主動防禦

主動防禦

主動防禦此處特指通過對計算機病毒的行為進行分析來實現檢測的技術。

名詞定義

主動防禦此處特指通過對計算機病毒的行為進行分析來實現檢測的技術。

主動防禦技術

名詞解釋

主動防禦是基於程式行為自主分析判斷的實時防護技術,不以病毒的特徵碼作為判斷病毒的依據,而是從最原始的病毒定義出發,直接將程式的行為作為判斷病毒的依據。主動防禦是用軟體自動實現了反病毒工程師分析判斷病毒的過程,解決了傳統安全軟體無法防禦未知惡意軟體的弊端,從技術上實現了對木馬和病毒的主動防禦。

國內發展

主動防禦
目前,國內具有或宣傳具有主動防禦功能的安全軟體驅逐艦防毒軟體微點金山毒霸江民等,廠商宣稱可以防禦未知病毒、未知威脅、0Day攻擊等。根據安全專家的分析,所謂“主動防禦”其實是針對傳統的“特徵碼技術”而言的。面對當前形形色色的主動防禦概念,劉旭指出,與所有的反病毒技術一樣,主動防禦技術也必須要實現對程式的性質做出明確判定,是病毒,就應明確報警並提示用戶發現病毒。如果只是對程式的單一動作報警,由用戶自己判斷這個動作是否具有威脅,就不是主動防禦。這裡所說的程式動作,是指反病毒軟體監控到程式調用了Windows提供的某個API。API是Windows為程式開發提供的功能,正常程式可以使用,病毒也可以使用,也就是說API本身並沒有善惡之分。如果僅僅依據程式的一個動作就報警,那么普通的用戶實在難以判斷這個動作究竟是否有害,更會感到無所適從,這顯然不是廣大計算機用戶所需要的反病毒技術。

主動防禦技術特點

一、創立動態仿真反病毒專家系統

對病毒行為規律分析、歸納、總結,並結合反病毒專家判定病毒的經驗,提煉成病毒識別規則知識庫。模擬專家發現新病毒的機理,通過對各種程式動作的自動監視,自動分析程式動作之間的邏輯關係,綜合套用病毒識別規則知識,實現自動判定新病毒,達到主動防禦的目的。

二、 自動準確判定新病毒

分布在作業系統的眾多探針,動態監視所運行程式調用各種套用編程接口(API)的動作,自動分析程式動作之間的邏輯關係,自動判定程式行為的合法性,實現自動診斷新病毒,明確報告診斷結論;有效克服當前安全技術大多依據單一動作,頻繁詢問是否允許修改註冊表或訪問網路,給用戶帶來困惑以及用戶因難以自行判斷,導致誤判、造成危害產生或正常程式無法運行的缺陷。

三、程式行為監控並舉

在全面監視程式運行的同時,自主分析程式行為,發現新病毒後,自動阻止病毒行為並終止病毒程式運行,自動清除病毒,並自動修復註冊表。

四、 自動提取特徵值實現多重防護

在採用動態仿真技術的同時,有效克服特徵值掃描技術滯後於病毒出現的缺陷,發現新病毒後自動提取病毒特徵值,並自動更新本地未知特徵庫,實現“捕獲、分析、升級”自動化,有利於對此後同一個病毒攻擊的快速檢測,使用戶系統得到安全高效的多重防護。

五、可視化顯示監控信息

對所監控程式行為的信息可視化顯示,用戶可隨時了解計算機正在運行哪些程式,其中哪些是系統程式,哪些是應用程式,還可進一步了解程式是何時安裝,什麼時候運行,運行時是否修改了註冊表啟動項,是否生成新的程式檔案,程式是否具有自啟動,程式由誰啟動執行,程式調用了哪些模組,以及當前網路使用狀況等等。用戶直觀掌握系統運行狀態,並依據其分析系統安全性。既可用作系統分析工具,又可作為用戶了解計算機系統學習工具

相關詞條

相關搜尋

熱門詞條

聯絡我們