浅析网络安全领域之“主动防御”技术

浅析网络安全领域之“主动防御”技术

作者：于兴艳李菊

来源：《电脑知识与技术·学术交流》2008年第24期

摘要：本文通过介绍部分常见的病毒引出主动防御概念，简单解析主动防御的产生原因、基本原理、目前现状以及今后的发展趋势。

关键词：病毒；主动防御

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)24-1176-02

1 引言

2007年恶意病毒的破坏性时史无前例的，从“熊猫烧香”、“AV终结者”到年末的“酷狮子”、“机器狗”等，国内外众多知名杀毒软件瞬间被它解除武装。为了解决日益严重的安全威胁问题，从去年末到今年初，各安全厂商均打出“主动防御”的旗号强势推出了各自的新产品。

那么，各个安全厂商所推崇的“主动防御”到底是一种什么样的技术呢，它又是如何实现的呢？

2 浅析“主动防御”

众所周知，以往主流的杀毒软件，均采用“被动防御”式杀毒思路，即在新型病毒出现或大规模爆发以后，安全厂商才采取对策，把提取的病毒特征码加入到病毒库中，由此杀毒软件才具备查杀病毒的能力。因此，一些新病毒泛滥初期，杀毒软件并不具备查杀能力的，这个杀毒过程无疑是被动的。

主动防御则需要解决这个问题，为了改变被动挨打的局面，主动防御抛弃了杀毒软件陈旧的查杀病毒模式，转变成为以下方式：通过对系统行为的监控，分析并扫描目标程序或线程的行为，并根据预先设定的规则，判断是否有病毒入侵并决定是否应该进行清除操作。任何一款病毒，只要进入用户的操作系统，都会向注册表和硬盘写入文件，而这些写入与非病毒的写入

是不同的，通过对比，主动防御可以判断出哪些是病毒入侵，哪些是正常文件的写入。通俗地说，使用了主动防御技术的杀毒软件，无需更新病毒库也可以查杀新的病毒，这是杀毒软件的一个历史性革新。

3 “主动防御”工作原理

主动防御技术首先会构造一个框架，并在其内填入一组预先定义好的规则，这些规则是根据反病毒工程师在分析了超过几十万的大量病毒(或者说恶意程序)的代码特征和行为特征后提炼总结出来的，因此具有很大的代表性和前瞻性。主动防御会使用这组规则对被扫描对象内的代码和运行的行为进行分析，以确定其是否含有恶意代码和具有恶意行为。

当今的反病毒软件，主要使用两种方法来检测恶意代码(安全威胁)：基于特征码的精确检测和主动防御。

要判断一个主动防御技术的有效性以及它能否脱离基于特征码的扫描技术而独立承担反病毒任务，就需要理解主动防御技术所基于的理论。

目前来看，各反病毒厂商采用的主动防御技术主要有：启发式分析技术、入侵防御系统技术、缓冲区溢出检测技术、基于策略的检测技术、警告系统和行为阻止技术。而总的来说，反病毒厂商使用最多的是启发式分析和行为阻止这两项技术。

3.1 启发式分析技术

启发式分析技术又分为静态分析和动态分析两种。

“静态分析”就是指使用启发式分析器分析被扫描对象中的代码(指令)，判断其中是否包含某些恶意的指令(反病毒程序中会定义一组预先收集到的恶意指令特征)。比如说，很多病毒会搜索可执行文件，创建注册表键值等行为。“静态”启发式分析器就会对被扫描对象中的代码进行解释，检查是否包含执行这些行为的指令，一旦找到这样的指令，就调高“可疑分数”。当可疑分数高达一定值，就会将被扫描对象判断为可疑的恶意程序。这种分析技术的优点在于，对系统资源使用较少，但是坏处就在于误报率太高。

而“动态分析”是指由反病毒程序在计算机内存中专门开辟一个受严格保护的空间(由“虚拟机”技术来实现)，并将被检测对象的部分代码拷贝进这个空间，使用一定的技术手段来诱使这段代码执行，同时判断其是否执行了某些恶意行为(反病毒程序中会定义一组预先收集的恶意

行为特征)。一旦发现有匹配的恶意行为，就会报告其为对应的恶意程序。这种技术的优点在于准确度很高。

3.2 行为阻止技术

行为阻止技术是对程序的运行行为进行监控，并对任何的危险行为进行阻止的技术。它会检查包括修改(添加/删除/编辑)系统注册表、注入系统进程、记录键盘输入、试图隐藏程序等在内的大量潜在恶意行为。新一代的行为阻止技术在第一代技术的基础上，做了很大的改进。它不会仅仅根据某个独立的潜在恶意行为就提示风险，而是对程序行为执行的先后顺序进行分析，从而以更加智能和成熟的方式来判断程序的行为是否有恶意。该技术大大提高了对恶意行为判断的准确率。

从以上介绍的主动防御技术来看，主动防御技术也需要基于一个“知识库”进行工作。这个“知识库”中包含了大量恶意程序的潜在恶意行为/指令特征。主动防御技术分析、监控系统内进程或程序的行为和指令，并将它们与“知识库”中的特征进行比对，判断是否符合。而这个“知识库”需要反病毒专家对大量已知病毒进行分析，并且对它们的常见行为和指令进行归纳总结，并将提炼出来的特征值添加入“知识库”。由此，我们可以得出结论，主动防御技术虽然能够防御大量使用已有恶意行为的新恶意程序，但是，如果某些新的恶意程序采用了全新的方法(不在“知识库”中的方法)来入侵、感染计算机，并盗取私密数据的话，主动防御技术仍然是无法对其进行有效防御的。因此，主动防御技术也需要不断地更新其“知识库”和其采用的判断逻辑，否则可能还是会被新的威胁钻了空子。

4 “主动防御现状”

近两年来，针对杀毒软件的病毒库更新永远滞后于病毒出现的缺陷，国内几大知名计算机反病毒软件公司相继推出“病毒主动防御”系统：

瑞星2008版宣称其“智能主动防御”技术能阻止恶意程序执行，可以在病毒发作时进行主动而有效的全面防范，从技术层面上有效应对未知病毒的肆虐。

江民杀毒软件KV2008是全新研发推出的计算机反病毒与网络安全防护软件，号称是全球首家具有灾难恢复功能的智能主动防御杀毒软件。

赛门铁克于其安全软件中加入其首个主动式防御技术，强调其新的主动式防御技术将减少使用者判断机会，并可更精细、仅局部封锁威胁等功能。