廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1606 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] “主動防禦”特點和詳細分析
“主動防禦”特點和詳細分析

“主動防禦”特點和詳細分析來源:瑞星公司 時間:2007-08-15 11:08:25
http://it.rising.com.cn/Channels/Info/Rav_news/...187148537d43676.shtml

一、主動防禦簡介   主動防禦是一種阻止惡意程序執行的技術。它比較好的彌補了傳統殺毒軟件采用“特征碼查殺”和“監控”相對滯後的技術弱點,可以在病毒發作時進行主動而有效的全面防範,從技術層面上有效應對未知病毒的肆虐。

從技術角度講,完整主動防禦技術包含三個層次:資源訪問規則控制;資源訪問掃描;程序活動行爲分析引擎,其中尤其以行爲分析引擎技術最爲關鍵。此前,由於行爲分析引擎技術不成熟,集成了主動防禦的殺毒軟件需要過多的用戶參與,要求用戶選擇是“放過”還是“拒絕”某個程序的動作,這樣反而給用戶帶來了困擾。

二、主動防禦技術的層次劃分



主動防禦的層次化結構示意圖

2.1、主動防禦第一層:資源訪問規則控制(HIPS)
資源訪問規則是主動防禦的第一層,也是其最爲基礎的部分,主動防禦的基本功能,就依賴於此層來展開。它通過對係統資源(注冊表、文件、特定係統API的調用、進程啓動)等進行規則化控制,阻止木馬、病毒等惡意程序對這些資源的使用,從而達到抵禦未知病毒攻擊的目的。

事實上這個技術從2004年起就在瑞星殺毒軟件中得到了成功的運用,文件監控、注冊表監控、內存監控等都屬於這個層次。現在的一些所謂“主動防禦”殺毒軟件,國際上比較熱的HIPS軟件,事實上采用的都是這個層次下的技術。

瑞星專家結合大量中毒用戶的案例分析,把大量規則預先設置到瑞星2008版的主動防禦模塊中,使得大量普通用戶不必去面對高深的主動防禦技術,就能享受到主動防禦HIPS的效果。

2.2、主動防禦第二層(監控掃描層):資源訪問掃描
資源訪問掃描是主動防禦的第二個層次,通過監控對一些資源,如文件、引導區、郵件、腳本的訪問,並使用攔截的上下文內容(文件內存、引導區內容等)進行威脅掃描識別的方式,來處理已經經過分析的惡意代碼。

很多主流殺毒軟件,包括瑞星軟件中的郵件監控(反病毒、反垃圾)、網頁監控、文件監控都屬於這一層,這一層主要解決郵件病毒、網頁挂馬等等問題。

在瑞星2008版中,特別加強了第二層中的“病毒強殺”和“智能監控”等功能模塊。以往有很多病毒采用種種手段對自身進行保護,使得殺毒軟件只有在重啓係統後才能清除,有了“病毒強殺”之後,瑞星殺毒軟件可以將此類頑固病毒幹淨徹底的殺掉。
傳統的殺毒軟件需要對多種係統資源、行爲動作進行監控,可能造成係統資源的占用。瑞星專家通過對多個監控掃描模塊的優化,使用了“智能監控技術”,使得08新品的資源占用大大減少,用戶可以在安全的環境下正常工作,不會遇到機器變慢等傳統問題。

2.3、主動防禦第三層(智能分析層):進程行爲分析引擎+DNA識別
這一層是主動防禦技術核心中的核心,具有很高的技術門檻,有些類似反病毒行業的“歌德巴赫猜想”。按照理論來講,病毒可以根據代碼數據特征碼判定,也可以根據它的程序行爲表現(即行爲特征)判定,前者就是“特征碼查殺”,是應用廣泛的傳統技術;後者在理論上可以做到,實際操作中很難用程序來準確判定,往往需要用戶進行參與,對用戶的技術水平要求很高,所以一直停留在實驗室階段,不能投入大規模的實際應用。

瑞星專家經過對數十萬病毒的危險行爲進行分析,提煉,設計出全新的主動防禦智能惡意行爲判定引擎。從而讓用戶能更簡單輕松的應對未知病毒的侵襲。單純的行爲分析技術往往造成較多的誤報情況。針對該弱點,瑞星專門加入了病毒家族的DNA識別技術,當出現可能的惡意行爲時,會使用DNA掃描確認威協。這樣“進程行爲分析引擎+DNA識別”的方式,即可以通過惡意行爲分析發現未知病毒,又很好的防範了誤報的發生。

三、瑞星主動防禦的優勢
1、易用。普通主動防禦軟件、HIPS軟件基於規則進行相應的技術處理,凡是觸犯規則的程序動作都會要求用戶確認,因此會頻繁彈出對話框,要求用戶進行選擇(比如Windows Vista的UAC功能)。這給普通用戶帶來極大的困擾——不知道該怎麽選,或者不知道選了之後會出現什麽問題,這樣的主動防禦其實是沒用的。

瑞星專家在深入研究的基礎上,經過對十余年反病毒經驗的總結,把很多選項、動作、規則進行了預置,用成熟的預置經驗和規則來代替普通用戶進行選擇,這樣可以大大提高主動防禦的易用性和有效性。

2、專業、靈活,可定制規則。普通主動防禦軟件、HIPS軟件、帶有主動防禦的殺毒軟件等,都會提供一定的用戶交互功能,但是由於技術上不能達到、或者怕用戶進行誤操作,這些軟件提供的交互選項很少,經驗豐富的用戶無法手動調整某些功能。
針對經驗豐富的用戶,瑞星開放了非常豐富的接口和選項,熟練用戶可以完全操縱自己的係統做任何想做的事情,比如:用戶可以觀察可疑程序的每一個動作(注入、創建文件、修改注冊表等),可以控制任何程序的操作範圍,這樣,用戶自己就可以手工處理並清除未知病毒、流氓軟件等。

3、專門針對中國用戶設計。根據中國地區流行病毒的特點,瑞星的主動防禦設計了針對這些病毒的防禦功能,針對行爲、規則等等進行了更多的優化和定制,使其更加符合國內用戶的實際狀況,運行更加穩定。
四、如何識別殺毒軟件中的“主動防禦功能”


完整的主動防禦功能列表

自2006年起,一些廠商開始炒作“主動防禦”概念,但是他們所謂的主動防禦其實只有很少的幾項功能,只有HIPS中的幾項、或者只有傳統監控的幾項。瑞星認爲,只有全面實現三個層級的主動防禦,才是真正意義上的“主動防禦功能”,如果用戶使用不完全的主動防禦,將給自己帶來嚴重的安全風險。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2007-11-08 09:44 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.111136 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言