组合式威胁

　　今天的网络威胁频繁地把大量看似无害的程序组合在一起以形成感染链。例如，经常被网络威胁利用的单个下载器程序可能看似无害。但是当它们用来把恶件下载到一个毫无防备的用户的计算机上时，该程序就会变成恶意程序，基于文件的启发式扫描对此将无能无力。网络威胁经常会把这种技术扩大到多层、多协议的协调式攻击，以避免被传统安全方式发现。例如，网络犯罪分子在电子邮件或即时讯息中嵌入URL链接。如果用户点击了某个被网络犯罪分子于几天或几小时之前攻击的合法URL的链接，则ActiveX控件将测试用户浏览器的漏洞。如果发现了漏洞，恶件就会发起攻击。如果没有，则会下载一个文件，测试其它漏洞，或者再下载其它文件，不断重复测试。每个单独的部分均看似无害，但是联合起来就变成了协同攻击。单一的安全解决方案不再能囊扩网络威胁的方方面面。因此，今天的信息安全正处在一个关键的转折点上——急需一种全新的方法来应对当今高度复杂的序列式混合威胁。

　　网络威胁的爆炸式增长

　　以往，网络犯罪分子一直在提高他们的恶件开发技能，而安全行业也通过推出新的技术来应对这类威胁，然而最近，新型威胁和组合式威胁的爆炸式增长让防护工作变得复杂起来。例如，AV-Test GmBH表示，1998年安全厂商共收集到1,738种独特的威胁样本。那个时候，安全专家监测到近30种签名，因为样本很容易组合形成特征码。 10年以后，独特恶件样本数量攀升至177,615种，仅仅2008年前两个月就报告了110万种独特样本。

图1：仅仅2008年前两个月AV-Test.org就报告了110万种独特的恶件样本。

　　趋势科技的研究、服务和支持中心全球网络TrendLabs的发现证实了上述观察结果。从2005年到2008年头两个季度为止，TrendLabs报告网络威胁增长了1,731%。TrendLabs研究人员也预测，如果威胁数量继续以现在的速度增长，那么2015年将会出现2.33亿种独特威胁。为了获得充分保护，每个小时端点系统需要探测超过26,598种新型威胁。这些数字充分表明，跟踪每日威胁发生率然后发布及时安全更新的传统方法已经远远不够。

图2：从2005年到2008年前两个季度，TrendLabs报告网络威胁增长了1,731%。

　　威胁数量也在因为变种而不断增加——例如，特洛伊每个小时或每天都在变化，试图骗过安全扫描仪。这意味着实际上有数百万独特恶件可能都是同一类恶件的变种。网络犯罪分子完全了解发布更新的困难，因此他们充分利用这一点，共同尽可能更快地创建新型恶件。

图3：数量问题

   原文出处：http://219.234.88.31/edm/TrendMicro/TMweb/page_ya_4_1.html