王建鋒：08年疫情表明 互聯(lián)網(wǎng)威脅無處不在

相關(guān)專題：共建可信任的互聯(lián)網(wǎng) 2008瑞星互聯(lián)網(wǎng)安全技術(shù)大會

圖：瑞星公司客戶服務(wù)中心總經(jīng)理王建鋒

　　王建鋒：大家上午好，下面由我介紹一下08年度中國大陸地區(qū)互聯(lián)網(wǎng)電腦病毒疫情報(bào)告，在做報(bào)告之前，我想先說明一下本報(bào)告的數(shù)據(jù)來源是基于已經(jīng)參與到瑞星“云安全”計(jì)劃的數(shù)千萬用戶的客戶端實(shí)際的分析與統(tǒng)計(jì)，既有別于傳統(tǒng)的調(diào)查問卷的形式也有別于通過小樣本群來進(jìn)行推算大樣本群的模式。

　　首先我們看一下08年度的整體疫情的概況，實(shí)際上很簡單一句話，互聯(lián)網(wǎng)的隱患無處不在，在這里同以往不同的是，黑客每一次進(jìn)行具體的策劃之前會有一個(gè)完整的鏈條，就是策劃、實(shí)施、反饋諸多的環(huán)節(jié)。通過這張圖大家可以看出來當(dāng)黑客對感興趣的用戶群發(fā)生興趣的時(shí)候，他通常會了解這個(gè)客戶群應(yīng)用的網(wǎng)絡(luò)應(yīng)用，比如說搜索、交易、包括聊天和下載，在了解到實(shí)際的應(yīng)用場景之后，他會利用漏洞，這個(gè)漏洞不再是局限于系統(tǒng)的漏洞，更多是基于互聯(lián)網(wǎng)的工具軟件漏洞，包括瀏覽器的漏洞，最后會通過一個(gè)非常成熟的產(chǎn)業(yè)鏈來達(dá)到對感興趣用戶群的竊取，對他造成一定的傷害。通過這個(gè)產(chǎn)業(yè)鏈我們可以看到，病毒已經(jīng)互聯(lián)網(wǎng)化，不斷的給我們提出挑戰(zhàn)，包括病毒樣本的海量，包括數(shù)據(jù)的分析處理也是海量，包括實(shí)際的用戶也是海量，這些挑戰(zhàn)給我們帶來的一些互聯(lián)網(wǎng)上的沖擊不僅是在捕獲環(huán)節(jié)，也在分析和應(yīng)對環(huán)節(jié)。試想一下，如果我們在一天之內(nèi)，截獲了30萬個(gè)樣本，如何讓我們的8000萬用戶在一天之內(nèi)同時(shí)對這30萬病毒樣本都進(jìn)行免疫？這30萬不是虛數(shù)，而是有實(shí)際的依據(jù)的。

　　下面我具體介紹疫情報(bào)告，三個(gè)部分，第一是整體疫情，第二是排行，第三是新的趨勢。截至到08年10月份，截獲新病毒樣本是去年同期的12.16倍。在其中的病毒比例中，木馬病毒占到64%，后門病毒占到了20%，兩者相加，超過總體的比例8.3%，其特征很明顯，就是以竊取用戶的帳號和個(gè)人財(cái)產(chǎn)為主要目的，帶有明顯的經(jīng)濟(jì)利益特征。圖中用紅色表出的有兩部分，一部分是通過網(wǎng)絡(luò)下載，已經(jīng)造成病毒的傳播途徑，實(shí)際上接近55%，就是左邊的這個(gè)標(biāo)出的部分。下面這個(gè)區(qū)域，通過U盤移動存儲傳播的，08年網(wǎng)頁掛馬是病毒傳播的主要途徑。在這里我給大家匯報(bào)一個(gè)數(shù)字，18天之內(nèi)我們收到用戶的實(shí)際的惡意網(wǎng)址超過12萬，其中進(jìn)行有效的驗(yàn)證之后，實(shí)際有效的惡意網(wǎng)址接近10萬，這18天之內(nèi)，每天都會有5000、6000個(gè)惡意網(wǎng)址在網(wǎng)上有效的存活著。通過年度的疫情我們可以看出典型的病毒類型，后門病毒也好，盜號木馬也好，這些是計(jì)算機(jī)編制者非常喜歡應(yīng)用的技術(shù)，通過我們對疫情的分析看出了一些趨勢，在這里給大家分享一下。

　　首先自動化生產(chǎn)，病毒自動化生產(chǎn)大家很早就知道了，但是新的技術(shù)是更加成熟。第二對抗殺軟，黑客制造病毒也講究升級，升級的目的就是從追求病毒的個(gè)體生命，轉(zhuǎn)化為追求總體的有效生命。現(xiàn)在這種病毒的個(gè)體壽命通常在幾天，通過單個(gè)病毒的有效壽命下降，但是有大量的病毒樣本累計(jì)成病毒有效壽命。第三瀏覽器的漏洞也好，應(yīng)用軟件的漏洞也好，出現(xiàn)的更加頻繁，也更加容易被利用。

　　現(xiàn)在介紹一下安全的現(xiàn)狀，三個(gè)特點(diǎn)，第一主流的商業(yè)模式頻遭木馬的攻擊，第二洪水攻擊。第三如何在最短的時(shí)間內(nèi)獲得解決方案。如果說通過流量統(tǒng)計(jì)來進(jìn)行吸引，木馬同樣可以帶來假流量，而個(gè)人的網(wǎng)游網(wǎng)銀是更加的危險(xiǎn)，包括我們通常用的網(wǎng)絡(luò)下載也會被木馬盯上，實(shí)際上我們現(xiàn)在的互聯(lián)網(wǎng)用的常用模式是非常的不安全。洪水攻擊首先具備三個(gè)條件，第一有高效率的病毒升級軟件，第二同樣也會有更好的服務(wù)器帶寬，第三雇傭軟件民眾編寫殺毒軟件。只要大家做小的修改就可以達(dá)到新的對抗樣本出來。因此帶來的問題是數(shù)量的劇增，單個(gè)的病毒的壽命變短。大家試想一下，一個(gè)成熟的或者說非常有經(jīng)驗(yàn)的病毒分析工程師，一天處理量假如說是1000個(gè)，我剛才講過30萬，如果30萬除以一千的話，光是病毒分析就需要300名非常有經(jīng)驗(yàn)的工程師，這不現(xiàn)實(shí)。如何在最短的時(shí)間內(nèi)讓用戶獲得解決方案已經(jīng)成為關(guān)鍵。今天我相信在座的很多合作伙伴也已經(jīng)被黑客或者病毒編制者所盯上。

　　第二網(wǎng)游掛馬，我們過去通常講一句話，如何防范病毒？通常說要瀏覽正規(guī)的網(wǎng)站，現(xiàn)在是不是這樣？在11月初，就發(fā)現(xiàn)一個(gè)非常典型的趨勢，某著名的門戶網(wǎng)站，大家知道，門戶網(wǎng)站的收入是廣告，在門戶網(wǎng)站的非常顯眼的地方有一個(gè)房地產(chǎn)的廣告，我們發(fā)展這個(gè)房地產(chǎn)廣告鏈接過去之前已經(jīng)有掛馬。我想說的是門戶網(wǎng)站是有專業(yè)的人員保護(hù)的，但是對于非專業(yè)的網(wǎng)站，已經(jīng)不是那么專業(yè)了，因此我們和房地產(chǎn)交流的時(shí)候他第一個(gè)問題就是“被掛馬我怎么辦？”稍微大一點(diǎn)的網(wǎng)站里面有多少網(wǎng)頁存在？這個(gè)數(shù)量大家很清楚。因此我們不難得出一個(gè)結(jié)論，電腦的疫情越來越嚴(yán)重，互聯(lián)網(wǎng)越來越不安全，謝謝大家！

相關(guān)文章: