杜振华:病毒防治产品标准化工作的实践与思考

摘要:病毒防治产品是目前装机量最大和发展历史最长的网络安全产品之一,历史超过20年。成熟度是很高,但同时由于其产品历史较长,经历的发展变化周期也长,从而衍生出较多的产品形态,给标准化带来一定困难。杜振华主要结合《病毒防治产品安全技术要求和测试评价方法》国家标准的起草过程来分享标准化工作中的实践经验以及对今后病毒防治产品标准化思路的思考。

杜振华

杜振华    国家计算机病毒应急处理中心研发部负责人

讲讲病毒和病毒防治的背景,病毒问题比较早,第一个被大家所认知的就是1981年,过去37年了,Apple Ⅱ平台上爆发的恶意代码,当时没有引起太广泛的关注,但是引起安全人员从业者专家的关注,著名的Fred Cohen先生在他导师的指导下提出“计算机病毒”的说法,1987年成型的理论出来了就是《计算机病毒》的论文提出了“计算机病毒”的概念,没有一种检测算法可以完美的发现所有病毒。大家以前说他是计算机病毒之父,提出了“计算机病毒”的概念,这个说法有些同行记得不是很清楚了,但是现在我们把这句话拿出来大家可以体会一下它仍然是有很强的指导意义的。我们现在说AI与终端安全,AI技术也在应用于我们反病毒行业,但并不是悲观,确实即使应用了AI,可能很多的病毒检测的问题并不能完美地解决,我想目前还是适用的。

病毒的概念方面也有一个非常有意思的现象,Fred Cohen先生刚提出计算机病毒的概念,他比较了计算机病毒和生物病毒的异同,可能当时他认为病毒是感染程序的,插入到程序的恶意代码,有自我腐殖型,跟生物病毒有很强的相似性。随着现在的发展,大家会觉得计算机病毒的概念两种不同的观点,一种观点就是Fred Cohen先生提出的是狭义的计算机病毒的概念,我们可以把病毒概念外延再扩大化。这里面有一个关键的信息就是宿主的问题,脱离了宿主是无法自己运行,这个宿主的范围多大,原来说的是一个程序,现在是不是扩大到一个信息系统,如果扩大到信息系统可以说广义的病毒是不是现在仍然适用,这种大家有一种观点是说这个病毒的概念还是可以继续用的。还有一种病毒的概念狭义的病毒已经过去了,现在我们需要一个新的概念来诠释现在这些恶意的程序。现在大家仍然有争议,这也影响了我们后面要说的病毒产品标准化的问题。我们做标准化的时候会有一个很尴尬的问题,可能有专家会提出你这个病毒是狭义的病毒,你反木马,反病毒软件是不是不是你的范围。病毒防治产品防护的对象早已超过了狭义病毒的概念,我们还不能以字面的意思理解产品,因为最简单的一个例子防火墙也不是防火的,病毒防治叫病毒防治产品,它防护的对象早已超出了狭义的病毒概念。

Big Bang,大报找一样早期造成比较大影响的病毒,让无论是从业者也好,广大群众也好,来了解到病毒的影响,史前重大病毒事件,Brain、Stoned、Cascade,非常有意思的是Brain这是唯一的一个把自己联系方式留下,因为这是巴基斯坦的一个兄弟本来开发了一个商用的软件,但是总是被盗版,他在里面加入一些报复性的程序,谁用了这个盗版的计算机被感染就不能使用了。当时他留下了联系方式,你应该联系我买一个正版的软件。很长一段时间认为这是很奇怪的,唯一留下联系方式的病毒,但是现在来看我们可以把它认为这是可能第一个勒索病毒,勒索病毒大家的认识很多了,勒索病毒留下联系方式,受害者需要联系他支付赎金,获得解密的东西。所以,最后回过头来看Brain也许是第一个勒索病毒。

为什么说终端安全病毒防护真的很贴切?因为出现病毒问题的时候可能还没有网络,所以,真的就是一个终端安全问题。随着网络的出现,病毒自然是不会放过渠道。80年代末90年代初的时候Morris Worm,实际有一个很有意思的现象,在蠕虫这块每十年左右就会出现一个影响力比较大的蠕虫的事件,后来提醒大家我们的病毒仍然是很有影响力很有杀伤力的,有的时候会被反病毒行业任命是救命的稻草。最早1988年,上世纪80年代末到90年代初的时候,90年代末跨世纪的时候有红色代码,20世纪初的时候Blaster Worm,包括一系列的。在21世纪的第一个十年的末期,2007、2008、2009年很著名的几个蠕虫的问题,国内的熊猫烧香,国际上的费克。再过十年比如2007年2017年,大家当时觉得×就是一个勒索病毒,实际上你真正深入地了解的话,它也是蠕虫的问题。MMS170,谁还记得08067年?现在来说,我们业内做过一些了解,现在感染量还更大。也是一个很有意思的现象,每十年左右会有一个事件出来。

我们受公安部的委托,计算机病毒防治产品检验中心90年代就受公安部委托承担大陆地区的病毒防治产品的检验工作,我们有幸经历了产品比较完整的发展历史,我们会看到一些很有意思的产品,当时的产品,江民的小青蛙,瑞星的狮子,我们专门做了一个留档,有领导参观或者朋友来参观的时候看看非常有意思,各种形态,3寸盘、5寸盘,这些都是很有意思的东西。

有些外国友人对这些东西非常感兴趣,看到我们有这么多藏品,他们觉得我们要给你们提供一些藏品,给我们一些他们早期的防毒卡的产品或者病毒的样本。

现在在反病毒行业留下自己痕迹的企业超过110家,虽然整体的不是很多,但是反病毒行业也是一个不小的规模。我们下面提到病毒防治产品的标准化绕不开的病毒防治产品的类型做一个分析,这往往是一个比较难的事情,虽然比较成熟,三十多年,但是这个类型似乎也不是那么好分的。我们一种分法我们现在按照产品形态,产品环境,主机型我们接触最多,我们都是PC的服务器上。移动终端能力特别强,也具备很强的运算能力,也可以算主机版的和家用的,网络版的企业里也很广泛。网络型的部署在网络侧,在网络上做病毒检测的防病毒网关、VDS。还有嵌入型,有的你感受不到,你享受一些服务或者网购的时候金融支付的插件,它在启动之后先做一些病毒扫描,但是这个病毒扫描后面我会说,它是有一定条件的,检测的对象能力范围可能会有一些差异。还有一个很重要的嵌入型就是虚拟化。现在很多不带防毒软件的虚拟化平台跟虚拟化平台双系统能够很紧密地结合在一起。

还有一种分法,按照检测对象。有一些传统的防病毒产品全家族的,比较全的卡巴斯基,传统的厂商包括国内的瑞星,这种专业公司认为病毒的,当然广义的病毒,所有的恶意软件类型都可以作为一个专业防病毒产品能够支持。但是部分家族也会有很多产品出现木马专杀、蠕虫专杀,甚至单独的一个家族里的专杀,这些也算病毒化产品,只能部分杀毒的这种。

还有全功能和部分功能,所有能够使用的技术运用到病毒防治产品,还有新兴的病毒防治产品的厂家由于没有积累,它需要做一些差异化的,它就会提出一些包括现在人工智能的技术,提出一些他自己独到的,由于他的技术有一定的局限性,可能传统的病毒防治产品的功能他可能不具备。

有了大概的产品类型的规划之后,我们做一些实践。在这个实践之前对国内外的产品标准化工作做一些了解。其实从国外来进,无论国内还是国外,标准化工作一般推动都是由测评机构推动,国外的像AV、西海岸等,一开始这些独立的测评机构做测评的过程中就会提出一些测评的方法,逐渐自己形成规范了。但是发现各家的差异比较大,大家其实有体会,经常也会对比每一个测评组织产品各方面不一样,互相之间有时候还会打架,其他的测评标准有问题。结果很长的一段时间都没有一个大家统一的认识,直到后来出现amtso组织。有了这么一个组织大家坐下来讨论是不是能出一个行业比较认可的一套病毒防治产品的标准。这是amtso最新发布的文档。这些可以反映出这个病毒防治产品由于发展这么多年,大家各自的思路,各自的想法真的有很大的差异,想要形成一个大家共同认可的一套标准有很大难度。更多的是大家形成一个共识,相对顶层一点的,有基本的大家的认同。

国内方面病毒防治产品我们病毒中心全权负责。所以,推动的工作主要是我们中心和相关的病毒产品检验中心承担。最早的也是测评的一个标准,行业标准计算机病毒防治产品检验,这是2000年发布,到现在也有18年了,很早,这些年我们自己测评过程中或多或少有一些不适用的地方,很多情况下它还是能适应现在的变化。确实网络安全法的要求,进一步国家标准化,提高标准要求能力来适应信息安全保护的要求,也确实需要 对这个标准进行研究,然后出台更加符合现在需要的要求更高的国家标准。

所以,我们在这个背景下2014年就立项了防病毒网关的标准。当时的规划,在这之前我们申报立项病毒防治产品,当时我们想申报主机型,但是专家讨论还是被拿掉了,我们当时想按照主机型、网络型、嵌入型规划,但是可能病毒防治产品的品类比较小。给病毒标准的起草带来了很大的挑战。还算有幸,2014年立项防病毒网关的标准,现在已经发布了。这个成了国内第一部病毒防治产品。

病毒防治产品功能要求、性能要求、保障要求。功能要求分基本核增强,它产品比较具体,里面包含的功能和指标都能够跟具体产品有一个比较强的对应。所以,防护功能静态传输的时候要有相应的能力,响应就是相应的检测、阻断、隔离,网络型的产品应该具备相应的处理能力。在防护能力增强增加一些动态的病毒防护,在病毒爆发的时候防病毒网关也要有相应的检测处理能力,包括多种类型场景支持,协议方面也是要尽量的多一些。

性能要求方面这是以前很难做的事情,这次还是力推把他加上,目前来说1G的带宽下,HTTP协议,病毒防治产品性能测试是一个难点。

日志、失效保护。

后面很难做的病毒防治产品测试平台方法,2013年立项,现在终于进入报批阶段,中间的过程很曲折,一开始做,中间调整,后来尽量覆盖所有产品类型的情况。这里面就有挑战,部署环境多样性及产品类型多样性,这是广度上。深度上检测范围多样性,检测范围包括你的磁盘,还是内存。这也跟他能够访问的权限,我们这个操作系统能够允许这个产品,有的操作系统对病毒防治产品是友好的,Linux,有很多的移动终端的操作系统就比较苛刻,无论是安卓还是iOS防病毒产品功能在上面都受到很大的限制。检测对象多样性,检测方式多样性和处理方式多样性,还有自身安全性。最后我们提出指标它的可测评性,如果我们提出一个指标没有测评的方法,这个也很难做,尤其对我们测评机构可能会更难以实施。

所以,这种背景下我们还是提出了,对我们没有性能要求,涉及到这么多类型的防病毒产品,去统一一个性能要求真的是非常难的事情。我们做过努力,但是目前难以达成很强的共识。

我们月到最早的病毒概念我们没有直接用病毒,用“恶意软件”来说明病毒防护产品。运行环境概述主机型、网络型、嵌入型,工作模式检测模式和防护模式。用户需要检测报告并不需要做任何操作这个可能有它一定的道理。防护模式不仅检测,我们还要做相应的处理。

我们在术语里用了我们现在常见的一些病毒的家族我们做了一个说明,公布的时候大家可以看到做了一个参考。

测评的方法级别还是要明确一下,基础级我们认为它具备部分病毒家族类型,部分病毒传播媒介,以及将病毒防护功能作为其部分功能的产品,对间适用于网络安全等级保护的第二级及以下系统。增强级是专业的,把病毒防护功能作为其全部或主要功能的产品,检测范围或者能力上有一个比较高的要求。

网络安全保护的标准要求得并不是很多,但是很多问题还是能够影响系统安全的病毒仍然是一个比较大的问题。所以,病毒防护产品是解决这个问题最直接的措施。

功能要求方面通过多样化的设计,12个,病毒检测、未知病毒检测、病毒处理、策略自定义、隔离区管理、样本提交、逃避检测防护、告警信息、日志、升级更新、统一管理、异常文件处理等。时间关系不一一介绍了。增强级会有相应的提高。

安全要求也是以前没提出来,病毒防治产品也是信息技术产品,信息技术产品会遇到自身的问题,我们想在这个标准里提出来相应的提醒,厂家要注意这些问题。系统服务、组件认证调用,病毒防治产品的组件跟主程序专家没有做好被恶意程序利用了这个问题就很严重了,包括自保护,病毒防治产品也很尴尬,装在终端上面临的安全防护环境很恶劣,原来病毒往往采用躲避的策略,后来发现老是躲不是问题,它开始主动地干扰甚至破坏病毒防治产品的功能,所以,它的自我保护的能力也应该有一个基本的具备。不可能用户第三方程序随便把它终止这是很危险的。安全保密传输,在云查的时候,云安全的技术应用很广,他如果中间保护得不好,一方面可能造成信息泄露,一方面被恶意者利用来干扰正常工作。

测评方面病毒样本库是一个非常重要的工具。围绕这个问题有很多的争议,我们这次给一些建议,作为测评有一些样本库有一些条件。

最后讲一下下一步工作的思考。按照标准化工作的原则,产品的标准可能会越来越严,因为产品的标准产品非常多,形态非常多,中间有交叉。我们想下一步是不是把产品的技术标准能够往这方面转,技术方面防治技术、特征码检测技术,原来很多厂商都有自己的特点,国际上接收度很高的通用特征码检测框架出来可能有一些松动,有可能做一些可行性的研究,特征码检测大家可以形成一些共识。包括主动防御,包括云技术,包括沙箱现在也有一些通用化的趋势,这是一方面。

测评技术方面包括样本库,样本库的样本怎么筛选,哪些样本能够更好地测评出我们产品的能力,这也是一个课题,包括未知威胁测评。什么是未知威胁,我们用什么方式表示未知威胁,原来尤为知病毒测试,写出一个病毒是违法的,这是有很大法律风险的,不好界定。我们用什么方式更好地进行未知威胁的测评。性能测试也是,刚才也提到了,各种不同平台下受到终端环境的影响也是非常复杂的,他做性能测评怎么做。

个人信息保护,国家标准的要求,在终端上要搜集很多信息,这些信息是不是符合相应的标准和规定也是下一步工作要讨论的一个方向。

上一篇:谢超首:以未知对未知:智能安全的自我进化

下一篇:罗元海:移动终端AI在反病毒领域的应用