杜振華:病毒防治產品標準化工作的實踐與思考
責編:gltian |2018-06-20 15:01:02摘要:病毒防治產品是目前裝機量最大和發展歷史最長的網絡安全產品之一,歷史超過20年。成熟度是很高,但同時由于其產品歷史較長,經歷的發展變化周期也長,從而衍生出較多的產品形態,給標準化帶來一定困難。杜振華主要結合《病毒防治產品安全技術要求和測試評價方法》國家標準的起草過程來分享標準化工作中的實踐經驗以及對今后病毒防治產品標準化思路的思考。
杜振華????國家計算機病毒應急處理中心研發部負責人
講講病毒和病毒防治的背景,病毒問題比較早,第一個被大家所認知的就是1981年,過去37年了,Apple Ⅱ平臺上爆發的惡意代碼,當時沒有引起太廣泛的關注,但是引起安全人員從業者專家的關注,著名的Fred Cohen先生在他導師的指導下提出“計算機病毒”的說法,1987年成型的理論出來了就是《計算機病毒》的論文提出了“計算機病毒”的概念,沒有一種檢測算法可以完美的發現所有病毒。大家以前說他是計算機病毒之父,提出了“計算機病毒”的概念,這個說法有些同行記得不是很清楚了,但是現在我們把這句話拿出來大家可以體會一下它仍然是有很強的指導意義的。我們現在說AI與終端安全,AI技術也在應用于我們反病毒行業,但并不是悲觀,確實即使應用了AI,可能很多的病毒檢測的問題并不能完美地解決,我想目前還是適用的。
病毒的概念方面也有一個非常有意思的現象,Fred Cohen先生剛提出計算機病毒的概念,他比較了計算機病毒和生物病毒的異同,可能當時他認為病毒是感染程序的,插入到程序的惡意代碼,有自我腐殖型,跟生物病毒有很強的相似性。隨著現在的發展,大家會覺得計算機病毒的概念兩種不同的觀點,一種觀點就是Fred Cohen先生提出的是狹義的計算機病毒的概念,我們可以把病毒概念外延再擴大化。這里面有一個關鍵的信息就是宿主的問題,脫離了宿主是無法自己運行,這個宿主的范圍多大,原來說的是一個程序,現在是不是擴大到一個信息系統,如果擴大到信息系統可以說廣義的病毒是不是現在仍然適用,這種大家有一種觀點是說這個病毒的概念還是可以繼續用的。還有一種病毒的概念狹義的病毒已經過去了,現在我們需要一個新的概念來詮釋現在這些惡意的程序。現在大家仍然有爭議,這也影響了我們后面要說的病毒產品標準化的問題。我們做標準化的時候會有一個很尷尬的問題,可能有專家會提出你這個病毒是狹義的病毒,你反木馬,反病毒軟件是不是不是你的范圍。病毒防治產品防護的對象早已超過了狹義病毒的概念,我們還不能以字面的意思理解產品,因為最簡單的一個例子防火墻也不是防火的,病毒防治叫病毒防治產品,它防護的對象早已超出了狹義的病毒概念。
Big Bang,大報找一樣早期造成比較大影響的病毒,讓無論是從業者也好,廣大群眾也好,來了解到病毒的影響,史前重大病毒事件,Brain、Stoned、Cascade,非常有意思的是Brain這是唯一的一個把自己聯系方式留下,因為這是巴基斯坦的一個兄弟本來開發了一個商用的軟件,但是總是被盜版,他在里面加入一些報復性的程序,誰用了這個盜版的計算機被感染就不能使用了。當時他留下了聯系方式,你應該聯系我買一個正版的軟件。很長一段時間認為這是很奇怪的,唯一留下聯系方式的病毒,但是現在來看我們可以把它認為這是可能第一個勒索病毒,勒索病毒大家的認識很多了,勒索病毒留下聯系方式,受害者需要聯系他支付贖金,獲得解密的東西。所以,最后回過頭來看Brain也許是第一個勒索病毒。
為什么說終端安全病毒防護真的很貼切?因為出現病毒問題的時候可能還沒有網絡,所以,真的就是一個終端安全問題。隨著網絡的出現,病毒自然是不會放過渠道。80年代末90年代初的時候Morris Worm,實際有一個很有意思的現象,在蠕蟲這塊每十年左右就會出現一個影響力比較大的蠕蟲的事件,后來提醒大家我們的病毒仍然是很有影響力很有殺傷力的,有的時候會被反病毒行業任命是救命的稻草。最早1988年,上世紀80年代末到90年代初的時候,90年代末跨世紀的時候有紅色代碼,20世紀初的時候Blaster Worm,包括一系列的。在21世紀的第一個十年的末期,2007、2008、2009年很著名的幾個蠕蟲的問題,國內的熊貓燒香,國際上的費克。再過十年比如2007年2017年,大家當時覺得×就是一個勒索病毒,實際上你真正深入地了解的話,它也是蠕蟲的問題。MMS170,誰還記得08067年?現在來說,我們業內做過一些了解,現在感染量還更大。也是一個很有意思的現象,每十年左右會有一個事件出來。
我們受公安部的委托,計算機病毒防治產品檢驗中心90年代就受公安部委托承擔大陸地區的病毒防治產品的檢驗工作,我們有幸經歷了產品比較完整的發展歷史,我們會看到一些很有意思的產品,當時的產品,江民的小青蛙,瑞星的獅子,我們專門做了一個留檔,有領導參觀或者朋友來參觀的時候看看非常有意思,各種形態,3寸盤、5寸盤,這些都是很有意思的東西。
有些外國友人對這些東西非常感興趣,看到我們有這么多藏品,他們覺得我們要給你們提供一些藏品,給我們一些他們早期的防毒卡的產品或者病毒的樣本。
現在在反病毒行業留下自己痕跡的企業超過110家,雖然整體的不是很多,但是反病毒行業也是一個不小的規模。我們下面提到病毒防治產品的標準化繞不開的病毒防治產品的類型做一個分析,這往往是一個比較難的事情,雖然比較成熟,三十多年,但是這個類型似乎也不是那么好分的。我們一種分法我們現在按照產品形態,產品環境,主機型我們接觸最多,我們都是PC的服務器上。移動終端能力特別強,也具備很強的運算能力,也可以算主機版的和家用的,網絡版的企業里也很廣泛。網絡型的部署在網絡側,在網絡上做病毒檢測的防病毒網關、VDS。還有嵌入型,有的你感受不到,你享受一些服務或者網購的時候金融支付的插件,它在啟動之后先做一些病毒掃描,但是這個病毒掃描后面我會說,它是有一定條件的,檢測的對象能力范圍可能會有一些差異。還有一個很重要的嵌入型就是虛擬化。現在很多不帶防毒軟件的虛擬化平臺跟虛擬化平臺雙系統能夠很緊密地結合在一起。
還有一種分法,按照檢測對象。有一些傳統的防病毒產品全家族的,比較全的卡巴斯基,傳統的廠商包括國內的瑞星,這種專業公司認為病毒的,當然廣義的病毒,所有的惡意軟件類型都可以作為一個專業防病毒產品能夠支持。但是部分家族也會有很多產品出現木馬專殺、蠕蟲專殺,甚至單獨的一個家族里的專殺,這些也算病毒化產品,只能部分殺毒的這種。
還有全功能和部分功能,所有能夠使用的技術運用到病毒防治產品,還有新興的病毒防治產品的廠家由于沒有積累,它需要做一些差異化的,它就會提出一些包括現在人工智能的技術,提出一些他自己獨到的,由于他的技術有一定的局限性,可能傳統的病毒防治產品的功能他可能不具備。
有了大概的產品類型的規劃之后,我們做一些實踐。在這個實踐之前對國內外的產品標準化工作做一些了解。其實從國外來進,無論國內還是國外,標準化工作一般推動都是由測評機構推動,國外的像AV、西海岸等,一開始這些獨立的測評機構做測評的過程中就會提出一些測評的方法,逐漸自己形成規范了。但是發現各家的差異比較大,大家其實有體會,經常也會對比每一個測評組織產品各方面不一樣,互相之間有時候還會打架,其他的測評標準有問題。結果很長的一段時間都沒有一個大家統一的認識,直到后來出現amtso組織。有了這么一個組織大家坐下來討論是不是能出一個行業比較認可的一套病毒防治產品的標準。這是amtso最新發布的文檔。這些可以反映出這個病毒防治產品由于發展這么多年,大家各自的思路,各自的想法真的有很大的差異,想要形成一個大家共同認可的一套標準有很大難度。更多的是大家形成一個共識,相對頂層一點的,有基本的大家的認同。
國內方面病毒防治產品我們病毒中心全權負責。所以,推動的工作主要是我們中心和相關的病毒產品檢驗中心承擔。最早的也是測評的一個標準,行業標準計算機病毒防治產品檢驗,這是2000年發布,到現在也有18年了,很早,這些年我們自己測評過程中或多或少有一些不適用的地方,很多情況下它還是能適應現在的變化。確實網絡安全法的要求,進一步國家標準化,提高標準要求能力來適應信息安全保護的要求,也確實需要 對這個標準進行研究,然后出臺更加符合現在需要的要求更高的國家標準。
所以,我們在這個背景下2014年就立項了防病毒網關的標準。當時的規劃,在這之前我們申報立項病毒防治產品,當時我們想申報主機型,但是專家討論還是被拿掉了,我們當時想按照主機型、網絡型、嵌入型規劃,但是可能病毒防治產品的品類比較小。給病毒標準的起草帶來了很大的挑戰。還算有幸,2014年立項防病毒網關的標準,現在已經發布了。這個成了國內第一部病毒防治產品。
病毒防治產品功能要求、性能要求、保障要求。功能要求分基本核增強,它產品比較具體,里面包含的功能和指標都能夠跟具體產品有一個比較強的對應。所以,防護功能靜態傳輸的時候要有相應的能力,響應就是相應的檢測、阻斷、隔離,網絡型的產品應該具備相應的處理能力。在防護能力增強增加一些動態的病毒防護,在病毒爆發的時候防病毒網關也要有相應的檢測處理能力,包括多種類型場景支持,協議方面也是要盡量的多一些。
性能要求方面這是以前很難做的事情,這次還是力推把他加上,目前來說1G的帶寬下,HTTP協議,病毒防治產品性能測試是一個難點。
日志、失效保護。
后面很難做的病毒防治產品測試平臺方法,2013年立項,現在終于進入報批階段,中間的過程很曲折,一開始做,中間調整,后來盡量覆蓋所有產品類型的情況。這里面就有挑戰,部署環境多樣性及產品類型多樣性,這是廣度上。深度上檢測范圍多樣性,檢測范圍包括你的磁盤,還是內存。這也跟他能夠訪問的權限,我們這個操作系統能夠允許這個產品,有的操作系統對病毒防治產品是友好的,Linux,有很多的移動終端的操作系統就比較苛刻,無論是安卓還是iOS防病毒產品功能在上面都受到很大的限制。檢測對象多樣性,檢測方式多樣性和處理方式多樣性,還有自身安全性。最后我們提出指標它的可測評性,如果我們提出一個指標沒有測評的方法,這個也很難做,尤其對我們測評機構可能會更難以實施。
所以,這種背景下我們還是提出了,對我們沒有性能要求,涉及到這么多類型的防病毒產品,去統一一個性能要求真的是非常難的事情。我們做過努力,但是目前難以達成很強的共識。
我們月到最早的病毒概念我們沒有直接用病毒,用“惡意軟件”來說明病毒防護產品。運行環境概述主機型、網絡型、嵌入型,工作模式檢測模式和防護模式。用戶需要檢測報告并不需要做任何操作這個可能有它一定的道理。防護模式不僅檢測,我們還要做相應的處理。
我們在術語里用了我們現在常見的一些病毒的家族我們做了一個說明,公布的時候大家可以看到做了一個參考。
測評的方法級別還是要明確一下,基礎級我們認為它具備部分病毒家族類型,部分病毒傳播媒介,以及將病毒防護功能作為其部分功能的產品,對間適用于網絡安全等級保護的第二級及以下系統。增強級是專業的,把病毒防護功能作為其全部或主要功能的產品,檢測范圍或者能力上有一個比較高的要求。
網絡安全保護的標準要求得并不是很多,但是很多問題還是能夠影響系統安全的病毒仍然是一個比較大的問題。所以,病毒防護產品是解決這個問題最直接的措施。
功能要求方面通過多樣化的設計,12個,病毒檢測、未知病毒檢測、病毒處理、策略自定義、隔離區管理、樣本提交、逃避檢測防護、告警信息、日志、升級更新、統一管理、異常文件處理等。時間關系不一一介紹了。增強級會有相應的提高。
安全要求也是以前沒提出來,病毒防治產品也是信息技術產品,信息技術產品會遇到自身的問題,我們想在這個標準里提出來相應的提醒,廠家要注意這些問題。系統服務、組件認證調用,病毒防治產品的組件跟主程序專家沒有做好被惡意程序利用了這個問題就很嚴重了,包括自保護,病毒防治產品也很尷尬,裝在終端上面臨的安全防護環境很惡劣,原來病毒往往采用躲避的策略,后來發現老是躲不是問題,它開始主動地干擾甚至破壞病毒防治產品的功能,所以,它的自我保護的能力也應該有一個基本的具備。不可能用戶第三方程序隨便把它終止這是很危險的。安全保密傳輸,在云查的時候,云安全的技術應用很廣,他如果中間保護得不好,一方面可能造成信息泄露,一方面被惡意者利用來干擾正常工作。
測評方面病毒樣本庫是一個非常重要的工具。圍繞這個問題有很多的爭議,我們這次給一些建議,作為測評有一些樣本庫有一些條件。
最后講一下下一步工作的思考。按照標準化工作的原則,產品的標準可能會越來越嚴,因為產品的標準產品非常多,形態非常多,中間有交叉。我們想下一步是不是把產品的技術標準能夠往這方面轉,技術方面防治技術、特征碼檢測技術,原來很多廠商都有自己的特點,國際上接收度很高的通用特征碼檢測框架出來可能有一些松動,有可能做一些可行性的研究,特征碼檢測大家可以形成一些共識。包括主動防御,包括云技術,包括沙箱現在也有一些通用化的趨勢,這是一方面。
測評技術方面包括樣本庫,樣本庫的樣本怎么篩選,哪些樣本能夠更好地測評出我們產品的能力,這也是一個課題,包括未知威脅測評。什么是未知威脅,我們用什么方式表示未知威脅,原來尤為知病毒測試,寫出一個病毒是違法的,這是有很大法律風險的,不好界定。我們用什么方式更好地進行未知威脅的測評。性能測試也是,剛才也提到了,各種不同平臺下受到終端環境的影響也是非常復雜的,他做性能測評怎么做。
個人信息保護,國家標準的要求,在終端上要搜集很多信息,這些信息是不是符合相應的標準和規定也是下一步工作要討論的一個方向。