安全技术的困惑与趋势：主动防御路漫漫

　　内容摘要：　自2007年以来，安全市场突然涌现出一个新概念——主动防御。其实主动防御技术由来已久，大家熟知的防火墙防范机制正是采用了主动防御的思路。之所以这个概念一夜袭来，主要是由于各安全厂商在去年推出的主流产品中均采用了主动防御技术。到底什么是主动防御？主动防御为用户带来哪些方便？企业用户中又如何运用主动防御技术呢？

　　一、透析主动防御

　　既然是主动防御，就应该对应一个“被动防御”，其实以前杀毒软件采用的特征码技术正是被动方式。我们知道，传统的杀毒思路都是病毒先出现，甚至是大规模爆发之后，安全厂商才开始做后期工作，最终提取特征码放入病毒库，终端用户再通过升级将最新的病毒清除掉。

　　无疑这个过程是被动的，但并不繁琐（毕竟大部分工作由厂商技术人员完成），不过弊端也显露无疑，即不能第一时间完成对最新病毒的防护。

　　而主动防御恰恰要解决这个问题，主动防御并不需要病毒特征码支持，只要杀毒软件能分析并扫描到目标程序或线程的行为，并根据预先设定的规则，判定是否应该进行清除操作。这好像内置了一个“类”，而非一个个病毒码。遗憾的是，日趋成熟和复杂的病毒在大量的变种后都已经改变了本来的特性和威胁方式，虽然各大安全厂商通过“广谱查杀”技术可以清除一些变种，但明显已经力不从心。所以通过“类”仍然不能完全屏蔽各种未知病毒，目前的主动防御也只是在特征码技术的支持上发展。

某产品中主动防御结构示意图

　　同样的问题，主动防御会给用户很多自主选择的机会，这样做虽然主动，但对于用户来说却过于繁琐。因为面向不同阶层的用户而言，很多人并不知道主动防御的提示信息该如何操作。是放行还是禁止？毕竟，很多正常操作对系统的修改和读写也非常多。

　　二、主动防御的基本工作模式

　　正是基于上面的原因，主动防御技术更多的只是关心系统中最容易被侵害的部分，这里要先说说HIPS概念。HIPS是监控系统中全局变化的技术（简称3D），并把监测结果提交给用户选择。如果你阻止了，那么它将无法运行或者更改。比如你运行了一个病毒程序，带有HIPS功能的软件会跳出来报告，如果你阻止了这个行为，那么病毒是不会运行的。严格意义上说，如果你的水平够高，你完全可以利用HIPS抵挡任何恶意程序。

　　内容摘要：　自2007年以来，安全市场突然涌现出一个新概念——主动防御。其实主动防御技术由来已久，大家熟知的防火墙防范机制正是采用了主动防御的思路。之所以这个概念一夜袭来，主要是由于各安全厂商在去年推出的主流产品中均采用了主动防御技术。到底什么是主动防御？主动防御为用户带来哪些方便？企业用户中又如何运用主动防御技术呢？

　　主动防御如果完全借鉴了HIPS则会给用户造成巨大负担，任何一种技术也只是尽可能的完美主动防御概念，因为“完全不用用户干预，软件全部自动识别完成”的目标更像是一个极限。当前各大安全厂商都分别在AD(Application Defend)应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系中应用主动防御的概念，确保覆盖面完整，其中启发式分析器与行为拦截是比较流行的两种工作模式。

　　启发式分析器在扫描过程中抓住了病毒与传统程序的操作不同特性，利用静态方式获取可疑指令，然后结合动态分析方法在模拟环境中判断。比如启发式分析器在扫描一个程序时发现其中有格式化的命令，并且整个操作没有人机交换功能。换句话说，这很可能是恶意格式化程序，此时该程序就被列为危险程序。同样，将诸如加壳、创建createRemoteThread、插入木马普遍采用的API等动作也加入其中，就可以囊括大部分威胁信息，而通过建立一个虚拟PC系统（也叫SandBox）模拟执行后，若发现的确存在该行为，即可判断该程序为恶意程序。相对而言，虚拟PC系统更能客观的了解程序特性，误判率更低。

　　行为拦截方式则更显“大胆”一些，它是在程序执行前先封锁一切可能造成危险的程序和行为，然后再分析程序动作。这一切不同于在模拟模式中动态启发式分析器，行为拦截是在实际环境中监测。行为拦截工具可预防病毒的扩散，但同样困扰它的问题就是对正常程序的“误判”，而这个过程需要用户利用自己的知识进行调节。

　　三、主动防御的尴尬

　　原以为主动防御是万金油，现在看来也有自己的缺陷。其中最主要的问题就是“智能”二字。主动防御本来想领先于病毒，让杀毒软件自己变成安全工程师来分析病毒，从而达到以不变应万变的境界。可计算机的智能总是在一系列的规则下诞生，而可以灵活多变的人脑（普通用户的技术水平）又达不到专业分析病毒的水平，两者之间的博弈将主动防御推上了一个尴尬境地。

　　内容摘要：　自2007年以来，安全市场突然涌现出一个新概念——主动防御。其实主动防御技术由来已久，大家熟知的防火墙防范机制正是采用了主动防御的思路。之所以这个概念一夜袭来，主要是由于各安全厂商在去年推出的主流产品中均采用了主动防御技术。到底什么是主动防御？主动防御为用户带来哪些方便？企业用户中又如何运用主动防御技术呢？

　　现在很多安全厂商也都在采用“主动防御+特征码识别技术”来给用户一个更好的平衡点。

　　早在2006年3月，《PC World》杂志的测试就表明了主动防御技术的有效性不超过60%，必须通过结合传统特征码技术来最大限度保障计算机的安全。而随着主动防御技术的发展，现在的成功率大概在60%——80%之间。很显然主动防御还远没有达到可以完全信任的程度。

　　到目前为止，反病毒界仍然没有更好的方法来替代传统的杀毒方法，所以衡量安全解决方案有效性还要看主动防御的品质，以及面对新病毒威胁的反应时间，也就是说需要更智能的防御体系和更快速的升级速度。

　　引用卡巴斯基病毒实验室分析师Alisa Shevchenko的话讲：HIPS, Proactive Protection, 启发式（heuristic）, SandBox……不管你用它们其中的哪种技术，都可以让恶意程序无能为力。

　　四、企业中的主动防御应用

　　考虑到稳定性和管理效率等因素，各安全厂商虽然在企业版本产品中加入了主动防御功能，但步伐却略显拘谨。企业中应用主动防御体系的重要性毋庸置疑，构架主动防御系统才是企业防毒正道。

　　但如果对一个行为模式没有正确判断，很可能会造成整个企业网络的故障甚至是瘫痪。所以在力求企业网络稳定的前提下，网络管理员在应用主动防御功能时慎之又慎。

　　这与传统的防火墙阻断模式不一样，因为主动防御中涉及的规则过于复杂，在终端用户水平有限的前提下，不可能完全辨别防御目标的属性。如果加大主动防御力度，恐怕管理员将会被铺天盖地的主动防御信息所累倒。所以其在企业应用中还仅仅停留在理论应用阶段，只能成为杀毒软件的扩充。

　　不过从某种意义上来说，主动防御可以提升安全策略的执行效率，对企业推进信息化建设起到了积极作用。抛开硬件级别的安全部署策略，在系统中适当的设置规则可以避免一些常见攻击和漏洞威胁的侵害，同时也方便了网络管理员的工作。

　　主动防御是一个很广泛的概念，尽管现在应用起来涉及到许多技术问题，