7.2 恶意代码防范理论模型
在农作物病虫害防治中,有一个模型叫类IPM模型。根据这个模型,我们可以用农作物的病虫害与恶意代码进行下述类比。
对农作物的害虫而言:它们“寄生”在健康的“有机体”上,并且“掠夺”农作物资源;通过有机体间的联系而侵害其他有机体;存在它们出没的“痕迹”;通过伪装隐藏自身;由传染机理和破坏机理所构成,对农作物产生危害。于是可以将恶意代码类比如下:
(1)把计算机程序或磁盘文件类比作不断生长变化的植物;
(2)把计算机系统比作一个由许多植物组成的田园;
(3)把恶意代码看成是侵害植物的害虫;
(4)把计算机信息系统周围的环境看成农业事物处理机构。
农业上的IPM(Integrated Pest Management)模型实质上是一种综合管理方法。它的基本思想是:一个害虫管理系统是与周围环境和害虫种类的动态变化有关的。它以尽可能温和的方式利用所有适用技术和措施治理害虫,使它们的种类维持在不足以引起经济损失的水平之下。
因此,对恶意代码的遏制就可以借用农业科学管理中已经取得的成就,如IPM模型。虽然两者之间存在很大差别,但它们都是为了解决系统被侵害问题,因此其防治策略和方法类似。例如,像经常性地检查是否有虫害发生一样,可以通过一定的技术手段,如特征扫描、静态代码分析等方法来检测计算机或移动智能终端是否有恶意代码存在。根据恶意代码的含义,知道恶意代码会侵害磁盘文件,也能扩散和驻留在存储介质上。因此,恶意代码必定存在“写操作”,即恶意代码生命周期中的薄弱环节就是“写操作”。由于恶意代码一定会向可执行文件进行“写操作”,把自身复制到存储介质或依附于宿主程序中,因此遏制恶意代码扩散的关键是防止“写操作",识别文件或程序是否已经包含了恶意代码的特征码等。
以上介绍的防治恶意代码的理论模型虽然只是简单的类比,但是这个理论模型对于当前恶意代码的宏观防治仍然具有有益的启示作用。
“类IPM模型”理论的启示如下。
(1)寻找害虫生命周期中的薄弱环节并进行针对性控制。
(2)设计并监控防范措施,使之能适应各种变化。一成不变的管理防范手段不足以彻底地遏制恶意代码的攻击。
(3)不能仅仅针对那些具有较高价值的文件采取防范恶意代码的措施,而应始终如一地对整个系统进行安全防护。借鉴病虫害防止的策略,可以经常性地对系统环境进行病毒查杀,以达到清除病毒的作用。
(4)越是根据文件价值的大小而采取不同的安全措施,恶意代码的平均种类就越会增多。
(5)遏制恶意代码的核心是人或管理上的问题,而不是技术上的问题。