用户总在抱怨，现在是不用杀毒软件不行，用了杀毒软件作用也不大。到底有没有一种新的杀毒方法，像人体免疫机能一样，能够对病毒实行主动防御呢？

 传统反病毒的流程始终无法防范未知病毒

“杀毒软件在核心技术的研发上，已经达到了一个相对成熟的时期，但还是不能解决肆意泛滥的病毒，若想有所突破很难。”这已经成为业内专家和厂商的一套常用辞令。病毒确实难防。

用户总在抱怨，现在是不用杀毒软件不行，用了杀毒软件作用也不大。刚刚结束了与瑞星在单机版软件渠道上的合作，连邦软件常务副总裁邢晓炜觉得，目前用户对现有的防病毒软件虽然不满，但也很无奈。

越来越嚣张的病毒

十多年来，反病毒领域已经经历了两个发展阶段：以防毒卡为代表的防毒阶段和以杀毒软件为代表的杀毒阶段。虽然绝大多数用户的计算机中都安装了各种品牌的反病毒软件，可令人遗憾的是，用户所面临的病毒危害并没有因此显著降低。

反病毒技术的研究主要禁锢于特征值扫描法，而如今卡巴斯基、金山、瑞星、江民等公司都在倡导主动防御技术，但也只是把主动防御作为其中一项功能，并不能代表产品本身就是一套完整的主动防御体系。

据今年3月19日的《华盛顿邮报》报道，德国AV测试实验室（AV Test Labs）仅2007年就收集到550万个新病毒样本，这个数量是2006年的4倍，2005年的15倍。现在，国内外反病毒公司普遍认为2008年新病毒的数量将突破1000万个。2007年，国外安全分析师曾经预言：如果反病毒技术没有彻底革新，“杀毒软件将死”。

黑客和病毒制造者越来越狡猾，他们正改变以往的病毒编写方式，研究各种网络平台系统和网络应用的流程，甚至杀毒软件的查杀、防御技术，寻找各种漏洞进行攻击。

以目前最流行的“机器狗”为例，其最大的特点就是隐蔽性和攻击的定向性，它不仅可以对抗常见的安全软件，还能利用迅雷、QQ、联众等一切应用程序的漏洞侵入用户电脑。

最近，有一批受害企业和网民在互联网上发起了所谓的打“狗”行动。甚至，一家杭州企业发出了悬赏50万元通缉“机器狗”病毒作者的公告。

如今的病毒发展越来越成熟，也越来越嚣张。曾经风靡一时的加壳技术已经落伍，病毒不再需要藏身的“马甲”，甚至已经从对杀毒软件实施“免杀”进展到“追杀”。

滞后的安全防线

从杀毒软件的核心技术来说，大多数市场上主流的杀毒软件的核心依然是基于“特征值”识别技术，这也决定了杀毒软件本质上是一种亡羊补牢的软件。

可以理解为，只有某一段代码被编制出来之后，才能判断这个代码是不是病毒，才能谈到去检测或清除这种病毒。现在的反病毒技术杀毒的流程为：当用户发现计算机出现异常现象，怀疑可能被病毒感染→具有一定反病毒知识的用户将可疑文件通过邮件等途径发送至反病毒公司→反病毒公司收到可疑文件后，由病毒分析工程师进行人工分析→如果认定是病毒，则从病毒代码中提取该病毒的特征值，然后制作升级程序并将其放在互联网上→最后，待用户升级反病毒软件后，才能对这个病毒进行查杀。但在用户升级之前，用户计算机上的传统反病毒产品无法阻止该病毒的感染和破坏。

反病毒公司已经提取特征值的病毒称为已知病毒，未提取特征值的病毒就称为未知病毒。特征值扫描技术依赖于从病毒体中提取的特征值，未获得病毒体就无法取得特征值。其技术原理决定了，特征值扫描技术只能识别已知病毒，不能防范未知病毒。

就在这个世纪初，专家也都还认为防范未知病毒是基本上不能完成的构想。有专家指出：电脑如果能够做到防范未知病毒，那么人工智能的水平将超过通过图灵试验的程度。

面对每分钟数以千计新出现的各种病毒，如何创造某种形式未知病毒发现技术已经成为信息安全产业亟待解决的问题。

病毒作者每天对病毒进行更新，升级速度甚至超过了杀毒软件。瑞星公司研发部副总经理马杰说，“熊猫烧香”病毒不断更新，使得杀毒软件也要被迫不断升级，可“熊猫烧香”病毒的感染和破坏并没有因此而得到有效遏制。在这场长达数月的较量中，传统杀毒软件无力为用户提供有效保护，直到病毒编写者被捕后才告结束。“熊猫烧香”病毒的出现，已经凸显传统反病毒技术的致命缺陷。

国内反病毒专家刘旭认为，杀毒软件对新病毒的防范始终滞后于病毒出现，这种滞后的杀毒技术使得防范网络新病毒被动地处在一个又一个“时间差”的危险之中。即从一种新病毒出现，到厂商人工捕获病毒，再到分析病毒样本，最后完成杀毒软件升级之前，这一段时间内，用户对该病毒没有防范能力，处在“滞后”状态。

从防毒到免疫

中国工程院院士沈昌祥多次谈到关于利用可信计算和主动防御实现增强信息安全的“免疫”问题。

那么，到底有没有一种新的杀毒方法，像人体免疫机能一样，能够对病毒实行主动防御呢？

IBM曾经提出数字免疫系统，采用的是模拟人体的免疫功能，从人工智能入手，建立一套比较完整的、实时攻防的防御体系。从实现的模式来看，是多台机器通过中央计算机的调配实现防御能力，起到类似人体的免疫系统的作用。

而微点主动防御软件描述的程序行为是指利用软件监控程序运行过程中的一系列动作，综合应用病毒识别规则进行判断。这与IBM的防御理论和思想大相径庭，相当于把类似人脑功能的人工智能程序放到软件里，由软件自行识别，准确预报病毒并自动清除。

刘旭在2005年首次提出了“主动防御”的概念。其核心思想就是从最基本的病毒定义出发，将程序的行为作为判断病毒的依据，通过分析、归纳各种病毒行为，形成病毒行为知识库，建立起仿真反病毒专家系统，模拟人工识别病毒的过程，融合仿真反病毒评估模型的智能化技术，实现对未知病毒和新病毒的自主识别、明确报出和自动清除，从而达到抵御病毒的效果。

面对当前形形色色的主动防御概念，刘旭指出，与所有的反病毒技术一样，主动防御技术也必须要对程序的性质做出明确判定，是病毒，就应明确报警并提示用户发现病毒。如果只是对程序的单一动作报警，由用户自己判断这个动作是否具有威胁，就不是主动防御。这里所说的程序动作，是指反病毒软件监控到程序调用了Windows提供的某个应用程序编程接口（API）。

API是Windows为程序开发提供的功能，正常程序可以使用，病毒也可以使用，也就是说API本身并没有善恶之分。如果仅仅依据程序的一个动作就报警，那么普通用户实在难以判断这个动作究竟是否有害，更会感到无所适从，这显然不是广大计算机用户所需要的反病毒技术。

于是，刘旭通过对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼成病毒识别规则知识库；模拟专家发现新病毒的机理，通过分布在操作系统的众多探针，动态监视所运行程序调用各种API的动作，将程序的一系列动作通过逻辑关系分析组成有意义的行为，再综合应用病毒识别规则知识，终于研发出了自动判定病毒的主动防御系统。

在东方微点公司副总经理田亚葵看来，面对如今越来越“成熟”的病毒，用户真正需要的是通过主动防御的杀毒方式构建起计算机的免疫系统，一方面可以有效减少电脑的中毒概率，另一方面提高电脑的病毒抵抗能力，从而使用户更加从容地应对病毒。

如果说数字免疫系统类似于人体免疫系统，主动防御就如同人体免疫系统的免疫细胞。前者建立一个计算机群实现防御，后者是一个落到实处的个体防御，但能否成功依赖于人工智能的发展。