知道。前几年因为被压制,是阻挠科技创新。这个案件马上就要被揭晓。有一些人将会被起诉。微点主动防御软件创了中国的之最。测试版在网上两年多时间。你见过这么长时间的测试软件吗?随着我们加大用户逐步对我们这个产品的了解。包括现在有多少微点的FANS他们,自称为典范,现在逐步的越来越多的对微点产品了解,而且有越来越多的人开始使用微点。包括现在国家的一些部委也因为这个产品的性能非常好,他们也在逐渐的使用。我们微点的产品会逐渐成为杀毒市场的主力产品。我们的目标是三年内成为防病毒市场的老大。

云安全本身是一个概念炒作
http://it.sohu.com/20081230/n261506768_6.shtml

我们的微点主动防御软件,之所以现在今年才上市。就是因为有人造了一个假案,说我们公司传播病毒。不让我们公司的产品上市销售。这完全是假案,很快就要公开了。大家也可以察看一下相关的报道。实际上就是国内的防病毒公司和国家的执法机构联合起来。他们担心我们的产品上市,他怕我们这个产品彻底改变杀毒市场的格局,所以不惜巨额贿赂有关部门。导致我们的产品,他以为造一个案件,我们知道防病毒产品是国家财政销售许可证制度,就需要产品通过检测。造了一个假,再给检测机构,中国防病毒产品的检测机构只有一家。他就给这家检测机构发一个函,说你这个公司传播病毒。涉及刑事案件,产品不能检测。所以导致了我们的产品将近三年没有上市。所以我可以回答你这个问题,如果哪一个防病毒公司造病毒、传播病毒,他很可能面临刑事诉讼,而不是公司能不能发展。但是有没有是介于灰色地带?有。流氓软件也是属于灰色地带。流氓软件有很多都是正式公司编写的。他是病毒和正常程序之间的灰色地带。很多防病毒公司也把流氓软件当做病毒来杀,它到底是不是病毒?你也可以把它当做病毒。我们也看,防病毒公司和流氓软件、恶意软件的公司也打官司。有胜有败。

  主持人:由于时间关系,今天的博客训练营到此结束。感谢刘总。
作者: 点饭的百度空间     时间: 2008-12-31 13:01
微点是主动防御软件 不是杀毒软件 也不是草木皆兵的“狼式主动防御”

别了,卡巴斯基!


  曾经很激动,用上了世界一流的杀毒软件“卡巴斯基”。

  结果发现,这家伙从早到晚都在报警!难道保安好,贼也多了?才明白,敢情这家伙善于草木皆兵。

  “皆”到不胜其扰的地步。狼来了,还没到真来的时候,不用狼吃,俺早已烦死了。

  另一烦是,老少咸宜的“龙之崛起”游戏玩不了,放到“卡巴”的信任区域还是不行,死活不行。

  用不起,还躲不起,闪。还是用老相好,“瑞星”吧。虽然“瑞星”一年到头报不了几次警,也不致经常中毒。宁愿偶尔因中毒死机而重装系统,也不愿时时刻刻手工关闭“卡巴”那些频繁弹出的提示窗口。

  尽管“卡巴”如何牛、超级牛,实在是受不了的牛。别了,卡巴斯牛!

  写完一琢磨,嗨,这中文名字译得也不对劲:“磕巴死机”,又是不顺溜,又是死机,都与电脑相关,不知道高人们咋就直译得恁别扭。
作者: dnos     时间: 2008-12-31 13:20
希望微点能在主动防御这条路上走得更远!
作者: 拳皇2001     时间: 2008-12-31 14:43
枪手当成你这样,挺无奈的。
作者: 251890882     时间: 2009-1-2 16:29
也许现在有人问,这几年杀毒软件都在提主动防御。但是有一些人看了主动防御老问。有人认为主动防御技术需要一定的技术资源,我们觉得这是对主动防御的误解。首先,成熟的主动防御技术作为新一代的防病毒技术,它跟传统的技术特征一样,成熟的主动防御病毒不需要用户参与,它自己判断。它不需要用户参与,就能够准确的、自动的明确的报出是不是病毒。目前国内有一些杀毒软件声称有主动的防御技术,实际上不是真正的主动防御技术。

  有一些杀毒软件,可能大家用过一些其他的杀毒软件,他会报警,有一个程序正在向你的计算机设置程序挂钩,问你是否同意。在我机器里面甚至程序挂钩到底是好的还是坏的?正常程序是不是有程序设置挂钩?正常程序也会设置程序挂钩,病毒也会设置程序挂钩。我用户到底是允许还是不允许?这一类的技术我们认为是主动防御技术的初级阶段。或者说是一个雏形,远远不是我们讲的主动防御。还有一些主动防御的会问,某某程序正在修改你的程序,你知道这个程序到底要不要修改程序?正常程序很多都需要修改程序,你说是允许还是不允许?你把这种似是而非的问题给用户提供。用户买防病毒技术和杀毒软件,我究竟想干吗?我是想把我防病毒的技术交给你,由你来判断。而不是你来问我。我交给你的任务,你再问我,我怎么知道?这种所谓的主动防御技术不是用户想要的。主动防御技术应该是,是病毒你给我报出来。不是病毒你不要告诉我,不要问我。所以我觉得对于用户来说,要的是,我把这种事情交给你,你给我负责这件事情。现在很多市面上很多的主动防御,我们叫伪主动防御。他基本上都是根据一个病毒来做的。比如说我们手举起来,举起来是什么动作?也有可能我拍一下,也有可能举手。我们所说的行为和动作是有差异的。行为是一组动作构成有意义的行为,行为是动作的结合。现在所谓的一些杀毒软件的主动防御是根据一个动作来判断的。一个所谓的动作就是微软提供的一种系统的API,那么所有的API都是可以被正常程序所用,也可以被恶意程序所用。他不存在好与坏。你如果做了一系列动作,他构成了有意义的行为,才能识别得比较准确。现有的杀毒软件基本上是单一的。


这段话是我喜欢的,某些厂商把HIPS宣传成了主动防御
作者: qbnnq1000     时间: 2009-1-5 08:14
什么才是真正的主动防御还没有一个被认可的定义,公说公有理,婆说婆有理。我个人认为到现在为止,世界上还没有一个杀软件是真正的主动防御,微点顶多也只是一个准主动防御。
作者: hanker     时间: 2009-1-5 09:17


  Quote:
Originally posted by 拳皇2001 at 2008-12-31 14:43:
枪手当成你这样,挺无奈的。

我可以肯定的说,楼主不是枪手,呵呵

我知道他是谁  :D:D:D:D
作者: xxooxx     时间: 2009-1-10 15:48


  Quote:
Originally posted by hanker at 2009-1-5 09:17:



我可以肯定的说,楼主不是枪手,呵呵

我知道他是谁  :D:D:D:D

他是谁啊?



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn