现在的防护方法,基本还停留在特征识别上面。现在看市场上的杀毒软件吧。整天做特征码的升级,没有哪个杀毒软件不做吧。也经常会查出什么什么病毒的变种?所谓变种而已,其实破坏模式,感染模式和变种前的母体没有什么变化,为什么还要通过升级特征码来识别呢?这充分说明了,现在的杀毒软件没有足够的行为识别能力。换个马甲就不认识了吗?换个马甲太容易了,加个壳,改个名,去个关键字就OK了,大家可以研究一下,做个病毒是多少的容易。为什么非要靠特征呢?计算机的本体属性决定的,现在的计算机软件系统,还无法生成智能,所以在行为分析方法的能力很弱,啥时候发展出可以生长的智慧模式了,我相信,那时的安全领域会有较大变化。人工智能程序真的那么难做吗?不一定,只是与现在的强逻辑性的程序开发,模式上有所不同,大家还没有开放思维而已。哈,扯的远了,还是回来看看,现在的攻击方法,有哪些变化?
1. 基于行为分析的防护方法太少,设备的缺陷。自动化,打包,海量
在刚才也说了,几乎所有的安全设备,都是基于特征的,防火墙是基于特征,符合规则的包或接受或拒绝或转发。入侵检测是基于特征的,防病毒也是基于特征的,匹配到符合特征的,就报出来,没匹配到就PASS。为什么基于行为分析的设备很少呢?因为行为分析要求的智商比较高,普通计算机的强逻辑模式很难处理,它提供的选择太多,缺少轻重缓急,设备毕竟是傻的,所以还得发挥人的能力。暂时上,人在模糊处理,归纳总结的能力上面,要比机器快的多。一个新事件,人可以根据已有的知识结构,快速地进行分析判断,而机器的长处在于重复性,而短于创新。
从这方面说,现在的安全防护设备,还有很长的路要走?
或者说,即使现在的特征模式这么弱,你怎么判断你的系统没有被入侵呢?杀毒没报,防火墙没异常,你就没被入侵吗?计算机上有哪些异常,一般人会去查看吗?会去分析你load的那一大dll是干什么的吗?相信干网络安全的同行,也很少去折腾这个吧?
哪位要是有人脉,可以交流一下,可以给大家演示一下,最新的攻击手法,现在的安全防护模式无法阻断的,如何进入与internet隔离的专网(有哪些专网,大家想想),如何进入知名网站如.........等,现在国内的网络风险非常大,大的让你吃不好睡不着
新的行为分析防护模式,如何识别这些攻击,如何评估现在企事业单位存在问题,如何解决,如何进行有效防护。。。。
说到这儿,首先声明,这些变化都是我个人总结的,不一定正确。我脱离安全领域也好几年了,这些年跟国内的同行交流的很少,一直闷头玩自个儿感兴趣的东西,所以一些想法可能有些脱离实际。所以,说到哪儿有不正确或偏颇的地方,请大家指出来,咱们做更多的交流,大家都在这一块儿有共同的提高
没有评论:
发表评论