智能主動(dòng)防御系統(tǒng)(08-100)

　　1 引言

　　1.1 安全防護(hù)軟件發(fā)展現(xiàn)狀

　　隨著互聯(lián)網(wǎng)的飛速發(fā)展，計(jì)算機(jī)病毒技術(shù)和黑客入侵技術(shù)也迅速發(fā)展，逐漸融合了網(wǎng)絡(luò)蠕蟲(chóng)、木馬、拒絕服務(wù)工具、緩沖區(qū)溢出工具等各種攻擊手段，造成的損失也由最初的數(shù)據(jù)丟失，發(fā)展到現(xiàn)在的信息泄密，數(shù)據(jù)破壞，甚至互聯(lián)網(wǎng)的癱瘓，破壞力越來(lái)越大。

　　伴隨著病毒技術(shù)和黑客入侵技術(shù)的發(fā)展，安全防護(hù)技術(shù)也在迅速發(fā)展，各種各樣的安全防護(hù)軟件如“雨后春筍”般出現(xiàn)。這些安全防護(hù)軟件的原理可以概括為“掃描”和“過(guò)濾”，它們利用特征庫(kù)對(duì)文件進(jìn)行掃描，對(duì)進(jìn)入主機(jī)的數(shù)據(jù)包進(jìn)行過(guò)濾，從而發(fā)現(xiàn)病毒和入侵。特征庫(kù)成了這些防護(hù)軟件功能的最大限制，誰(shuí)擁有更完備的特征庫(kù)誰(shuí)就能防御更多病毒和入侵。特征庫(kù)中存儲(chǔ)的都是已知病毒和入侵的特征，因此這些安全防護(hù)軟件僅能對(duì)已知的病毒和入侵進(jìn)行防御，對(duì)未知的病毒和入侵束手無(wú)策。

　　防御未知病毒和未知入侵是當(dāng)前安全防護(hù)軟件迫切需要解決的問(wèn)題。

　　1.2 方案設(shè)計(jì)與選擇

　　智能主動(dòng)防御系統(tǒng)(以下簡(jiǎn)稱(chēng)本系統(tǒng))可分為網(wǎng)絡(luò)防護(hù)和主機(jī)防護(hù)兩部分，其中網(wǎng)絡(luò)防護(hù)的主要功能是防御來(lái)自網(wǎng)絡(luò)的入侵，主機(jī)防護(hù)的主要功能是防御惡意程序(如病毒)的破壞。

　　整個(gè)系統(tǒng)的總體架構(gòu)如圖1所示。各部分的功能如下：

　　1. 網(wǎng)絡(luò)防護(hù)：用戶(hù)態(tài)實(shí)現(xiàn)“偽裝服務(wù)，提取特征”功能，NDIS驅(qū)動(dòng)實(shí)現(xiàn)“ARP模擬不存活主機(jī)和數(shù)據(jù)包過(guò)濾”功能。

　　2. 主機(jī)防護(hù)：主機(jī)防護(hù)的核心部分是在系統(tǒng)內(nèi)核驅(qū)動(dòng)中完成檢測(cè)惡意程序。

　　圖1 系統(tǒng)總體構(gòu)架

　　從圖1可以看出，本系統(tǒng)是一個(gè)全方位的防護(hù)軟件，它集防火墻與殺毒軟件功能于一身。與傳統(tǒng)的防護(hù)軟件相比，其最大的特色是：能夠主動(dòng)防御未知入侵和檢測(cè)未知病毒。

　　本系統(tǒng)通過(guò)自主學(xué)習(xí)建立自己的特征庫(kù)從而實(shí)現(xiàn)防御未知入侵。系統(tǒng)摒棄了野蠻的病毒掃描模式，采用主動(dòng)防御技術(shù)攔截程序的危險(xiǎn)行為，實(shí)現(xiàn)了檢測(cè)未知病毒。