主动防御技术

paul1985

一、主动防御技术的概念
    概念上来讲，是指对未知病毒的防范，在没有获得病毒样本之前阻止病毒的运作。目前主动防御技术主要是针对未知病毒提出来的病毒防杀技术。
　　也就是有些人所说的：通过病毒的行为特征来判别其是否为病毒并进行处理。病毒行为阻断技术通过提取计算机病毒的共性特征，如修改注册表、自我复制、不断连接网络等，综合这些病毒行为特征来判断其是否为病毒。
　　江民防病毒专家称，主动防御核心技术有“虚拟机技术”“病毒行为阻断技术”等。虚拟机技术用软件虚拟CPU环境，激活病毒，判断其是否是病毒并清除。
　　瑞星病毒专家称，“主动防御”一是在未知病毒和未知程序方面，通过“行为判断”技术识别大部分未被截获的未知病毒和变种。另一方面，通过对漏洞攻击行为进行监测，这样可防止病毒利用系统漏洞对其它计算机进行攻击，从而阻止病毒的爆发。
    二、那主动防御技术在系统运行时，到底是什么样的？
    使用过防火墙的人都知道（xp系统也有自带的防火墙），经常询问是否放行一个进程访问网络，或者对有不明连接进入本机而发出警告。我认为防火墙也是运用了所谓的“主动防御技术”一个方面。
    来切实体验一下：具体是哪个安全厂商的主动防御不便明说。我使用其监控后，并没有什么明显的感觉，因为是先启动系统和几个软件，再启动的防御系统。但过一会便开始了询问，XX程序，是否允许....还有msn也开始被其询问（软件都已经运行）。之后又下载东西，打开迅雷下载，很灵敏，询问是否允许运行（这更像防火墙软件的应用程序规则），但是在下载开始之后，似乎像噩梦一样，某端口尝试链接，是否运行？......每一个下载节点都要询问，试想如果是p2p的网络电视如：ppstream,pplive之类的，可要怎么看下去？-----这点，主动防御我不喜欢！
    三、但还有其他的问题要探讨：
    关于主动防御的“行为判断”技术识别，我想上篇大家看过启发式扫描技术的介绍，那么启发式扫描技术的判断行为方式，又与主动防御的行为判断有什么根本的区别吗？国内最早涉及主动防御技术的，应该是江民KV2005的未知病毒扫描程序了，但是这个技术也没能用来监控，而对病毒的查杀能力上，也没有能够超过世界知名厂商所应用的启发式扫描的杀软。主动防御技术主要用在监控上，那么启发式扫描技术如果也完善在监控方面的话，同样是对程序行为方式的判断，它们的判断机理上又有什么样的实质区别呢？
    我们再看上面江民防病毒专家的说法，核心技术要“虚拟机技术”，“病毒行为阻断技术”，那么“病毒行为阻断技术”的实际意义在哪里？既然是判断行为，难道msn这种程序都还要询问用户吗？至少启发式扫描技术不会对msn这类程序当作病毒处理掉！那么主动防御的行为判断到底判断了什么呢？似乎仅仅是做到了怀疑，然后交给用户去处理，我说过我的所喜欢的安全类软件，智能性（处理）第一！
    另外，我们都应该知道一点，虽然国内单纯的“虚拟机技术”并不差，但是结合的杀毒中，虚拟脱壳技术就相比国外差的多了。那么这个核心技术应用在主动防御中，谁能用的相对更完善一点呢？
    说实话，后边补充的这点东西，我是完全带着疑问的，对于主动防御这个新技术，我没有能力感觉出来优越性！
---------------------------------------------------
列举几个我所知道的，对外宣传使用了主动防御系统的软件！
1.诺顿网络安全特警NIS2006
2.卡巴斯基kis6.0
3.瑞星
4.金山毒霸KAV2005
5.江民KV2005
6.超级巡警AST V3.0
7.东方微点
*** 这样看来，国内的主动防御技术的应用超过了国外，应该自豪了！！

绅博周幸

真正智能化主动防御的也就是微点一家

wqihai

学习中。。。。。。。。。。。。。。。。。。。。。。。。

tracydk

卡巴的主动防御还是不错的

ly250094040

原帖由 绅博周幸 于 2007-2-8 13:55 发表
真正智能化主动防御的也就是微点一家  

周星星有所不知了

其实带虚拟技术的启发已经和智能化的主动防御没有本质区别了

周杰伦

是啊，微点的主动防御的确很智能化

nicolashuang

主动防御必须和特征库配合才能发挥作用。