- 走进新安全:读懂网络安全威胁、技术与新思想
- 奇安信行业安全研究中心
- 2550字
- 2021-02-26 17:26:10
1.3 技术简史
自20世纪80年代末,网络安全技术的发展先后经历了三个主要的时代,从最初的特征码查黑技术逐步进化到如今的“大数据+威胁情报”技术。网络安全技术的进化是攻防持续对抗升级的产物。表1-1对网络安全技术的三个时代进行了对比。
表1-1 网络安全技术的三个时代对比
1.3.1 第一代:特征码查黑
1986年诞生的“大脑病毒”是世界上公认的第一个流行计算机病毒。大脑病毒诞生后的3年,即1989年,全球第一款杀毒软件McAfee在美国诞生。第一个网络安全技术时代就此开始,并持续了近20年。
在这个时代,以系统破坏为主要攻击目标的传统病毒是网络安全的主要威胁。不过,由于当时真正会编写病毒的人很少,病毒攻击也大多没有什么利益诉求,所以那时的病毒不仅简单,而且数量有限,每年新出现的流行病毒约有几百到几千个。
正是在这样的时代背景下,产生了以特征码查黑技术为主的第一代网络安全技术。所谓特征码,简单来说就是病毒所特有的程序代码或代码组合(病毒特征库)。而杀毒软件的作用就是拿着一系列特征码和计算机中的程序文件进行一一比对,一旦匹配,就将程序文件判定为病毒并进行杀毒。
特征码技术也被后人视为一种“非黑即白”的杀毒技术,也可以说是一种“查黑”技术。即如果软件查不到特征码,就会对相关程序完全放行,这在日后被证明是很不安全的。
同时,特征码技术主要针对静态样本的源代码,而不太关心程序的行为活动,导致“先感染,后查杀”的情况屡屡发生。另外,特征码的提取对样本分析师的技术水平要求很高,所以当时安全机构能力的高低往往取决于样本分析师的数量和素质。
1.3.2 第二代:云查杀+白名单
到了21世纪初,恶意程序的发展方向迅速从传统病毒转向以秘密盗窃和恶意植入为目的的木马程序。由于木马程序能够给攻击者带来显著的经济收益,因此迅速出现了木马产业化、样本海量化和木马行为复杂化的形势,木马攻击一度泛滥成灾。
安全形势的急速恶化给第一代网络安全技术带来了前所未有的挑战。首先,恶意程序每天新增几十万到上百万个,根本不可能完全靠人工的方式进行收集和分析;第二,互联网应用越来越多,单纯靠特征码已经很难分辨病毒,针对特征码的免杀技术也层出不穷;第三,病毒特征库快速膨胀,直接耗尽了计算机的计算和存储资源,计算机越来越卡,越来越慢。
2006年以后,人们在互联网技术中引入了安全技术,逐步形成了“互联网技术+传统安全技术”的“互联网安全技术”,其中最具代表性的技术包括白名单、云查杀、主动防御、人工智能引擎。
白名单的思想是,除确认可信的程序以外,其他一切程序都不可信,都必须接受包括云查杀、主动防御等安全技术的监控。
云查杀技术将原本放在计算机中的特征对比工作放在了服务器中,从而解放了计算机的计算和存储资源,同时实现了病毒特征库的实时在线更新。特别是在基于程序指纹的杀毒技术出现以后,病毒只要被发现确认,就可以越过特征分析被立即查杀。
这里解释一下,基于程序指纹的杀毒技术就是首先通过数学哈希算法计算出一个程序文件的数字指纹(一个字符串,具有唯一性),如果程序是恶意的,就把数字指纹加入黑名单;如果程序是可信的,就把数字指纹加入白名单;其他的加入灰名单。当用户计算机运行一个程序时,只要提取这个程序的数字指纹和云查杀服务器中的数字指纹进行比对就可以了。如果在黑名单中,就直接查杀;如果在白名单中,就直接放行;如果在灰名单中,就视情况给予一定的风险提示。由于早期的程序指纹提取使用的是MD5值,所以这种方法又称为“MD5值杀毒”。
主动防御技术是指对程序的行为进行监控,一旦发现如篡改驱动、秘密下载、修改浏览器设置等危险操作,就会立即采取防御措施并对用户进行提示的技术。这种方法对于防范黑名单之外的木马程序非常有效。由于主动防御技术也属于一种“查行为”的安全方法,因此,有些情况下它也被视为二代半的安全技术。
人工智能引擎首先对程序文件建立数学模型,之后提取程序文件多种维度的数学特征和代码特征,再通过机器学习形成判断规则,最后自主判断哪些程序的特征组合是有害的,哪些是无害的。
第二代网络安全技术的特点可以概括为“查白”。这一代技术立足于动态防御,目标是“御敌于国门之外”。同时,人工智能引擎的出现大大降低了人工分析的难度,多数情况下,样本分析人员只需要判断一个程序是好是坏就可以了,至于如何提取特征,由计算机完成。
1.3.3 第三代:大数据+威胁情报
第二代网络安全技术在民用领域的实践中取得了巨大的成功。计算机时常中病毒的情况得到了有效的改善。但进入21世纪第二个10年后,情况又发生了巨大的变化。在这个时代,设备多样化、系统复杂化、攻击多元化的情况开始越来越普遍。多样化的接入设备,使得我们很难再通过某款安全软件来解决全部问题。我们不可能给家里的微波炉、孩子的运动鞋、工厂里的机械臂都装上安全软件。系统复杂化的问题则主要出现在企业和机构的信息化改造过程中。业务逻辑、网络结构和管理机制的多样性与复杂性,使得每一个信息系统都如同一个复杂的迷宫,让安全保卫工作无从下手。而与设备多样化、系统复杂化相比,攻击多元化带来的问题更加致命。这种多元化,主要表现在三个方面:一是攻击者目的的多元化,勒索、挖矿、窃密、破坏,干什么的都有;二是攻击者身份的多元化,毛贼、内鬼,什么人都有;三是攻击者手段的多元化,渗透、扫描、预制(设备或软件出厂时就是带毒的)、钓鱼、漏洞、社工(社会工程学)、诈骗等,无所不用。
可以说,恶意程序早已不再是唯一的攻击手段,甚至也不再是主要或必要的手段。所以,前两个时代的以恶意程序为主要对抗对象的网络安全技术显然都不太有效了。于是,以大数据、威胁情报、人工智能、协同联动等技术为代表的第三代网络安全技术涌现了出来。
第三代网络安全技术从2014年开始初见雏形,在2015年以后迅速发展起来。第三代网络安全技术的特点可以概括为“查行为”。这一代技术的核心目标不再是程序与程序的对抗,而是人与人的对抗。安全工作者对抗的目标是“攻击者与攻击者的行为”,而安全技术和产品则成为延伸“人”的能力的工具。在这个时代,网络安全工作对“人”提出了更高的要求,远超此前的任何一个时代。
如果要用三句话来概括网络安全技术的发展历程,那就是:
从查黑,到查白,再到查行为;
从静态,到动态,再到大数据;
从先感染后查杀,到“御敌于国门之外”,再到快速发现、快速响应。