传统反病毒技术力有不逮 行为识别成趋势

　随着像PDA以及智能手机之类网络电子产品的普及，今后的反病毒技术将从现有的基于签名的技术，转向下一代基于行为的策略。

　　“安全的需求已不仅仅局限于PC了，”Yankee Group的分析师Jonathan Singer写道，“像智能手机与PDA之类的移动设备通常用于商业目的，但是却毫无安全防范措施，对恶性代码而言是门户大开。”

　　早期的黑客只是利用这些设备作为网络入口，他们更多的是通过电子邮件传播病毒与蠕虫；但是，随着网络手持设备的兴起，情况发生了改变。黑客们现在直接将目标瞄准了设备本身，而非利用它们作为进入网络的网关，Singer说。

　　随着其他的设备也网络化--比如打印机与复印机，或者IP语音（VoIP）硬件日益普及，它们也成了攻击目标，或者成为新的攻击手段。“这些攻击类型在未来一两年内将变得司空见惯。”Singer说。

　　由于传统的基于签名的技术依赖于数以千计的签名文件，它并不适用于手持设备以及手机有限的内存。为了迎接挑战，安全厂商将转为寻求基于行为的反病毒技术。

　　基于行为的反防毒保护并不依靠一对一的签名校对来实现恶性代码的识别，而是通过检查病毒及蠕虫的共有特征发现可能的恶性软件。采用这一技术的优势在于：在技术可能识别未知的病毒--以抵御“零日”攻击（病毒或蠕虫利用软件某个未知和未修补的漏洞发起攻击）--它的变种非常少；而且占用的空间小。

　　“在未来的2~4年，反病毒软件将由签名识别技术转移到签名与行为识别技术并用的时代。” Singer预言。

　　他还补充说，一些反病毒供应商对这一改变已做好了准备。像F-Secure（最近与芬兰的手机制造商诺基亚合作）和卡巴斯基等公司就针对手机设备生产了基于这一技术的产品，而Eset，卡巴斯基，熊猫，Sana公司则开始为PC提供类似的产品。

　　但是一些大公司则应变不足。“现在市场的领头羊，比如赛门铁克，McAfee必须尽快开发属于自己的相近技术，或者购并某一拥有技术的供应商。”Singer说，“否则有可能失去在市场上领跑的地位。”

　　“对于企业来说，面临的最大问题是基于签名的防御无效的情况，比如说新病毒，蠕虫和特洛依木马。”Singer继续说道，“企业亟需有效地制止零日攻击，而行为识别是首选的解决方案。赛门铁克与McAfee必须拥有这一技术来维护它们的统治地位。”

　　Singer说，企业必须为PDA和智能手机制定策略，网络安全第一，功能应用第二。“告诉每一名雇员，将PDA与一台联网的PC进行同步操作，意味着对网络安全的威胁。”他警告说。

　　而且业务最好也转移到行为保护上。“千万不要购买那些不提供零日威胁保护的软件了。签名仍然非常重要，但是没有行为识别功能的反病毒软件已经过时了。”他说。

　　无论公司规模有多大，都必须做好反病毒的安全保护，既能防范传统的威胁--蠕虫，病毒和特洛依--以及新的恶性攻击，包括了间谍软件和广告软件。

　　“如果你的反病毒程序没能解除上述所有的威胁，那么，快把它扔了吧！换一个！”Singer最后说。