多态恶意软件会适应当前环境，逃避安全软件检测，对目标计算机进行攻击。这种恶意软件可轻易地逃避基于签名的扫描仪和其他标准检测方法，因为当它在执行时，它会不断改变其攻击的性质。

但是，如果我们能利用这种相同的行为用于防御措施呢？这里的想法是，让目标计算机或系统看起来在不断改变，让恶意软件不能轻易感染它。这似乎是非常复杂的概念，但这正在得到越来越多人的关注。

事实上，多态就是很多安全学术研究人员一直所说的“移动目标防御”，只是换了个说法，他们已经对这种技术研究了很长一段时间。去年11月在美国亚利桑那州举行的计算机学会（ACM）就谈到了部署这种防御的各种方法，例如通过博弈论和其他高级算法。

这些研究项目已经进入了下一个阶段，JumpSoft、Morphisec、Shape Security和CyActive等供应商也推出了围绕该技术的一系列新安全产品。虽然所有这些供应商的产品仍处于非常初期的阶段，但你可以了解他们正试图做什么以及这个概念发展的速度之快。

当然，保护基于互联网的资产已经变得更加复杂。安全研究人员Dudu Mimran在博客文章中谈到了日益扩大的数字差距，因为“安全工具的发展速度没有跟上IT基础设施，而多态防御的目的是破坏这种现有知识基础，让攻击更难以进行”。

这是因为很多攻击者依靠对特定操作系统、设备或应用的知识，然后通过漏洞利用来瞄准其薄弱环节。让系统难以识别可以使它们更难攻击，从而提高网络安全性。Mimram同时也是Morphisec公司的首席技术官，该公司计划在不久的将来推出其第一款产品。

同时，Shape Security公司将其ShapeShifter产品称为“第一个僵尸机器墙”，这个设备可以保护用户界面和客户端的Web服务器。正如该初创公司在其网站所说，“利用多态技术让你可以保持代码的功能，同时转换其表达的方式。在这个例子中，简化的登录表单中有某些属性被随机字符串所替换，而所得代码会破坏旨在提交该表单的恶意软件、僵尸机器或其他攻击程序，但这些代码看起来与原来的表单相同。”

通过利用这种多态防御，客户可以阻止DDoS、浏览器中间人和账户接管攻击。Shapeshifter安装在负载均衡器后面，只要通过几个简单的防火墙规则将流量导向到其中，该设备就可以运行。

在过去，对很多网站进行保护的一种方法是通过速度、容量和IP地址限制来防止大量自动化登录尝试。但恶意软件操作者会利用大量IP地址运行的大规模分布式僵尸网络拦截大量登录凭证，然后利用这些窃取的登录凭证来绕过这些限制。还有另一种流行的做法是利用CAPTCHA来保护登录；但这已经不再流行，因为现在已经有很多自动化或大规模手动方法已经超越它们。

Shape的设备在每次网站被查看时，都会动态地改变受保护网站的底层代码，以防止这类型的脚本用于登录漏洞利用。

Mimram在其博客中称：“‘多态’部分是这种方法的重要组成因素，因为对架构的改变可以连续远程进行，极大地提高了猜测的难度。通过部署多态技术，攻击者无法对受保护区域构建有效的多用途攻击。”他认为所有多态防御应具有以下四个属性：

• 首先，从某个可信来源开始，控制对主机的动态变更
• 接着，构建一个解决方案，不容易被典型的攻击模式所发现，这让它们更具灵活性
• 整合内部代码变更，让这些变更对用户或软件程序不那么明显
• 最后，强化代码，增加逆向工程和传播的难度

而CyActive公司则使用仿生算法作为智能检测器的训练数据，该检测器可发现和阻止未来恶意软件变体。Paypal最近收购了CyActive技术，这表明这个市场正在受到重视。

JumpSoft也有自己的软件管理平台，被称为JumpCenter，其中包括JumpCenter Moving Target Defense（MTD）；用户可以注册免费试用版。该公司声称其代码可保护所有7层网络应用。

目前我们还不清楚这些多态防御是否能够抵御更复杂的漏洞利用。但至少我们在试图让这变成与攻击者的公平竞争，攻击者最终可以尝尝他们自己的恶意技术的苦头。