| 词条 | 微点 |
| 释义 | 微点 § 简介 微点主动防御软件 中国著名反病毒专家,公司总经理、总工程师刘旭,总结多年反病毒技术实践,针对当前网络新病毒日益泛滥、频繁肆虐,特征值扫描技术对新病毒防范始终滞后于病毒出现的现状,率先创立“监控并举、动态防护”主动防御体系,开创性提出主动防御产品的核心特征,必须以具备动态仿真反病毒专家系统为先决条件,以自动准确判定新病毒为基本诉求,以程序行为监控并举为机制保障。刘旭率领的东方微点科研人员依据这套体系,采用“程序行为自主分析判定”技术,于2005年3月,研制成功微点主动防御软件。 2005年4月18日,微点主动防御软件获得国家版权局颁发的《著作权证书》。2005年4月19日,微点主动防御软件获得北京市新技术产业开发试验区颁发的《新产品证书》。东方微点在反病毒技术领域开创性的技术实践,受到国家的高度重视。微点主动防御软件的研制成功,开创了中国反病毒技术发展的一个崭新时代。东方微点公司对微点主动防御软件拥有全部自有知识产权,其技术水平居国际领先地位,微点主动防御软件的核心技术共申请了六项国家发明专利。 对信息安全产品和技术的局限性等方面的准确把握,事关国家信息安全防护能力的提升,因此下大力建立年轻化、高素质的复合型专业人才队伍是世界各国政府及知名公司不断追求的目标。东方微点科研人员充分认识到信息安全产品的创新性研发,关系到信息技术发展趋势、国民经济发展保障以及国防安全等重要课题,拥有一批具备系统分析设计、项目分拆和组织协调等IT业经验的项目经理和关键技术骨干,还拥有一批来自商务经营一线和国内外著名公司的市场开拓、营销管理人员,这是公司的中坚力量,也是强大中国信息安全产品竞争优势的基石。 § 技术特点 微点微点主动防御软件获得五个重大技术创新 1、创立动态仿真反病毒专家系统:对病毒行为规律分析、归纳、总结,并结合反病毒专家判定病毒的经验,提炼成病毒识别规则知识库。模拟专家发现新病毒的机理,通过对各种程序动作的自动监视,自动分析程序动作之间的逻辑关系,综合应用病毒识别规则知识,实现自动判定新病毒,达到主动防御的目的。 2、自动准确判定新病毒:分布在操作系统的众多探针,动态监视所运行程序调用各种应用编程接口(api)的动作,自动分析程序动作之间的逻辑关系,自动判定程序行为的合法性,实现自动诊断新病毒,明确报告诊断结论;有效克服当前安全技术大多依据单一动作,频繁询问是否允许修改注册表或访问网络,给用户带来困惑以及用户因难以自行判断,导致误判、造成危害产生或正常程序无法运行的缺陷。 3、程序行为监控并举:在全面监视程序运行的同时,自主分析程序行为,发现新病毒后,自动阻止病毒行为并终止病毒程序运行,自动清除病毒,并自动修复注册表。 4、自动提取特征值实现多重防护:在采用动态仿真技术的同时,有效克服特征值扫描技术滞后于病毒出现的缺陷,发现新病毒后自动提取病毒特征值,并自动更新本地未知特征库,实现“捕获、分析、升级”自动化,有利于对此后同一个病毒攻击的快速检测,使用户系统得到安全高效的多重防护。 5、可视化显示监控信息:对所监控程序行为的信息可视化显示,用户可随时了解计算机正在运行哪些程序,其中哪些是系统程序,哪些是应用程序,还可进一步了解程序是何时安装,什么时候运行,运行时是否修改了注册表启动项,是否生成新的程序文件,程序是否具有自启动,程序由谁启动执行,程序调用了哪些模块,以及当前网络使用状况等等。用户直观掌握系统运行状态,并依据其分析系统安全性。既可用作系统分析工具,又可作为用户了解计算机系统的学习工具。[1] § 区别 主动防御与反病毒软件通用的病毒特征值扫描技术的区别: 微点主动防御软件属于防病毒软件,但完全区别于目前市场上的防病毒软件。杀毒软件多采用特征值扫描技术,即由专业反病毒人员在反病毒公司对已可疑的程序进行人工分析研究,人工判断该程序是否是病毒;如果该程序是病毒,由反病毒工程师人工提取该病毒的特征码,再通过升级的方式更新用户计算机上杀毒软件的病毒特征库,此时用户计算机上的杀毒软件才能判断某个程序是病毒。也就是说,如果用户不升级,用户计算机上的杀毒软件就不能防范新出现的病毒。这也就是防病毒公司始终强调用户要实时升级的原因。可以这样说,病毒总是出现在杀毒软件更新病毒特征码之前的,因此,传统的杀毒软件对新病毒的防范始终滞后于病毒的出现。 微点主动防御软件与当前流行杀毒软件的主要区别:微点主动防御软件依靠动态仿真反病毒专家系统的病毒识别规则知识库自动准确判定新病毒,当前流行杀毒软件依赖于专业反病毒人员手工判断提取的病毒特征码。在防范新出现病毒的时间上,微点主动防御软件是实时发现新病毒,当前流行杀毒软件需要等待防病毒公司更新病毒特征码后才能发现病毒。 § 开发背景 微点 微点主动防御软件,是北京东方微点信息技术有限责任公司(以下简称微点公司)自主研发的具有完全自主知识产权的新一代反病毒产品,在国际上首次实现了主动防御技术体系,并依此确立了反病毒技术新标准。微点主动防御软件最显著的特点是,除具有特征值扫描技术查杀已知病毒的功能外,更实现了用软件技术模拟反病毒专家智能分析判定病毒的机制,自主发现并自动清除未知病毒。 虽然绝大多数用户的计算机中都安装了各种品牌的反病毒软件,但令人遗憾的是,用户所面临的病毒危害并没有因此显著降低,反而呈现了上升趋势。根据中国国家计算机病毒应急处理中心《2007年中国计算机病毒疫情调查技术分析报告》 ,截止2007年6月,中国计算机病毒感染率高达91.47%,与前两年相比又出现了较大的反弹。传统反病毒技术已不再适应当前反病毒的需求是造成这种局面的主要原因之一。 传统反病毒技术——特征值扫描技术,其核心思想是反病毒公司从病毒体代码中,人工提取出病毒的特征值,然后由反病毒产品将被查对象与病毒特征值进行比对,如果被查对象中含有某个病毒的特征值就将其报为病毒。 反病毒公司已经提取特征值的病毒称为已知病毒,未提取特征值的病毒就称为未知病毒。特征值扫描技术依赖于从病毒体中提取的特征值,未获得病毒体就无法取得特征值。其技术原理决定了,特征值扫描技术只能识别已知病毒,不能防范未知病毒。 传统反病毒技术的流程为:当用户发现计算机出现异常现象,怀疑可能被病毒感染 → 具有一定反病毒知识的用户将可疑文件通过邮件等途径发送至反病毒公司 → 反病毒公司收到可疑文件后,由病毒分析工程师进行人工分析 → 如果认定是病毒,则从病毒代码中提取该病毒的特征值,然后制作升级程序并将其放在互联网上 → 最后,待用户升级反病毒软件后,才能对这个病毒进行查杀。但在用户升级之前,用户计算机上的反病毒产品无法阻止该病毒的感染和破坏。 传统的反病毒技术面临着非常严峻的病毒挑战,黑客大规模批量制造各种以窃取商业秘密、虚拟财产、银行帐号等为目的的木马病毒,这类以营利为目的的新型病毒已成为当前病毒发展的主导趋势。黑客为了避免木马被杀毒软件发现,开发出多种简单易行的病毒免杀技术,无须重新编写病毒程序,只需经过简单地加壳、加花指令、定位并修改病毒特征值等技术方式的处理,很短时间内就可大规模批量制造出可逃避传统反病毒产品查杀的木马变种。 更为严峻的是,已经出现了自动加壳、自动免杀机,甚至还实现了商业化,病毒作者每天对其进行更新,升级速度甚至超过了杀毒软件。黑客利用这类工具自动生成的木马变种,往往能够躲过最新版杀毒软件的查杀。木马生产的“工业化、自动化”导致木马越来越难以被反病毒公司收集,或者在收集到这些木马前,这些木马已经有着较长的生存时间,已经给用户造成难以挽回的损失。 据德国AV测试实验室介绍,2007年出现约550万个通过互联网传播的恶意程序,反病毒公司每天需分析1.5万至2万个新病毒。这使反病毒公司的日均工作量增加至2006年的4倍,更是2005年的15倍。 传统反病毒技术“出现病毒—收集病毒—分析病毒—升级病毒库”处理模式,尽管能够较好防范已知病毒,用户仍面临大量反病毒公司还未收集到的病毒以及每天数以万计新病毒的威胁,用户的信息安全得不到有效保障。 传统反病毒技术落后于病毒技术的步伐已是不争的事实,它已经不适应当前反病毒的需求,因此,广大计算机用户迫切需要一种可以自动查杀未知病毒的反病毒软件。[2] § 冲突的产品 已知与微点主动防御软件有冲突的安全产品 1、卡巴斯基(AVP)杀毒软件v5.0.237 版 2、McAfee 杀毒软件9.0以下的版本 3、Outpost Firewall 4、F-Secure Client 6.01 企业版 § 防火墙功能 微点主动防御软件传统防火墙规则包介绍 微点目前默认有五个规则包: 规则包一:开放网络,不对进出数据包做任何限制 规则包二:禁止网络,禁止任何数据包进出 规则包三:开放本机连接共享,适用于局域网内部用户 规则包四:禁止本机连接共享,适用于局域网内部用户 规则包五:适用于使用互联网的用户 双击规则包可以详细查看规则包的具体规则 § 微点案 微星公司总经理、总工程师刘旭 媒体报道: 瑞星科技股份有限公司(简称瑞星)是计算机杀毒软件行业的龙头老大,东方微点信息技术有限公司(简称微点)则是这个行业的新秀。瑞星起诉的第一被告是田亚葵,第二被告才是微点公司。 瑞星在起诉书中说,2002年8月以前,田亚葵负责瑞星与英国的反病毒专业公司SOPHOS公司交换病毒样本。田于2004年3月离开瑞星,加入微点。2005年5月,田“两次利用其在瑞星公司掌握的与SOPHOS公司下载病毒的方式为东方微点公司下载病毒样本,并将上述样本储存在移动硬盘内,交微点公司的技术人员进行杀毒软件的测试工作”。 北京市海淀区法院2008年9月23日正式受理了瑞星的起诉。 媒体报道微点案的全部详细过程: 2003年3月5日,瑞星杀毒软件的原设计者、瑞星科技有限公司总经理刘旭辞去了瑞星总经理兼总工程师职位,两年后创办了北京东方微点信息技术有限责任公司,并任总经理。2004年,田亚葵辞职,加入了东方微点。 当年,传统的杀毒都是通过“比对法”——扫描硬盘内容看是否与“病毒样本库”相同。用户万全依赖病毒库的及时升级,否则新病毒无法被找出。 而多年研究杀毒技术的刘旭则看到,从2004年起,流行的电脑病毒有了一个新趋势,病毒制造者不再是原先以干扰用户操作、破坏硬盘数据为目的,而是更多的以窃取商业机密的木马病毒形式出现,过去扫描对比杀毒法在面对层出不穷的新病毒时常常束手无策。 刘旭认为,杀毒方式应该代之以“主动防御”——根据计算机中软件行为的特征来判定该程序是否属于病毒,例如是否同时或选择性满足“批量修改文件”“感染启动扇区”、“感染可执行文件”等条件。这样的思路,相当于给每台电脑配备了一个智能识别病毒的专家。 2005年初,微点的研发团队率先创立“监控并举、动态防护”主动防御体系,研制出与传统安全软件思路完全不同的反病毒产品———微点主动防御软件。同年4月18日,微点公司拿到主动防御软件的版权。 5月31日,刘旭在《光明日报》发表《主动防御电脑病毒并非天方夜谭》的同名文章,讲述了微点已经研制成功的产品是什么样子。 但就在刘旭对自己的创新产品充满了计划时,他的这篇文章让自己的老东家瑞星充满了警觉。微点的“主动防御”显然是一个革命性产品,对当时占据杀毒软件市场60%的瑞星公司来讲,这无疑是个坏消息——就连民警张鹏云在调查微点时也承认“你们的产品非常了不起,会改变行业格局。” 2008年12月17日,在北京市局领导干部纪律作风教育电视会上,援引的侦办机构通报中称,于兵在2005年7月初接受了北京瑞星科技股份有限公司的请托,指令他人“铲”了东方微点公司。 就在微点公司紧锣密鼓为产品上市销售做准备时,2005年7月5日,北京市公安局网监处以“反病毒公司资质调查”为由,对微点公司进行审查,带头人是网监处案件队副队长张鹏云——根据微点公司向北京市纪检处提供的实名举报材料中,2005年6月8日,瑞星公司就已经开始向于兵等人行贿。 “6月份的时候,网监处要求北京市所有的反病毒公司前去备案,我以为它们就是来审批我们的资质。可情况没这么简单,首先他们问我是不是人大代表、政协委员或是民主党派成员,说如果我是其中一种身份的话,就可以免于调查。来者也气势汹汹,动辄就问我有没有偷税漏税,传播病毒,这明显和单纯的公司资质调查不同”。 刘旭也发现,如果只是公司资质调查,调查人员应来自网监处产品管理科,而不是张鹏云所代表的案件队。另外,张队在调查过程中,拿的公文纸上有“讯问笔录”字样,警觉的刘旭质疑笔录的性质,对方回答说“没别的纸了,随便拿的。” 自觉来者不善的微点公司,猜测到这背后是瑞星公司在操纵,也寻求了相应的公关手段,试图改变被动的处境。他们托人向于兵询问,于兵说“刘旭和瑞星过节很深,你们不要管这个事情”。 接下来的事情,更是一场紧锣密鼓的策划。7月21日,公安局的办案人员将扣押的装有微点核心技术的计算机送到了公安局,而其中一部分竟然直接送到瑞星公司。于兵通过办案人员给刘旭“指明”两条出路,“一是把公司卖给像瑞星这样有实力、有背景的公司,二是不要在北京设立公司,搬回原籍福建”。 伪证如“山” 在于兵的一手策划下,2005年七八月间,江民公司、金山公司和启明星公司分别向北京市公安局网监处书面报告了2005年5月至6月病毒高发情况。 而时任金山公司市场部经理在供述中说,他们公司出具的2005年7月初爆发病毒情况的说明,“内容是网监处拟好的。” 北京市公安局网监处一名副处长后来也证实,“病毒每年都有,并不是2005年高发,现在看来应该是为做这个案子。” 据北京市纪检处公告,2005年8月,于兵部署他人到北京思麦特管理顾问有限公司和北京健桥证券股份有限公司北京管理部,在获悉两家公司有病毒感染但未造成损失的情况下,仍授意让思麦特公司和健桥公司,分别出具了10万元虚假损失证据材料。 同年8月27日,为证实这两家公司被感染的病毒是从田亚葵笔记本电脑中传播出来的,于兵授意他人召集病毒专家论证会。在论证过程中,没有给专家如实提供材料。后在于兵授意下,专家意见又被从“基本可以确定”改为“可以确定”。 此后,于兵指使他人到北京另外三家杀毒软件公司做工作,让三家公司分别出具虚假“病毒爆发”报案材料。同时,于兵指使委托由瑞星公司副总裁赵四章推荐的瑞星公司监事为合伙人的中润华会计师事务所,对田亚葵传播病毒案件涉及的有关损失进行评估,并将该会计师事务所的违规评估结论作为认定田亚葵构成“破坏计算机信息系统罪”和“侵犯商业秘密罪”的主要证据。 于兵等人“认定”,田亚葵所用的与互联网连接的笔记本电脑中,有四种病毒于2004年12月21日被激活,导致对外传播。而经查,田亚葵笔记本电脑上网的ADSL电话线是2005年4月1日才开通使用。而且,经国家信息中心电子数据司法鉴定中心重新鉴定,在田亚葵笔记本电脑中的四种病毒只发现了三种,而且从未被激活过。网监处据此发布关于“国内首例防病毒公司传播病毒案”的消息。微点公司被钉上耻辱的十字架。负责后勤的副总被抓,一名员工也被莫名通缉。 2006年7月28日,被关押了近11个月的田亚葵被准取保候审。 2008年7月,北京市纪委成立专案组对于兵等人的严重违法违纪问题进行立案调查。于兵等人造假的过程,从程序上看似乎无可挑剔,所以给田亚葵和刘旭的取证上访造成了极大的困难。 经查,于兵涉嫌收受瑞星公司贿赂、利用职务便利贪污公款,涉案金额巨大。瑞星公司副总裁赵四章已被批捕。 2007年11月20日,田亚葵在取保候审12个月后,北京市海淀区检察院对其作出了不起诉的决定。微点主动防御软件在被封杀两年半后,通过相关检测,获准上市。2008年2月,微点主动防御软件获得被阻挠了近三年的销售许可证。 这三年,微点公司只能以测试版供用户免费试用,创了软件公测时间之最。而国内其他的软件安全厂商,也已经注意到了主动防御病毒的重要性,在自己的产品中或多或少地加进了这样的概念。根据刘旭的测算,微点公司这三年的损失达3000多万元。 在被实名举报后,于兵也开始了一段颠沛的流亡史。2006年10月,于兵委托海南省陈某,用当地王某的户口身份,用自己的照片编造了户口本和身份证,随后用这个假身份办理了个人因私护照,以及港台、港澳通行证。2008年9月10月,于兵被北京市检察院批准逮捕。2008年9月18日,于兵在南非抓捕归案。10月7日,张鹏云、齐坤被逮捕。 2009年2月4日,于兵庭审之前,其下属、网监处民警张鹏云和齐坤已经被市一中院判刑。[3] 2010年8月20日,北京市公安局原网监处处长于兵被以贪污罪、受贿罪、徇私枉法罪,判处死刑,缓期两年执行,成为北京公安系统因腐败被施以最高刑罚的官员。检方认定其涉案金额高达千万,其中接受瑞星公司贿赂420万元。 |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。