智能主動防御系統(tǒng)(08-100)

　　1 引言

　　1.1 安全防護軟件發(fā)展現(xiàn)狀

　　隨著互聯(lián)網(wǎng)的飛速發(fā)展，計算機病毒技術(shù)和黑客入侵技術(shù)也迅速發(fā)展，逐漸融合了網(wǎng)絡(luò)蠕蟲、木馬、拒絕服務(wù)工具、緩沖區(qū)溢出工具等各種攻擊手段，造成的損失也由最初的數(shù)據(jù)丟失，發(fā)展到現(xiàn)在的信息泄密，數(shù)據(jù)破壞，甚至互聯(lián)網(wǎng)的癱瘓，破壞力越來越大。

　　伴隨著病毒技術(shù)和黑客入侵技術(shù)的發(fā)展，安全防護技術(shù)也在迅速發(fā)展，各種各樣的安全防護軟件如“雨后春筍”般出現(xiàn)。這些安全防護軟件的原理可以概括為“掃描”和“過濾”，它們利用特征庫對文件進行掃描，對進入主機的數(shù)據(jù)包進行過濾，從而發(fā)現(xiàn)病毒和入侵。特征庫成了這些防護軟件功能的最大限制，誰擁有更完備的特征庫誰就能防御更多病毒和入侵。特征庫中存儲的都是已知病毒和入侵的特征，因此這些安全防護軟件僅能對已知的病毒和入侵進行防御，對未知的病毒和入侵束手無策。

　　防御未知病毒和未知入侵是當前安全防護軟件迫切需要解決的問題。

　　1.2 方案設(shè)計與選擇

　　智能主動防御系統(tǒng)(以下簡稱本系統(tǒng))可分為網(wǎng)絡(luò)防護和主機防護兩部分，其中網(wǎng)絡(luò)防護的主要功能是防御來自網(wǎng)絡(luò)的入侵，主機防護的主要功能是防御惡意程序(如病毒)的破壞。

　　整個系統(tǒng)的總體架構(gòu)如圖1所示。各部分的功能如下：

　　1. 網(wǎng)絡(luò)防護：用戶態(tài)實現(xiàn)“偽裝服務(wù)，提取特征”功能，NDIS驅(qū)動實現(xiàn)“ARP模擬不存活主機和數(shù)據(jù)包過濾”功能。

　　2. 主機防護：主機防護的核心部分是在系統(tǒng)內(nèi)核驅(qū)動中完成檢測惡意程序。

　　圖1 系統(tǒng)總體構(gòu)架

　　從圖1可以看出，本系統(tǒng)是一個全方位的防護軟件，它集防火墻與殺毒軟件功能于一身。與傳統(tǒng)的防護軟件相比，其最大的特色是：能夠主動防御未知入侵和檢測未知病毒。

　　本系統(tǒng)通過自主學習建立自己的特征庫從而實現(xiàn)防御未知入侵。系統(tǒng)摒棄了野蠻的病毒掃描模式，采用主動防御技術(shù)攔截程序的危險行為，實現(xiàn)了檢測未知病毒。