认清主动防御

Symantec.

主动防御（Proactive Denfense），有人认为主动防御只包括行为拦截和前瞻性防御，还有人竟认为主动防御就是HIPS，其实现在业界对主动防御还没有一个很好的定义，甚至每种不同杀软的白皮书的定义都不同。

我们首先可以从字面意思上来分析，主动防御，也就是非被动防御，对未知威胁，传统技术所预测不到的病毒进行防御，那么也就可以这么理解，区别于特征码杀毒的都可以叫做主动防御（前摄性防御），狭义的主防就是指行为拦截。那么就定义来看，NOD32和红伞也应该有主防的。

主动防御已经被炒的够热，因为以病毒为主要攻击方式的网络安全事件层出不穷，反病毒软件多数情况下对新出现的病毒没有识别能力，也就不能很好地起到拦截作用。这种情况持续了很多年，随着病毒的变化越来越多，病毒产业链的活动越来越猖獗，这个现象变得更严重了，由此引发了用户对杀毒软件的不信任。

为了解决这些日益严重的新威胁，杀毒厂商实际在分两个方向同时启步。一方面是采用传统的特征识别、加强引擎脱壳、加强样本的收集、加快病毒特征的更新等等。时至今日，这仍然是最主要的，效率最高的应对方法。但是，不可避免，会有电脑中招倒下，成为新病毒的牺牲品。另一方面，就是开发新的病毒识别技术。比如行为识别、注册表保护、应用程序保护等等。

回头看主动防御这个词，最早应该来自网关或防火墙等网络硬件系统。IDS(入侵检测系统)和IPS(入侵防护系统)，这些功能是在防火墙的基础上开发的攻击识别和拦截技术。因为，防火墙是两个网络之间的设备，用来控制两个网络之间的通信，相对自己所在的网络来说，由外而内的访问会根据防火墙的规则表，适用相应的访问策略，策略包括允许、阻止或报告。通常，防火墙对由内而外的访问，是允许的。那么，如果攻击者在网络内存在，将会对整个网络产生安全问题。

入侵检测系统是为监测内网的非法访问而开发的设备，根据入侵检测识别库的规则，判断网络中是否存在非法的访问。管理员通过分析这些事件，来对网络的安全状况进行评估，再采取对应的防护策略。入侵检测系统(IDS)一个很重要的问题，就是这类警告太多了，以致于管理员要从浩如烟海的日志中来发掘安全事件，不仅仅容易出错，也增加了管理成本。IPS则相当于防火墙+入侵检测，提高了性能，也减少了误报。这些都是网关设备，这些设计理念，应用到桌面计算机系统，就被引伸为HIPS，即基于主机的入侵防护系统。

所谓的”主动防御“软件，实际上是安全软件的一个发展方向，不应该被解释为某种技术或产品。用户眼中的主动防御，应该是可以自动实现对未知威胁的拦截和清除，用户不需要关注防御的具体细节。目的很简单，就是我安装了你，你为我负责，老老实实干你的活，别再烦我了。

安全软件厂商也一直向这个方向努力，比如，杀毒软件的主动更新，主动漏洞扫描和修复，以及对病毒的自动处理等。某种程度上说，符合主动防御的部分特征。

目前，在很多被列为HIPS的软件中，可实现大致三方面的功能：

1.应用程序层的防护，根据一定的规则，执行相应的应用程序。比如，某个应用程序执行时，可能会启动其它程序，或插入其它程序中运行，就会触发应用程序保护的规则。
2.注册表的防护，根据规则，响应对注册表的读写操作。这个比较好理解了，某程序执行后，会创建或访问某些注册表键，同样，这些注册表键是被HIPS软件监视或保护的。
3.文件防护，对应用程序创建或访问磁盘文件的防护，就是某程序运行后，会创建新的磁盘文件，或者需要访问硬盘上某程序文件，从而触发HIPS软件的监视或保护功能。

HIPS软件的监视和保护功能，向主动防御目标更进了一步，但还不没有实现“主动防御”。因为，在使用这类软件时，会大量频繁触发HIPS软件的监视功能，这些功能，尚不能自动进行正确的处理，对这些警报的处理，需要这台电脑的最终用户作出正确的选择，这就是困惑所在。目前来说，HIPS软件，尽管可以一定程度上起到提升安全性的作用，但用起来，太麻烦了。它真的是普通用户需要的吗?普通电脑用户能够做出正确的处置吗?这些都是安全软件厂商进一步需要完善的功能。同时，它还有另一个困惑：如果我能够顺利而熟练的使用HIPS的软件，我可能只需要在其它方面注意，就可以更容易的避免受到病毒或木马的入侵。

主动防御，并不神奇，显然，目前还远未实现真正的“主动防御”。只能说，离这个目标近了一些，杀毒厂商还有更多的选择。难点在于：如何用技术实现，不需要更多技术，也能很好实现该技术所创造的功能。

主动防御无标准

可见，主动防御作为一种概念被提出来以后，在技术实现上没有固定的标准，产品间缺乏相互开放的端口，阻碍主动防御这个理念的发展，而最终归于仅加强个体安全产品性能这个狭隘的范畴。面对当前日益严重的未知威胁，主动防御技术引导大多数杀毒厂商在两个方向发展并实施：

一方面是采用传统的特征识别、加强引擎脱壳、加强样本的收集、加快病毒特征的更新等等。时至今日，这仍然是最主要的，效率最高的应对方法。但是，不可避免，会有电脑中招倒下，成为新病毒的牺牲品。

另一方面是开发新的病毒识别技术。比如行为识别、注册表保护、应用程序保护等等。


主动防御运用的技术

启发式：可分为静态启发和动态启发；

行为分析：比如卡巴斯基2009的应用程序过滤；

HIPS：这里的HIPS指Classic HIPS和intelligence HIPS，而SandBox用于回滚，来恢复病毒的操作；

广谱特征码：又叫Gen、基因、DNA，但这个还没有定义，可以说是，也可以说不是；

云安全：就目前的应用来看主要有，启发式分析、信息回馈，可信度、白名单等。此技术刚出来不久，还很难下定论。

主动防御的缺点

部分正常软件的行为或者启发特征码与病毒行为重合，就会产生误报，而且现在很多杀软都采用了对数字签证的检测，比如KB2009，首先会检测文件的数字签证，之后是特征码分析和行为分析，如果没有数字签证，即使无特征码和行为分析。那也会把文件放到低权限（以后会有权限提升，需要用户选择，非常繁琐），而如果这三者都无误，才会放到受信任权限，但是一部分软件的beta版本是没有数字签证的（比如迅雷6）这样就会给用户带来极大的不便。

而且行为拦截的难度是很大的，还没有统一的标准。怎么样的才是恶意行为？既然要识别病毒的“行为”就需要让病毒运行，如何在病毒造成危害前阻断病毒继续运行也是个大问题，主动防御其实显得有些被动。

而且行为拦截还有着使用难度大的困扰，常见的行为拦截类软件如HIPS，会对软件的动作进行预警，而且会频繁报警，让用户无法适从，因为HIPS只告诉用户程序做了什么，是不是病毒要用户自己判断，而真正熟悉病毒行为的人有几个？有能力判断程序行为是不是病毒的又有几个？

为了避免频繁报警的问题，HIPS都应用了“规则”，但是规则的定义又很麻烦。定义严了吧，容易造成错误判断，定义松了呢，又无法保证系统的安全性，所以说，HIPS在不同的人手中的效果，是天差地别的。

所以，主动防御如果运用了行为拦截，就必须解决易用性问题，因为安全软件的定位是大众，而不是小众。

病毒行为特征是不断动态变化的，通过病毒行为监测的方式防御未知病毒并不是最有效的方式，我们对众多宣称具有主动防御技术的安全产品需谨慎对待，对于进程相关方面知识欠缺且安全要求相对较低的人不必选择主动防御产品，主流的杀毒软件及时升级可以应对一般的安全风险。

突破主动防御

一般来说启发比较好过，最基本就是特征码定位，还有比较简单的+花，+壳，或者文件前端多做一些无意义动作（因为一般的启发分析仅仅会看文件开头，当让动态启发就没用了）。

行为分析和HIPS，绕过行为分析，需要很好的思维能力（难度相对于特征码要难很多），说实话这个用技术还真不好过，但是可以利用杀软的bug，比如前段时间的改时间，当然有些行为分析和HIPS对恢复SSDT无法防御，这样也可以绕过。

广谱特征码，目前来看，没有什么投机取巧的方法，如果有家族DNA，最好的方法特定性针对免杀。

云安全，最简单的方法就是断网！

主动防御未来的发展

我个人认为目前的主动防御的应用技术确实不太尽人意，可以说，我们每提升1%的安全性，就会降低2%的计算机性能，当然云技术云安全可以算开了一个好头，但是对网络依赖太大，会拖慢网速，而且分析是否及时，服务器性能是否强大，真的都是未知数。

未来的主动防御，个人认为应该以全新的技术为主，而不是启发，行为分析等（当然可以在目前完善白名单和资源占用进行过渡），云安全就是一个很好的例子，我们还有很长的路要走。

白露为霜

你从百度抄上一段要干啥？

蓝天二号

复制捏贴，，，，，人人都会。。。。。。。

欧阳宣

法虫开讲时间！

SQYnew

不如把病例发上来，让大家帮你出出主意

天蓝色的忧伤

锁前留名。你应该去医院挂水了。业界没有明确定义怎么认清啊！你总是认为自己的是对的这叫主观唯心主义。@ikimi 此贴有误导别人嫌疑

手中的红蜻蜓

长知识了，竟然是随手拈来的！

天蓝色的忧伤

SQYnew 发表于 2014-12-28 08:56
不如把病例发上来，让大家帮你出出主意

他自己说了，癌症，意思就是自己病入膏肓

天蓝色的忧伤

蓝天二号 发表于 2014-12-28 08:43
复制捏贴，，，，，人人都会。。。。。。。

小狮子，好久不见

蓝天二号

天蓝色的忧伤 发表于 2014-12-28 10:00
小狮子，好久不见

是啊，，，，提前祝你 元旦快乐！！！！