网络安全市场呈现两大门派：重查杀 还是重防御？

network

网络安全市场呈现两大门派：重查杀 还是重防御？

　　国家计算机网络应急技术处理协调中心刚刚发布的数据显示，2007年度，网络仿冒、网页恶意代码、网站篡改等增长速度接近200%，木马主机的增长率为2125%。

　　面对网络木马呈现几何数增长，国内网络安全机构的网络安全维护手段，也从倚重“特征码”查杀，开始向主动防御扩展。然而，在到底是主要依靠查杀，还是主要依靠防御的技术策略选择上，市场江湖已经出现了两大门派。

　　黑色暴利诱发木马成灾

　　来自国家计算机网络应急技术处理协调中心的统计，整个木马黑色产业链条的年产值已超2亿元人民币，每年造成的损失达76亿元。

　　“这是个比房地产来钱还快的暴利产业！”风靡一时的“熊猫烧香”病毒的贩卖者王磊落网时如此感慨。此语道破了近年来木马大肆繁殖的奥妙所在。同时据了解，“熊猫烧香”的程序设计者李俊，每天入账收入近1万元，被警方抓获后，承认自己已经获利上千万元。

　　据悉，木马是一种由攻击者秘密安装在计算机上的窃听及控制程序，它可以盗取账号、密码，从而窃取用户的财产或虚拟财产。

　　实际上，与“熊猫烧香”仅两个月内就使上百万个人用户、网吧及企业局域网用户遭受感染和破坏相比，木马“灰鸽子”的业绩显得更加“辉煌”。灰鸽子2001年问世，随着“灰鸽子2007” 2007年3月集中爆发，初步统计，其直接售卖价值就达2000万元以上。

　　“木马已经形成了完整的产业链，就像一瓶饮料，从原材料的生产、采购到成品的制作包装再到售卖一样”，业内人士坦言，“当然，在这个产业链上，每个人的赚钱方式不同。”

　　据介绍，在这个产业链上，制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱，分工明确。木马的制造者作为最初生产者，他会在木马中留有后门，在程序编完后，卖给病毒批发商(多为编写者朋友或QQ好友)，一般的可能卖几千块钱，功能强大的可能卖到几十万，甚至上百万；批发商提高价格卖给病毒零售商(网站站长或QQ群主)，零售商们往往以“大虾”的形象出现，招募“徒弟”，教授木马病毒控制技术和盗号技术，收取“培训费”，接着将一部分“徒弟”发展为下线，专职入侵电脑盗号或窃取他人信息；被木马侵入的最底层电脑被称为“肉鸡”，这些电脑中的个人信息、账号、游戏装备、私人照片、私人视频等被专职盗号的黑客盗取后，就会在网上的正规交易网站正常交易。当然，黑客也可以将“肉鸡”倒卖给插件广告商，被控制电脑被随意投放广告，或者干脆控制电脑点击某网站广告，一举一动都能被监视。

　　一般来说，一个可以被控制的电脑被叫做“肉鸡”。能够使用几天的“肉鸡”可以卖到5毛到1元一只；如果可以使用半个月以上，则可卖到几十元一只。按一个普通操控者一个月抓10万台“肉鸡”计算，一个月就能轻松赚取至少1万元，这还不包括窃取“肉鸡”电脑上的QQ号、游戏币、银行账号等进行交易所获得的收入。

　　据国家计算机网络应急技术处理协调中心观察，近来木马对医药行业和游戏行业进行攻击十分普遍，甚至形成了互联网企业只有交“保护费”才能免遭攻击的局面。木马集团对走上信息化道路但自身防范力量比较弱的中小企业进行攻击，致使企业网站瘫痪，一些中小企业不得不交“保护费”保证网络正常运营。

　　据悉，2007年5月，某游戏网遭到长达10天的网络攻击，服务器全面瘫痪，其经营的网络游戏被迫停止，损失高达3460万元人民币。江西查处的一起网络敲诈勒索案件，犯罪嫌疑人周明通过攻击一些游戏私服网站收取“保护费”，仅两个月就非法获利1200多万元。

　　制裁不力导致危害不断

　　“木马技术的低门槛，也成为木马大量繁殖的重要原因”，业内人士说，“木马制作软件在网上公开叫卖，任何人花几十块钱都可制作木马。但处理攻击、防御攻击的代价却很高。”

　　据了解，国内现有法律法规对网络安全犯罪缺少具体司法解释，缺少具体定罪量刑标准。另外，由于网络犯罪链条大多是跨地域的，网上打击犯罪经常遭遇管辖权困境。

　　“病毒软件只是一种计算机程序，单看在每一环节都不违法，但是如果应用到窃取账号等行为时，就违法并危害了网络安全，但很难查处。” 国家计算机网络应急技术处理协调中心副主任、中国互联网协会秘书长黄澄清此前在媒体上公开坦言。

　　据了解，目前的《计算机信息网络国际联网安全保护管理办法》中规定制造和传播病毒是违法的，但是对于木马、黑客程序等并没有清晰的界定，这也是灰鸽等木马程序制造者敢于利用网络公开叫卖的根本原因。

　　此外，目前在打击新形式犯罪中还存在着立案难、取证难、定罪难等难题。比如，QQ号、QQ币、游戏币等虚拟资产在现实中难以认定价值，定盗窃罪没有依据。受害者有权利提起民事诉讼请求，但操作上还是有些困难，包括搜集证据、赔偿的标准和计算方法，目前我国立法上缺少统一的规定。

　　安全措施开始双管齐下

　　“木马的逐渐繁衍至大规模爆发，其主要特征体现在木马的加壳（变种）增多增速上。”一位业内人士告诉记者，相应的，国内网络安全厂商对待木马的办法，也逐渐由单纯的使用特征码查杀，变为逐步加入主动防御手段。

　　据了解，通俗的讲，特征码类似于人的指纹，人的外形可以不断变化，但指纹是改变不了的。曾经的CH病毒有上万个根子，但通过加一段相应的特征码，都能有效辨认并准确查杀。“以前的变形叫自动化变形，虽然在不同计算机上表现形式各异，但总有规律可循，总有‘指纹’可取，这是特征码查杀能够大展宏图的地方。因为这些病毒是程序自动编写的，它不可能变得自己都不认识自己。”业内专家介绍道。据悉，特征码到今天还是普遍应用的查杀方法。

　　主动防御方面，以瑞星为例，“瑞星在其2001版杀毒软件产品（2000年发布）中就有类似主动防御概念的技术应用。那时的主动防御就是针对注册表监控。把一些重要的键值保护起来，让病毒无法修改”，瑞星反病毒工程师王占涛介绍，“从注册表的监控，到系统资源的监控，比如说防止病毒修改内存、调用系统核心等，这些主动防御技术在瑞星03、04版时就已经慢慢加入。”

　　“在木马者眼里，互联网上的每台电脑都是不设防状态。传统的杀毒软件是病毒来了，我就将你赶出去，这叫不设防。不设防是不行的，所以我觉得主动防御很必要。就像一个小区，所有的门都是开着的，强盗岂不是很好偷，而且强盗也会蜂拥而至。即使你调动很多片警，调用很多警力进行侦破，但毕竟人力有限，财务有限，时间有限，财产已经损失了嘛。”业内人士同时谈道。

　　“但是，木马早已慢慢由自动化变形进化到人工化变形，没有核心是不变的。外形不断变，甚至‘指纹’都可以变”，业内人士说，“任何人去下载一个木马制作程序，随便点几下，一个木马就形成了。所以木马每年成倍增长，以致泛滥。发展到今天，每天可能产生成千上万个变种木马。例如近来流行的机器狗第三代，它每天保持一个更新，等它真正擅布到用户中，杀毒软件把它拿到，然后进行样本分析，再测试等程序走完，刚杀掉新变种，它可能又更新成其他形式了。”

　　渐渐地，国内传统的主流杀毒厂商在不断升级杀毒技术，加大木马病毒样本库建立的同时，也对主动防御逐步重视起来。瑞星有卡卡安全上网助手、金山毒霸有互联网安全认证平台……同时，于2006年为消灭流氓软件诞生的奇虎360安全卫士，也在2007年将对抗木马作为自己新的重心。并多次宣称，主动防御是未来安全市场的重头。

　　近日，360安全卫士发布了“安全浏览器”。据介绍，目前近80%的盗号木马、病毒、恶意代码都是通过网页传播并感染用户电脑的，浏览器作为广大网民上网冲浪的“大门”，早已经成为多数恶意程序的“必争之地”，如果能有一个“门神”进行把关，将收到“一夫当官，万夫莫开”的效果，而360安全浏览器即是基于这一个理念而研发的，其中采用了“沙箱”（sandbox）技术，能在用户电脑中构造一个独立的X86虚拟空间，所有的网页程序都将被限制在这一密闭的空间中运行，不会对真实的电脑系统产生任何影响。

　　业内相关人士预计，360安全浏览器的推出，有可能使网络安全行业现状发生极大改变。

　　制裁不力导致危害不断

　　“木马技术的低门槛，也成为木马大量繁殖的重要原因”，业内人士说，“木马制作软件在网上公开叫卖，任何人花几十块钱都可制作木马。但处理攻击、防御攻击的代价却很高。”

　　据了解，国内现有法律法规对网络安全犯罪缺少具体司法解释，缺少具体定罪量刑标准。另外，由于网络犯罪链条大多是跨地域的，网上打击犯罪经常遭遇管辖权困境。

　　“病毒软件只是一种计算机程序，单看在每一环节都不违法，但是如果应用到窃取账号等行为时，就违法并危害了网络安全，但很难查处。” 国家计算机网络应急技术处理协调中心副主任、中国互联网协会秘书长黄澄清此前在媒体上公开坦言。

　　据了解，目前的《计算机信息网络国际联网安全保护管理办法》中规定制造和传播病毒是违法的，但是对于木马、黑客程序等并没有清晰的界定，这也是灰鸽等木马程序制造者敢于利用网络公开叫卖的根本原因。

　　此外，目前在打击新形式犯罪中还存在着立案难、取证难、定罪难等难题。比如，QQ号、QQ币、游戏币等虚拟资产在现实中难以认定价值，定盗窃罪没有依据。受害者有权利提起民事诉讼请求，但操作上还是有些困难，包括搜集证据、赔偿的标准和计算方法，目前我国立法上缺少统一的规定。

　　安全措施开始双管齐下

　　“木马的逐渐繁衍至大规模爆发，其主要特征体现在木马的加壳（变种）增多增速上。”一位业内人士告诉记者，相应的，国内网络安全厂商对待木马的办法，也逐渐由单纯的使用特征码查杀，变为逐步加入主动防御手段。

　　据了解，通俗的讲，特征码类似于人的指纹，人的外形可以不断变化，但指纹是改变不了的。曾经的CH病毒有上万个根子，但通过加一段相应的特征码，都能有效辨认并准确查杀。“以前的变形叫自动化变形，虽然在不同计算机上表现形式各异，但总有规律可循，总有‘指纹’可取，这是特征码查杀能够大展宏图的地方。因为这些病毒是程序自动编写的，它不可能变得自己都不认识自己。”业内专家介绍道。据悉，特征码到今天还是普遍应用的查杀方法。

　　主动防御方面，以瑞星为例，“瑞星在其2001版杀毒软件产品（2000年发布）中就有类似主动防御概念的技术应用。那时的主动防御就是针对注册表监控。把一些重要的键值保护起来，让病毒无法修改”，瑞星反病毒工程师王占涛介绍，“从注册表的监控，到系统资源的监控，比如说防止病毒修改内存、调用系统核心等，这些主动防御技术在瑞星03、04版时就已经慢慢加入。”

　　“在木马者眼里，互联网上的每台电脑都是不设防状态。传统的杀毒软件是病毒来了，我就将你赶出去，这叫不设防。不设防是不行的，所以我觉得主动防御很必要。就像一个小区，所有的门都是开着的，强盗岂不是很好偷，而且强盗也会蜂拥而至。即使你调动很多片警，调用很多警力进行侦破，但毕竟人力有限，财务有限，时间有限，财产已经损失了嘛。”业内人士同时谈道。

　　“但是，木马早已慢慢由自动化变形进化到人工化变形，没有核心是不变的。外形不断变，甚至‘指纹’都可以变”，业内人士说，“任何人去下载一个木马制作程序，随便点几下，一个木马就形成了。所以木马每年成倍增长，以致泛滥。发展到今天，每天可能产生成千上万个变种木马。例如近来流行的机器狗第三代，它每天保持一个更新，等它真正擅布到用户中，杀毒软件把它拿到，然后进行样本分析，再测试等程序走完，刚杀掉新变种，它可能又更新成其他形式了。”

　　渐渐地，国内传统的主流杀毒厂商在不断升级杀毒技术，加大木马病毒样本库建立的同时，也对主动防御逐步重视起来。瑞星有卡卡安全上网助手、金山毒霸有互联网安全认证平台……同时，于2006年为消灭流氓软件诞生的奇虎360安全卫士，也在2007年将对抗木马作为自己新的重心。并多次宣称，主动防御是未来安全市场的重头。

　　近日，360安全卫士发布了“安全浏览器”。据介绍，目前近80%的盗号木马、病毒、恶意代码都是通过网页传播并感染用户电脑的，浏览器作为广大网民上网冲浪的“大门”，早已经成为多数恶意程序的“必争之地”，如果能有一个“门神”进行把关，将收到“一夫当官，万夫莫开”的效果，而360安全浏览器即是基于这一个理念而研发的，其中采用了“沙箱”（sandbox）技术，能在用户电脑中构造一个独立的X86虚拟空间，所有的网页程序都将被限制在这一密闭的空间中运行，不会对真实的电脑系统产生任何影响。

　　业内相关人士预计，360安全浏览器的推出，有可能使网络安全行业现状发生极大改变。

evilrose2008

我忘记了酒曲哪年哪月的哪一天 我在二手激光打印机哪面墙上刻下了一张脸　，一张伟哥微笑着，忧伤着，望着我的生料酒曲，那些刻在椅背后的爱情　　会不会像水泥地上的花朵　开出地老天荒的　没有风的森林