中国互联网病毒木马漏杀问题研究报告

    1、病毒黑色产业链的利益驱使。病毒木马早已形成互联网黑色产业，其非法收入每年可数千万人民币，有足够的利益吸引众多从业者和杀毒厂商打持久战。这两年还出现过为带数字签名的病毒木马，这是更加明显的商业化制毒贩毒行为。

    2、病毒木马的传播规律符合“长尾定律”。数量庞大的病毒木马只感染有限数量的机器，可以减少被杀毒厂商捕获的机会，延长病毒木马的生存周期，有的木马甚至可以长期潜伏，只有少量的蠕虫病毒能散播的很广。

    3、病毒木马作者对抗杀毒软件加剧。病毒木马制作者、传播者在发布新病毒或对老病毒进行改造之前，会针对各种主流安全软件最新版本对病毒木马进行免杀处理，保证新版病毒不被最新安全软件检测到。一个可以被主流安全软件检测到的病毒，不具备商业牟利的基本条件。

    4、 传统的病毒识别方法决定了“漏杀”必然存在。传统的病毒识别方法是只在电脑上检查病毒文件（一般称之为黑文件），而病毒文件的数量却在每天以万种的速度递增，黑文件不断增加。传统识别方法，决定了没有哪个杀毒厂商能收集到或识别出所有病毒。

    5、传统云安全，特别是依赖用户规模的云安全技术同样无法避免漏杀期。其原理根据用户电脑新文件统计学分布特征进行初步判断。对于一些新起步的云安全厂商，其定性判断依赖后台服务器自动使用其他杀毒软件扫描结果定性，具有反映迟缓、漏杀误杀严重的硬伤。

    6、传统安全软件的更新周期过长，通常是以小时为单位。将新的病毒特征分发到数以千万计的客户端需要消耗相当长的时间，而某一种病毒木马的更新代价却要小得多。比如，那些释放后门程序的黑客只需要一条命令就可以让客户端瞬间更新版本，需要的带宽也远小于杀毒软件。

    漏杀问题的解决思路——可信云安全将有效解决病毒木马漏杀问题

    分析漏杀产生的根源，是传统杀毒软件以及传统的云安全技术已经无法适应计算机病毒木马的快速增长，需要从技术理念、查杀方法上进行根本的革新。  

    传统的病毒识别方法是只检测“黑”文件（病毒文件），而“黑”文件的数量却是日新增数万种，安全软件永远没有能力收集完所有的病毒文件。这一点，从各厂商每年公布的病毒统计报告就可以看出，没有任何两个厂商收集的病毒数量完全一致。

    解决漏杀问题，必须采取全新的病毒鉴别理念。一个重要的突破是“可信云安全”，其理论基础是，用户电脑上的正常程序（“白”文件）可以被近乎完全的识别出来，只有非白的文件才会对用户有威胁，把非白文件隔离，系统就安全了。

    作为全新的可信云安全杀毒软件，主要可以依靠三个重要的特征库：本地正常文件白名单库+本地流行病毒特征库+云端海量特征库，高效快速的完成病毒程序的鉴定和清除，同时尽可能消除误报或漏报。

    另外，传统安全软件解决漏杀是靠更新频率，从原来的每天升级改进到每小时升级，但都必须依赖客户端下载升级。而“可信云安全”的体系并不依赖于客户端升级，云服务器以分钟级更新特征库，客户端只要能联网就能得到最新的病毒防御能力。这种快速响应能力是传统安全软件无法做到的，这一点也在很大程度上缩短了漏杀期的存在，最大限度的解决了漏杀问题。■<