从甲型H1N1看防治流感和木马检测防范的异同

检测思路的异同

从SARS防治的成功经验来看，防范流感病毒的的首要条件就是及时发现疑似病例。具体的方式就是国家的高度重视，同时配合广泛的媒体宣传和报道。对于这种输入型的流感病毒，加强机场、出入境人员的检查和事后的人员追查。在医院专门设置发热门诊，进行有效过滤。这些都是从管理措施来提升检测的有效性。而另一个层面，从发现疑似病例到确诊这个阶段，就是纯技术层面的了。从检测模式来看，基本可以归为如下流程：发现确诊案例后提取其相关的样本，经过专门的检测机构进行一系列提取、分离等动作，并配合基因测定等方式，最终确定病毒样本，然后再进入到耐药性等一系列测试，以发现有效抗病毒的药物。

现在的木马的检测流程与这个过程有非常相似的地方，安全厂商及相关的实验室、研究机构通过截取、用户主动上报等方式获得新的木马样例，经过内部的脱壳、反编译等分析手段，发现木马的特征码，然后发布检测和清除方法。

如果说两者的不同点，还在于获取样本和分析周期上。相比较而言，对于单个木马的分析和特征提取比分析单个流感病毒更容易一些，投入相对小，分析周期快。但是从新样本增加的趋势来看，新型木马出现的数量、频度远高于新型流感病毒出现的数量、频度，2008年新增木马的数量是27.6万个，比2007年相对上升了5.6%，这个数字相当的惊人。

检测思路面临的困境

流感病毒源自于自然界。科学发展到现在，虽然有了非常大的进步，但人类对于自然界的了解和掌控还只是前进了一小步。因此，对于流感病毒的及时检测发现注定存在一定的缺陷，我们很难在这个方面取得质的突破。

同样，对于新型木马检测目前在业界已经成了一个难题。在2000年初，传统的防病毒厂商在宣传产品优势的时候，木马样本库还是厂商重点宣传的指标，可以达到上万个。但是到了现在，木马的数量发展速度已经远远超出了防病毒厂商的特征库更新能力。不管防病毒厂商的收费模式如何变化，电脑用户的对于病毒厂商的抱怨越来越大，信任度也越来越低，以致于出现“杀毒软件”是否应该免费的巨大争论，传统的防病毒厂商面临着生存困境。究其根本原因，其实是防病毒厂商的传统检测机制出了问题。由于木马的二进制属性和互联网的普及，木马的变化、新增能力远远超过自然界的病毒生物属性的变化能力。传统的检测模式就像“黑客帝国”一样，演变为是一场人和机器人之间的战争。这是一场不对等的战役，几乎没有胜利的可能。不转变检测思路，木马泛滥的问题是无法解决的。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。