从专利视角浅析反病毒技术

豆豆samuel 2017-07-07

展开全文

勒索病毒的前世今生^[1]

2017年5月12日，全球约100个国家遭受了大规模网络攻击。不法分子利用了美国国家安全局网络武器库泄漏出的危险漏洞“Eternal Blue（永恒之蓝）”改造的远程“蠕虫病毒”，它能够远程攻击Windows的445端口（共享文件夹和共享打印机），对感染电脑上的磁盘文件进行加密锁住，其中的图片、文件、视频、压缩包等各类资料都无法正常打开和运行。这就是近几日来让人谈之色变的“Wannacry勒索病毒”。

所谓“勒索病毒”是一种流行木马，通过绑架用户文件的方式，使用户数据资产或计算机资源无法正常使用，并以此为条件向用户勒索钱财。这类数据包括文档、邮件、数据库、图片等多种文件。赎金则包括真实货币、比特币以及其他虚拟货币。

一般来说，勒索软件作者还会设定一个支付时限，有时赎金数目也会随着时间的推移而上涨；有时，即使用户支付了赎金，最终也还是无法正常使用系统，无法还原被加密的文件。

最近爆发的“WannaCry勒索病毒”属于典型的勒索病毒，它加密被感染设备上的数据文件，并要求在规定时间内支付解密费用，否则就威胁永久删除被感染文件。

图1 WannaCry勒索病毒勒索界面

这次“勒索病毒”的大规模爆发，使得信息安全再次进入人们的视野，获得人们的高度重视。

其实勒索病毒由来已久，最早的勒索病毒出现于1989年，由哈佛大学毕业生Joseph Popp创建。它通过对称加密的方式加密C盘全部文件，虽然解密攻击可以很快地恢复文件名称，但该恶意代码打开了勒索病毒的大门，使得勒索病毒开启了为期30年的勒索攻击。

我国首个勒索木马（Trojan/win32/Pluder）出现在2006年，该木马会隐藏用户文档和包裹文件，然后要求支付相应的赎金。

图2 勒索病毒演化史

关于反勒索病毒的研究一直在持续，但相关的专利申请则是近几年才开始。

从我国公司申请的相关专利来看，关于反勒索病毒的专利的数量仅十篇，且申请日均在2014年到2016年，其中以2016年的数据量最为突出。相关专利申请人也相对比较集中，其中以安天科技股份有限公司的6篇为主，其次是福建平实科技有限公司的2篇，珠海室君天电子科技有限公司1篇，倪茂志个人申请1篇。

国外关于反勒索病毒的专利也较少，且申请公司比较分散，F安全有限公司、瞻博网路公司以及趋势科技公司等均有涉及，但申请时间也主要集中在2013年到2016年这四年。

从专利布局的角度来看，面对日益严峻的勒索软件攻击事件，有关反勒索病毒的研究还是显得相当不足。这次勒索病毒的大面积扩散，使得勒索病毒强势进入公众的视线，必将会引起新一轮对反勒索病毒的相关研究。

然而勒索病毒只是众多已知病毒的冰山一角。随着科技的快速发展，各种智能产品日新月异，如以windows（微软）、mac OS （苹果）、Linux（自由开发联盟）为主流系统的笔记本，以IOS、andriod、塞班为主流系统的移动终端，便携式移动终端受到大众的信赖，加之我国信息化时代的高速发展，移动支付（mobile payment）为大众生活方式提供了更多便捷，智能产品中下载的各类支付APP（如网银终端、支付宝等）构成了更多的用户隐私数据，与此同时，病毒的种类和攻击方式也随之发生了多样性的变化，比较常见的是宏病毒、CIH病毒、蠕虫病毒和木马病毒及其变种，攻击方式从传统的通过网页插件、邮件、短信、APP下载等方式感染，到通过公共场合的共享wifi、二维码等方式传播，可谓“防不胜防”，对于病毒愈发活跃的攻击，安全防护意识和反病毒工具越来越重要，反病毒技术研究的脚步从未停止，一直为国内外的研究重点。

全球反病毒技术专利总量的分布

根据VEN虚拟数据库专利检索的结果，全球范围内关于病毒处理领域的专利申请量为7057件，其中美国专利申请量为2470件（占全球总量的35％），达到全球总量第一，中国专利申请量为1850件（占全球总量的26％），来自美国的申请量最多，其次是我国，紧随其后的是欧洲专利局，韩国专利局以及日本特许厅。

专利申请量在一定程度上反映了该国在该领域的科研实力。因此在一定程度上来讲，美国在该领域的话语权最大，其次是我国。

图3 全球反病毒技术专利分布

全球反病毒技术专利申请趋势分布

根据VEN虚拟数据库专利检索的结果（2007年至2016年），全球来看，病毒处理的专利申请量在2007年至2016年间以波浪式发展，中国专利申请自2007年来呈整体增长趋势，2010年前整体增长较为缓慢，在2011年－2013年出现明显增长。

而美国专利申请在2013年达到一个顶峰后开始缓慢下降，由于发明专利申请通常自申请日起18个月（要求提前公布的申请除外）才被公布，因此，2015年和2016年申请的部分专利至今未满18个月，2015、2016年实际的申请量应更多。

尤其在2016年，我国当年公布专利申请量已经超越美国公布量，成为全球专利申请量最大的国家。一方面说明我国企业对反病毒的不断重视，也间接说明病毒对我国的危害越来越大。

图4 全球反病毒技术专利申请趋势分布

全球反病毒技术领域主要申请人分布

根据VEN虚拟数据库专利检索的结果，全球专利申请量排名前10位的分别为：MCafee、Symantec、奇智/奇虎、腾讯、Microsoft、IBM、Kaspersky、金山、Intel、Trend Micro Inc，其中中国企业360旗下的奇智/奇虎，腾讯以及金山分列第3、4、8位。

其中MCafee在该领域的申请量为397件，中国企业奇智/奇虎的申请量为377件，腾讯为340件，金山为197件。可见MCafee作为该领域的传统公司，其公司成立时间较早，一直是该领域的佼佼者。

另外可喜的是，中国公司在这领域的强势崛起，这与我国信息产业的快速发展密不可分。

图5 全球反病毒技术领域十大申请人

而从图6可以看出前5位申请人在反病毒领域10年的申请量变化， 2012年至2014年各大公司的申请量都在爆发式增长，360公司以及腾讯公司的表现尤为抢眼，申请量超越了MCafee分别跃居第一位和第二位，一方面源于近几年我国对知识产权保护的重视以及出台的鼓励政策，另一方面也与国内互联网领域技术发展加快、移动终端快速发展随之带来的巨大病毒安全威胁、资本投入持续加大、研发力度不断加强有关，我国正在加速赶上美国。

2013年开始，各大公司的申请量或多或少都在减少，在一定程度上，说明对病毒的检测和处理的研究达到了一个瓶颈期，因此迫切需要寻找新的角度或方向来开展反病毒的研究。

图6 重要申请人不同年份的申请量

全球反病毒技术领域主要申请人技术热点分布

从技术热点来看，动态检测以及静态检测是中国以及全球最热门的两大反病毒技术[2] [3]，其分别占全球总申请量的40％以及33％，动态检测是指在沙箱等安全环境下对程序运行时行为特征进行检测，静态检测则是依据软件的源程序或二进制代码进行扫描，直接分析被检测程序的特征。

图7 病毒检测或处理的常用技术

常用的病毒静态检测方法有：

1、长度检测法，病毒最基本的特征是感染性，感染后最明显的症状是引用宿主程序的增长，一般增长几百字节。所谓长度检测法，就是记录文件的长度，运行中定期监视文件的长度，从文件的长度的非法增长现象发现病毒。如发明名称为用于网络入侵检测系统的快速匹配方法的中文专利CN102201948A；

2、病毒签名检测法，病毒签名（病毒感染标记）是宿主程序已被感染的标记。不同的病毒感染主程序是，在宿主程序的不同位置放入特殊感染标记。如发明名称为一种基于多鉴定器集合的病毒在线检测方法的中文专利CN104123501A；

3、特征代码检测法，在可疑程序中搜索某些特殊代码，来判断宿主程序是否受感染，如发明名称为一种程序检测的方法、装置及程序分析的方法的中文专利CN101183414A；

4、校验和法，对正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或在每次使用文件前，检查文件在内容算出的校验和与原来保存的校验和是否一致，来判断文件是否感染。如发明名称为反病毒分析期间选择同或异步文件访问方法的系统和方法的中文专利CN103631904A；

常见的病毒动态检测方法有：

1、软件模拟法，具体是指一种软件分析器，用软件方法模拟和分析程序的运行。如发明名称为一种应用程序样本检测的方法及装置的中文专利CN102736944A；

2、沙箱行为检测法，将被检测文件提交到沙箱与行后，通过API HOOK检测程序的行为特征。如发明名称为一种实现沙箱智能检测文件的方法及其沙箱智能检测系统的中文专利CN104200161A。

图8给出国外有关病毒检测相关技术代表性专利。