摘要隨著互聯(lián)網(wǎng)的廣泛應(yīng)用，網(wǎng)絡(luò)信息量迅速增長，網(wǎng)絡(luò)安全問題日趨突出?；谥鲃臃烙募夹g(shù)作為安全系統(tǒng)主要的組成部分，已成為目前研究與開發(fā)的熱點(diǎn)。本文通過與傳統(tǒng)網(wǎng)絡(luò)防治技術(shù)的對比，簡要分析了基于主動防御的網(wǎng)絡(luò)防御技術(shù)。

關(guān)鍵詞主動防御特征值掃描啟發(fā)式查毒

中圖分類號:TP393.08文獻(xiàn)標(biāo)識碼:A

近幾年隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)給人們提供了極大的便利，互聯(lián)網(wǎng)作為一個社會公共環(huán)境，其所面臨的安全威脅也越來越嚴(yán)重。在我們享受網(wǎng)絡(luò)資源帶來的巨大利益的同時，針對網(wǎng)絡(luò)和計算機(jī)系統(tǒng)的網(wǎng)絡(luò)病毒傳播和黑客攻擊變得越來越普遍。網(wǎng)絡(luò)病毒不僅給廣大網(wǎng)絡(luò)用戶帶來了不便，甚至影響到我國信息化建設(shè)的進(jìn)一步深化，威脅到國家的信息安全和經(jīng)濟(jì)發(fā)展。因而，保障計算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。

1網(wǎng)絡(luò)防治技術(shù)比較

傳統(tǒng)的反病毒技術(shù)主要使用特征值掃描技術(shù)，這是目前國際上反病毒公司普遍采用的查毒技術(shù)。其核心是從病毒體中提取病毒特征值構(gòu)成病毒特征庫，殺毒軟件將用戶計算機(jī)中的文件或程序等目標(biāo)，與病毒特征庫中的特征值逐一對比，判斷該目標(biāo)是否被病毒感染。反病毒公司把捕獲到并已處理的病毒稱為已知病毒，否則就稱為未知病毒。只有采用特征值掃描技術(shù)時，才需要區(qū)分已知和未知病毒。由于這種傳統(tǒng)的反病毒軟件都是很被動的，只能在新病毒出現(xiàn)之后才能有應(yīng)付措施，一個病毒制造者所編寫的病毒很有可能在被殺毒軟件廠商截獲并添加到產(chǎn)品病毒庫之前進(jìn)入用戶電腦。此時，由于該病毒的特征碼還未添加到殺毒軟件病毒庫中，殺毒軟件會將病毒認(rèn)為是正常文件而放過，使得用戶電腦被病毒所感染。因此，業(yè)界將能夠主動檢測和攔截未知威脅的防御方法稱為“主動防御”。

殺毒軟件具有滯后性，這是業(yè)界公認(rèn)的一個殺毒軟件弊端，而主動防御卻很好的解決了這個問題。主動防御技術(shù)主要是針對未知病毒提出來的病毒防殺技術(shù)，在沒有病毒樣本的情況下，對病毒進(jìn)行全面而有效的全面防護(hù)，阻止病毒的運(yùn)作，從技術(shù)層面上有效應(yīng)對未知病毒的肆虐，一是在未知病毒和未知程序方面，通過“行為判斷”技術(shù)識別大部分未被截獲的未知病毒和變種;另一方面，通過對漏洞攻擊行為進(jìn)行監(jiān)測，這樣可防止病毒利用系統(tǒng)漏洞對其它計算機(jī)進(jìn)行攻擊，從而阻止病毒的爆發(fā)。

2主動防御技術(shù)分析

主動防御是最新的安全防護(hù)概念，各個安全廠商有不同的觀點(diǎn)，通常用規(guī)則來控制。一般的規(guī)則控制流程是通過掛接系統(tǒng)建立進(jìn)程的API，反病毒系統(tǒng)就在一個進(jìn)程建立前對此進(jìn)程的代碼進(jìn)行掃描，如果觸發(fā)安全規(guī)則就進(jìn)行提示，如果用戶放行，就讓進(jìn)程繼續(xù)運(yùn)行，例如監(jiān)視進(jìn)程調(diào)用API的情況，如果發(fā)現(xiàn)以讀寫方式打開一個EXE文件，可能進(jìn)程的線程想感染PE文件，或某個應(yīng)用程序進(jìn)行遠(yuǎn)程調(diào)用，主動防御監(jiān)控系統(tǒng)就會發(fā)出警告。普通用戶在運(yùn)行程序時可能會被監(jiān)控程序提示選擇允許或禁止，主動防御系統(tǒng)檢測的基本模式是通過動態(tài)仿真反病毒專家系統(tǒng)對各種進(jìn)程行為進(jìn)行自動監(jiān)視，自動分析程序動作之間的邏輯關(guān)系，綜合應(yīng)用操作系統(tǒng)安全規(guī)則和病毒識別規(guī)則知識，自動建立新的病毒行為模式，實(shí)現(xiàn)自動判定新病毒，達(dá)到主動防御的目的。主動防御系統(tǒng)檢測的基本模式如下圖所示:

在某權(quán)威雜志對全球17款主要?dú)⒍拒浖M(jìn)行了測試中表明，在新病毒查殺方面，殺毒軟件的平均檢測率只有20%～30%，甚至低于去年的40%～50%。相比之下，只有ESET NOD32和BitDefender表現(xiàn)較好，查殺率分別為68%和41%。值得一提的是， ESET NOD32采用世界領(lǐng)先的高級啟發(fā)式ThreatSense@引擎，可同時支持基因碼，虛擬機(jī)，以及代碼分析這三種啟發(fā)式防毒技術(shù)，在查殺大部分未知病毒的同時只產(chǎn)生了極少的誤報，為業(yè)界最低，因此ESET NOD32的ThreatSense技術(shù)被公認(rèn)為主動防御技術(shù)成熟和穩(wěn)定的集大成者。

何謂啟發(fā)式查毒技術(shù)，啟發(fā)式指 “自我發(fā)現(xiàn)的能力”或“運(yùn)用某種方式或方法去判定事物的知識和技能”，是殺毒軟件能夠分析文件代碼的邏輯結(jié)構(gòu)是否含有惡意程序特征，或者通過在一個虛擬的安全環(huán)境中前攝性的執(zhí)行代碼來判斷其是否有惡意行為。在業(yè)界前者被稱為靜態(tài)代碼分析，后者被成為動態(tài)虛擬機(jī)。靜態(tài)啟發(fā)技術(shù)指的是在靜止?fàn)顟B(tài)下通過病毒的典型指令特征識別病毒的方法，是對傳統(tǒng)特征碼掃描的一種補(bǔ)充。由于病毒程序與正常的應(yīng)用程序在啟動時有很多區(qū)別，通常一個應(yīng)用程序在最初的指令，是檢查命令行輸入有無參數(shù)項、清屏和保存原來屏幕顯示等，而病毒程序則通常是最初的指令是直接寫盤操作、解碼指令，或搜索某路徑下的可執(zhí)行程序等相關(guān)操作指令序列。靜態(tài)啟發(fā)式就是通過簡單的反編譯，在不運(yùn)行病毒程序的情況下，核對病毒頭靜態(tài)指令從而確定病毒的一種技術(shù)。

而相比靜態(tài)啟發(fā)技術(shù)，動態(tài)啟發(fā)技術(shù)要復(fù)雜和先進(jìn)很多。動態(tài)啟發(fā)式通過殺軟內(nèi)置的虛擬機(jī)技術(shù)，給病毒構(gòu)建一個仿真的運(yùn)行環(huán)境，誘使病毒在殺軟的模擬緩沖區(qū)中運(yùn)行，如運(yùn)行過程中檢測到可疑的動作，則判定為危險程序并進(jìn)行攔截。這種方法更有助于識別未知病毒，對加殼病毒(下轉(zhuǎn)第134頁)(上接第132頁)依然有效，但如果控制得不好，會出現(xiàn)較多誤報的情況。動態(tài)啟發(fā)因?yàn)榭紤]資源占用的問題，因此目前只能使用比較保守的虛擬機(jī)技術(shù)。盡管如此，由于動態(tài)啟發(fā)式判斷技術(shù)具有許多不可替代的優(yōu)勢，因此仍然是目前檢測未知病毒最有效、最可靠的方法之一，并在各大殺軟產(chǎn)品中得到了廣泛的應(yīng)用。

由于諸多傳統(tǒng)技術(shù)無法企及的強(qiáng)大優(yōu)勢，必將得到普遍的應(yīng)用和迅速的發(fā)展。純粹的啟發(fā)式代碼分析技術(shù)的應(yīng)用(不借助任何事先的對于被測目標(biāo)病毒樣本的研究和了解)，已能達(dá)到80%以上的病毒檢出率，而其誤報率極易控制在0.1%之下，這對于僅僅使用傳統(tǒng)的基于對已知病毒的研究而抽取“特征字串”的特征掃描技術(shù)的查毒軟件來說，是不可想象的，啟發(fā)式殺毒技術(shù)代表著未來反病毒技術(shù)發(fā)展的必然趨勢，具備某種人工智能特點(diǎn)的反毒技術(shù)，向我們展示了一種通用的、不依賴于升級的病毒檢測技術(shù)和產(chǎn)品的可能性。作為啟發(fā)式殺毒軟件的代表產(chǎn)品ESET NOD32，以其完善的啟發(fā)式引擎ThreatSense，超過68%的未知病毒檢測率以及低于0.1%的誤報率聞名遐邇。成為業(yè)界的最高水準(zhǔn)，同時也被冠以“啟發(fā)之王”的美譽(yù)。

主動防御系統(tǒng)是安全軟件的一個發(fā)展方向，能夠自動實(shí)現(xiàn)對未知威脅的攔截和清除，不需要用戶關(guān)注防御的具體細(xì)節(jié)。安全軟件廠商也一直向這個方向努力，例如殺毒軟件的主動更新、主動漏洞掃描和修復(fù)、以及對病毒的自動處理等，也符合主動防御的特征。我國目前開發(fā)的部分動態(tài)仿真反病毒專家系統(tǒng)，開始能夠?qū)崿F(xiàn)自動判定新病毒、對程序行為監(jiān)控、自動提取特征值等多重防護(hù)、實(shí)現(xiàn)了對未知網(wǎng)絡(luò)病毒的自主識別和自動清除，克服傳統(tǒng)殺毒軟件滯后于病毒的缺陷。這類驅(qū)動級(核心層)的主動防御系統(tǒng)主要通過虛擬機(jī)脫殼等技術(shù)方法分析程序動作之間的邏輯關(guān)系，運(yùn)用已知程序合法行為庫和病毒攻擊識別知識庫，從而自動判定新病毒達(dá)到主動防御的目的。