真正的主动防御到底是什么？

蓝天白云520

自从微点宣传主动防御这个概念起，瞬间，主动防御成为了判断杀软能力与否的标准。但是我们冷静下来想一想，主动防御的概念是由一家起步比较晚的公司提出来的，难道它说的标准就成为了标准么？

一个很明显的例子，comodo、卡巴斯基虽然使用了HIPS，但从未在自己的官网上宣传过“主动防御”这个概念；红伞、江民、瑞星的主动防御概念是在微点之后提出的，也就是所谓的“跟风”；迈克菲、趋势、AVAST!等世界优秀杀软也并未推出主动防御，而诺顿的主动防御SONAR经过实测，其只是监控一部分系统关键位置，没有FD，能监控启动项等。经诺顿自己的总裁说：“SONAR技术与其他技术不同的主因在於，我们的启发性侦测方法是如此全方位且高准确以致於其潜在威胁误判率仅有0.0004%(100万用户仅有四人)，而这样的成果是业界首见，也仅是赛门铁克及其诺顿品牌的另一实例而已，透过此成果将提供客户最先进的保护，以因应今日最恶意的安全威胁”，也就是说诺顿的行为防护是基于启发的。

那么到底什么是主动防御呢？个人认为，当病毒已经进入了计算机在进行防御就已经不是主动防御了。因为所谓的“病毒一运行即拦截”这样的技术在传统特征码杀软中也早就实现了，例如金山毒霸的快速监控，病毒不发作不报毒，一发作即报毒，这算不算主动防御？也许你要说：这是基于特征码的而不是基于行为的！那我要反问你了：哪个权威部门说过必须要基于行为的病毒发作防御才叫主动防御？我就认为病毒一发作就拦截这就叫主动防御呀？

所以主动防御的概念很模糊，我认为，至少不应该把行为防御=主动防御。因为病毒一发作就杀的技术包括panda的云安全都可以做到：首先抑制住文件运行，云端返回结果后杀除。其效果和行为防御没什么不同，总之都是没给系统造成破坏。

我认可的主动防御应该是更高级的，包括诺顿也认可我这个说法，那就是：当病毒入侵个人计算机以前就予以拦截，才是真正的主动防御。当病毒运行才拦截，那就是典型的“被动防御”了。如何阻止病毒入侵个人计算机呢？一是浏览器防护，所有挂马均拦截；二是下载防护。所有有毒文件下载前即拦截；三是U盘防护，U盘插上就杀。这就是“三位一体”的主动防御---病毒根本无法进入个人计算机。目前实现了这三种功能的杀软不少，例如金山网盾，挂马拦截；金山网盾3.6版，有毒文件在下载前即报警；金山卫士，插上有毒U盘即报警。

把病毒防御于计算机之外的技术，才叫主动防御。放松一点儿，当病毒进入了个人计算机内，不发作就予以杀除的，也勉强叫主动防御。

当病毒发作了再防御的，就绝对不是主动防御！顶多叫“被动防御”了。比它更次的就是病毒发作了还不防御，那就叫“没有防御”了。主动防御无论如何也不可能是仅仅比“没有防御”高级一步的东东吧？

wanglp1975

那对于未知病毒，该如何防范呢？

一土贝木

楼主的观点和~~~

一土贝木

此帖必火，占楼，日后待编辑

aiyaya8

能杀毒就行了，不管它概念

mga130

学习了

英姿飒爽

HIPS全称：主机入侵防御系统（Host Intrusion Prevent System）
就是这样喵~~~

jefffire

所谓主动防御纯粹是炒作概念

一土贝木

那对于未知病毒，该如何防范呢？
wanglp1975 发表于 2010-6-13 09:30

对于行为未知的病毒，基于行为防御的安软仍无法防御

勿思勿忘

所谓主动防御纯粹是炒作概念
jefffire 发表于 2010-6-13 09:51

同意，个人在补充下，主防也可以说是玩的概念偷换