Bất cập của công nghệ chống virus hiện nay.
Trong gần hai thập kỷ qua, các hệ thống phòng chống virus luôn phải đương đầu với những tấn công của virus máy tính dựa trên phương pháp nhận dạng các đoạn mã độc hại (Signature-based). Với phương pháp này, khi một virus máy tính mới xuất hiện, các hãng phần mềm chống virus sẽ nghiên cứu và đưa ra các đặc điểm nhận dạng của virus (các mẫu virus - pattern file). Các sản phẩm chống virus sẽ quét, phát hiện virus dựa trên việc so sánh mẫu và diệt các virus đã được nhận dạng. Theo Joshua Corman, Giám đốc Kỹ thuật sản phẩm của ISS: “Với các phần mềm chống virus dựa trên công nghệ tựa mẫu, hệ thống mạng của bạn vẫn sẽ bị ảnh hưởng bởi tấn công của virus trong giai đoạn đầu, trước khi virus được nhận dạng. Công nghệ quét và phát hiện virus dựa trên các mẫu virus chỉ có hiệu quả đối với các loại virus đã biết”. Để giải quyết vấn đề này, Trung tâm nghiên cứu X-Force của ISS đã nghiên cứu và đưa ra một công nghệ chống virus thế hệ mới, bổ sung nhiều điểm mới so với các hệ thống chống virus theo công nghệ tựa mẫu cũ. Công nghệ này được gọi là Hệ thống ngăn chặn virus (Virus Prevention System - VPS).
Mô tả về công nghệ VPS:
Kế thừa các sản phẩm phần mềm chống virus truyền thống dựa trên công nghệ tựa mẫu, công nghệ VPS phát hiện virus dựa trên hành vi của các đoạn mã lệnh chứ không chỉ đơn thuần dựa trên các dấu hiệu nhận biết của đoạn mã đó. Ta có thể hình dung: một hệ thống chống virus truyền thống như một cơ quan công an phát hiện tội phạm dựa trên tàng thư lưu trữ của chứng minh thư nhân dân, các đặc điểm nhận dạng như vân tay,… còn VPS như một hệ thống giám sát và phát hiện tội phạm dựa trên hành vi phạm tội bất kể người đó là ai. Bằng việc phát hiện và ngăn chặn xâm nhập dựa trên hành vi của các đoạn mã lệnh, VPS có thể chủ động phát hiện được virus mà không cần cập nhật các mẫu virus.
VPS bản chất là một hệ thống phát hiện và chống lại các đoạn mã lệnh nguy hiểm trên máy tính bằng phương pháp phát hiện theo các mẫu hành vi (behavior). VPS có một danh sách các hành vi (behavior) của các đoạn mã lệnh được coi là nguy hiểm.
Bên cạnh đó, VPS tạo ra một môi trường ảo mô phỏng lại máy tính cần được bảo vệ. Khi một đoạn mã lệnh chuẩn bị được thực hiện trong hệ thống, VPS sẽ đưa nó vào chạy trên môi trường ảo này và phân tích xem đoạn mã lệnh khi hoạt động sẽ thực hiện các hành vi và gây ra hậu quả như thế nào. Nếu như các hành vi mà đoạn mã lệnh gây ra có những đặc điểm giống với những hành vi của virus thì đoạn mã lệnh đó được coi là gây hại cho hệ thống và VPS không cho phép thực hiện trên hệ thống thật.
Cơ chế hoạt động của VPS:
Số lượng các loại virus, sâu máy tính trên thế giới đã biết cho đến nay là rất lớn. Mỗi ngày, mỗi tuần lại có thêm hàng chục loại virus mới xuất hiện. Tuy vậy, số lượng các phương pháp, kỹ thuật tạo ra virus và các hành vi, hình thức hoạt động của chúng lại ít hơn rất nhiều. Dựa trên đặc điểm đó, VPS hoạt động trên một thư viện mẫu các kỹ thuật tấn công, các hành vi của virus máy tính. Như vậy, một khi VPS đã biết được một kỹ thuật hoặc hành vi của virus thì tất cả các virus hoạt động với cùng kỹ thuật đó sẽ bị ngăn chặn. Một ví dụ đơn giản là một đoạn mã lệnh bình thường sẽ không thực hiện việc tự nhân bản chính nó. Vậy, nếu VPS nhận diện được hành vi tự nhân bản của virus thì sẽ phát hiện được tất cả các loại virus sử dụng kỹ thuật nhân bản này mà không cần phải có mẫu của tất cả các virus đó. VPS có khả năng chống lại được một số tấn công mà nó chưa biết bởi những biến thể của virus một cách hiệu quả mà không cần phải cập nhật thường xuyên.
Ví dụ điển hình về khả năng này là sự kiện VPS chống lại các cuộc tấn công của các biến thể virus Bagle: trong ngày 31 tháng 5 năm 2005, virus Bagle xuất hiện hơn 8 biến thể liên tục khiến cho các hệ thống chống virus thông thường không kịp cập nhật các mẫu Bagle mới. Trong khi đó hệ thống VPS trên các phần mềm Proventia Desktop phát hiện và ngăn chặn được tất cả các biến thể của virus Bagle mà không cần cập nhật do nắm được hành vi thực hiện của loại virus này.
Các kết quả thử nghiệm: