0-day漏洞的防御

    每次出一个0-day，就意味着有一大批的网络用户要遭殃了。为了让读者能明白其中的厉害关系，下面我用图示来描述一下0-day的演变过程，如图1所示意。

图1 0-day的演变过程

       从图1中可以看出，存在一个实体中的潜在漏洞被各类漏洞人员发掘出来后因一些社会原因只是在一个很小的范围内传播这个漏洞的利用方法，这一批掌握着漏洞利用方法的人（漏洞发现人员和具有破坏性的黑客）可能会因为一些原因或是因为受到利益的驱动，从而利用该0-day漏洞来入侵网络上的计算机。显而易见，从0-day漏洞被发现到网络实体提供商以及安全公司发布补丁或解决方案的这段时间，网络上的计算机用户对利用0-day漏洞的攻击是没有任何防范对策的。

       从以上的阐述来看，0-day漏洞似乎是没有任何方法防范的，从某种意义上来说，的确如此，这也是“网络安全永远只能是相对的”这个论点成立的依据。在这种情形下，我们只能采取一些其它的措施来消除0-day漏洞攻击给我们带来的威胁。

        那么，我们在上述的论点都成立的情况下，如何来防御利用0-day漏洞的攻击呢？黑客攻击的最终的目的是要在目标计算机植入病毒或木马程序，那么只要反病毒软件能防止病毒或木马程序在网络用户的计算机上运行，理论上就可以防御0-day漏洞的威胁。

        不过，反病毒软件通过定义病毒特征码的方式要识别所有的病毒和木马程序是一件很困难的事情，所以对于反病毒软件来说，要发明一种识别未在网络上传播的病毒（对于反病毒软件技术人员来说是未知的病毒和木马程序，没有样本供分析和提取病毒特征码）；一些反病毒软件厂商也意识到了这些问题，如nod32反病毒软件的技术人员发明的一种称作“启发式”扫描的技术可以根据程序中对Windows系统的一些API函数的调用来分析程序的行为是否符合木马病毒的行为特征（凡是干坏事的人，行为总是鬼鬼祟祟；木马和病毒也跟干坏事的人一样，它们对计算机的操作也是鬼鬼祟祟的）；还有卡巴斯基反病毒软件的主动防御功能也是通过对程序对计算机操作行为的跟踪来判断程序是否是恶意程序，这也在很大程度上防止了病毒、木马和恶意程序对计算机的侵害，但卡巴斯基反病毒程序的主动防御功能判断一个程序是否病毒、木马或恶意程序的策略不是很清晰，故不能为用户提供很清晰的提示，还需要用户按照自己的认识来决定对被提示程序的操作。这就造成了一些计算机知识比较贫乏的用户无法使用这个功能，即使那些对计算机知识了解得很多的用户，因为操作的繁琐而放弃使用卡巴斯基反病毒软件的主动防御功能。相对来说还是nod32反病毒软件判断未知病毒的策略很清晰，也易于使用。如果开发nod32杀毒软件的厂商能够更好地改进他们识别未知病毒的策略，nod32杀毒软件将是一款能很好地识别未知病毒的反病毒软件。