更新时间:2023-11-23 21:23
主动防御是与被动防御相对应的概念,就是在入侵行为对信息系统发生影响之前,能够及时精准预警,实时构建弹性防御体系,避免、转移、降低信息系统面临的风险。
主动防御是一种阻止恶意程序执行的技术。
像Symantec、McAfee、eSafe、Panda等厂商在2004年先后已提出了他们各自的主动防御技术
关于主动防御的定义,业界一般都认为是一种不依赖于传统的特征码扫描,其特征库(行为、规则等)不需要即时更新的识别新病毒的技术。而且很久之前业界就有共识:主动防御像别的技术一样,并不能包医百病,而只是传统的被动防御技术的一个很好的补充。
江民科技,瑞星,金山,等厂商先后在2005年到2009年间推出了带有主动防御功能的杀毒软件,比国外的安全软件厂商稍晚一些。
随着“主动防御”概念的流行,一些厂商的进行了大量的片面宣传,以“程序活动行为分析”取代完整的主动防御概念,利用其能够直接查出未知病毒的特性,欺骗很多用户认为其就是主动防御,实际上其只是“智能主动防御”中的一部分。
许多宣称具有主动防御功能的安全软件,都只完成了三层架构中的“程序活动行为分析”或“资源访问规则控制”。
(“智能主动防御”与主动防御的区别)
反病毒厂商使用的主流技术依然是沿袭多年的“特征码查杀”技术,其反病毒流程是“截获-处理-升级”。虽然这种技术已经非常成熟可靠,但是它总是滞后于病毒的传播,也就是说,当反病毒厂商截获新病毒的时候,已经有部分用户被病毒侵害。“主动防御”最初出现时,就是为了弥补传统“特征码查杀”技术的致命弱点——对新病毒的滞后性。
第一层:资源访问控制层(即HIPS)
它通过对系统资源(注册表、文件、特定系统API的调用、进程启动)等进行规则化控制,阻止病毒、木马等恶意程序对这些资源的使用,从而达到抵御未知病毒、木马攻击的目的。
第二层:资源访问扫描层(即传统的文件监控、邮件监控等)
通过监控对一些资源,如文件、引导区、邮件、脚本的访问,并使用拦截的上下文内容(文件内存、引导区内容等)进行威胁扫描识别的方式,来处理已经经过分析的恶意代码。
第三层:进程活动行为判定层(危险行为判定、DNA识别)
进程活动行为判定层自动收集从前两层传上来的进程动作及特征信息,并对其进行加工判断。瑞星专家经过对数十万病毒的危险行为进行分析,提炼,设计出全新的主动防御智能恶意行为判定引擎。无需用户参与,该层可以自动识别出具有有害动作的未知病毒、木马、后门等恶意程序。