请问各位主动防御和行为监控的异同？

zkx6762

学习下大神的经验

jefffire

xsc512 发表于 2011-1-31 19:22
请问各位大侠，主动防御和行为监控的异同？谢谢~  倾听各位高见

这完全是两个概念。
国内最早，更确切的说是最开始大规模普及这个概念的是微点。当时“主动防御”这个概念是相对于“被动防御”这个概念提出的。微点认为，当时杀软对付病毒的手段主要是特征码，而特征码是滞后的必须在病毒出现扩散并被收集后才能查杀，这是一种十分被动的手段，因此是“被动防御”。而微点采用了分析病毒行为特点的手段，以达到智能化的识别未知病毒（更确切的说是未被收集到提取特征码，但具有和已知病毒相同或类似的行为特征的病毒）的目的，将这个定义为“主动防御”。

而实际上，能够检测出未知病毒的手段很多，比如广谱特征码，静态\动态启发，都能一定程度上发现未知病毒。

“行为监控”是另一个概念。行为监控是相对于“非行为监控”而言的。什么是非行为监控？？比如最常见的特征码监控就是“非行为监控”。行为监控最大的特点就是，程序已经在电脑中运行，只要程序不是损坏的或者空程序，那么程序必然会对系统做更改，通过一些手段能够侦测到这些更改(比如，修改注册表，修改文件，修改内存，加载驱动等等)，这样一个过程叫做“行为监控”。其具体表现形式，可以是HIPS的弹框询问，也可以是更智能化的“发现未知病毒”弹窗。

nijiuaiwoa

楼主  幽默

pizza

主动防御：动态仿真反病毒系统、自主判断新病毒、程序行为监控、自主提取特征值实现多重防护、呈现给用户监控信息 等。

主动防御的随着个大杀软的发展，已经加入了越来越多的元素和整合。

johnisk

19楼不错。。

哥帅

回复 7楼 最小说主编 的帖子

跟我的思路完全一致

我惊呆了

whthkf_707

7楼真相帝

junpeng

对于主动防御  可以分为3个步骤  第一个步骤就是行为监控（其实感知更好，因为感知是对感兴趣的行为进行监控），第二个就是辨识，发现了行为你要通过你的行为识别算法识别是正常行为还是异常行为，这个算法要是好的话可以处理从来没有出现过的病毒，不好的算法可能就只能对付出现过一次的病毒，最后就是处理与恢复，处理了病毒还要对处理他之前的动作进行恢复。

webuncle

我觉得7L的应该修改为，我打你动作刚准备出来（还没打到），你就防御了，这个是主动防御

xcffl

行为监控过了之后，不是还有文件实时防毒么？