“主動防禦”特點和詳細分析

“主動防禦”特點和詳細分析來源：瑞星公司 時間：2007-08-15 11:08:25
http://it.rising.com.cn/Channels/Info/Rav_news/...187148537d43676.shtml

一、主動防禦簡介   主動防禦是一種阻止惡意程序執行的技術。它比較好的彌補了傳統殺毒軟件采用“特征碼查殺”和“監控”相對滯後的技術弱點，可以在病毒發作時進行主動而有效的全面防範，從技術層面上有效應對未知病毒的肆虐。

從技術角度講，完整主動防禦技術包含三個層次：資源訪問規則控制；資源訪問掃描；程序活動行爲分析引擎，其中尤其以行爲分析引擎技術最爲關鍵。此前，由於行爲分析引擎技術不成熟，集成了主動防禦的殺毒軟件需要過多的用戶參與，要求用戶選擇是“放過”還是“拒絕”某個程序的動作，這樣反而給用戶帶來了困擾。

二、主動防禦技術的層次劃分



主動防禦的層次化結構示意圖

2.1、主動防禦第一層：資源訪問規則控制（HIPS）
資源訪問規則是主動防禦的第一層，也是其最爲基礎的部分，主動防禦的基本功能，就依賴於此層來展開。它通過對係統資源（注冊表、文件、特定係統API的調用、進程啓動）等進行規則化控制，阻止木馬、病毒等惡意程序對這些資源的使用，從而達到抵禦未知病毒攻擊的目的。

事實上這個技術從2004年起就在瑞星殺毒軟件中得到了成功的運用，文件監控、注冊表監控、內存監控等都屬於這個層次。現在的一些所謂“主動防禦”殺毒軟件，國際上比較熱的HIPS軟件，事實上采用的都是這個層次下的技術。

瑞星專家結合大量中毒用戶的案例分析，把大量規則預先設置到瑞星2008版的主動防禦模塊中，使得大量普通用戶不必去面對高深的主動防禦技術，就能享受到主動防禦HIPS的效果。

2.2、主動防禦第二層（監控掃描層）：資源訪問掃描
資源訪問掃描是主動防禦的第二個層次，通過監控對一些資源，如文件、引導區、郵件、腳本的訪問,並使用攔截的上下文內容（文件內存、引導區內容等）進行威脅掃描識別的方式，來處理已經經過分析的惡意代碼。

很多主流殺毒軟件，包括瑞星軟件中的郵件監控（反病毒、反垃圾）、網頁監控、文件監控都屬於這一層，這一層主要解決郵件病毒、網頁挂馬等等問題。

在瑞星2008版中，特別加強了第二層中的“病毒強殺”和“智能監控”等功能模塊。以往有很多病毒采用種種手段對自身進行保護，使得殺毒軟件只有在重啓係統後才能清除，有了“病毒強殺”之後，瑞星殺毒軟件可以將此類頑固病毒幹淨徹底的殺掉。
傳統的殺毒軟件需要對多種係統資源、行爲動作進行監控，可能造成係統資源的占用。瑞星專家通過對多個監控掃描模塊的優化，使用了“智能監控技術”，使得08新品的資源占用大大減少，用戶可以在安全的環境下正常工作，不會遇到機器變慢等傳統問題。

2.3、主動防禦第三層（智能分析層）：進程行爲分析引擎+DNA識別
這一層是主動防禦技術核心中的核心，具有很高的技術門檻，有些類似反病毒行業的“歌德巴赫猜想”。按照理論來講，病毒可以根據代碼數據特征碼判定，也可以根據它的程序行爲表現（即行爲特征）判定，前者就是“特征碼查殺”，是應用廣泛的傳統技術；後者在理論上可以做到，實際操作中很難用程序來準確判定，往往需要用戶進行參與，對用戶的技術水平要求很高，所以一直停留在實驗室階段，不能投入大規模的實際應用。

瑞星專家經過對數十萬病毒的危險行爲進行分析，提煉，設計出全新的主動防禦智能惡意行爲判定引擎。從而讓用戶能更簡單輕松的應對未知病毒的侵襲。單純的行爲分析技術往往造成較多的誤報情況。針對該弱點，瑞星專門加入了病毒家族的DNA識別技術，當出現可能的惡意行爲時，會使用DNA掃描確認威協。這樣“進程行爲分析引擎+DNA識別”的方式，即可以通過惡意行爲分析發現未知病毒，又很好的防範了誤報的發生。

三、瑞星主動防禦的優勢
1、易用。普通主動防禦軟件、HIPS軟件基於規則進行相應的技術處理，凡是觸犯規則的程序動作都會要求用戶確認，因此會頻繁彈出對話框，要求用戶進行選擇（比如Windows Vista的UAC功能）。這給普通用戶帶來極大的困擾——不知道該怎麽選，或者不知道選了之後會出現什麽問題，這樣的主動防禦其實是沒用的。

瑞星專家在深入研究的基礎上，經過對十余年反病毒經驗的總結，把很多選項、動作、規則進行了預置，用成熟的預置經驗和規則來代替普通用戶進行選擇，這樣可以大大提高主動防禦的易用性和有效性。

2、專業、靈活，可定制規則。普通主動防禦軟件、HIPS軟件、帶有主動防禦的殺毒軟件等，都會提供一定的用戶交互功能，但是由於技術上不能達到、或者怕用戶進行誤操作，這些軟件提供的交互選項很少，經驗豐富的用戶無法手動調整某些功能。
針對經驗豐富的用戶，瑞星開放了非常豐富的接口和選項，熟練用戶可以完全操縱自己的係統做任何想做的事情，比如：用戶可以觀察可疑程序的每一個動作（注入、創建文件、修改注冊表等），可以控制任何程序的操作範圍，這樣，用戶自己就可以手工處理並清除未知病毒、流氓軟件等。

3、專門針對中國用戶設計。根據中國地區流行病毒的特點，瑞星的主動防禦設計了針對這些病毒的防禦功能，針對行爲、規則等等進行了更多的優化和定制，使其更加符合國內用戶的實際狀況，運行更加穩定。
四、如何識別殺毒軟件中的“主動防禦功能”


完整的主動防禦功能列表

自2006年起，一些廠商開始炒作“主動防禦”概念，但是他們所謂的主動防禦其實只有很少的幾項功能，只有HIPS中的幾項、或者只有傳統監控的幾項。瑞星認爲，只有全面實現三個層級的主動防禦，才是真正意義上的“主動防禦功能”，如果用戶使用不完全的主動防禦，將給自己帶來嚴重的安全風險。